In questo articolo vi illustriamo le nuove linee guida per gestire, ai fini della normativa sulla privacy, la violazione dei dati secondo le direttive del Comitato Europeo per la protezione dei dati.
L’Autorità Garante della protezione dei dati personali lo scorso 25 Gennaio ha comunicato che sono state stabilite le nuove linee guida per gestire la violazione dei dati dal Comitato europeo per la protezione dei dati.
Tali direttive intendono fornire delle indicazioni su come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei.
In particolare il Garante vuole supportare le imprese e la pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio a tutela della privacy.
Le guide linea si basano sull’analisi dei casi più significativi di violazione dei dati subiti da banche, ospedali, medie imprese, municipalità e società che offrono servizi online di vario genere, affrontati dai garanti privacy nazionali, incluso quello italiano.
Per ciascuna casistica, le linee guida presentano:
- esempi di best practice;
- raccomandazioni circa la modalità di identificazione e valutazione dei rischi;
- indicazioni su come notificare le violazioni alle autorità.
Secondo il Garante le mancanze più frequenti che potrebbero portare ad una violazione sono quelle relative:
- alla non corretta gestione dell’autenticazione degli utenti a siti web, ad esempio a causa dell’utilizzo di password deboli o conservate in chiaro;
- all’omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate;
- alla spedizione errata delle e-mail;
- all’impiego di identificativi di sessione all’interno degli indirizzi web degli utenti, informazioni che facilitano l’accesso illecito a contenuti che dovrebbero rimanere protetti;
Il documento si conclude con la seguente lista di misure di precauzione che si pongono l’obiettivo di fornire idee di prevenzione e possibili soluzioni per la privacy, non mancando di sottolineare come ogni attività di trattamento è diversa e quindi è sempre in capo al titolare l’onere di decidere quali misure sono più adatte alla situazione che si trova ad affrontare:
- Mantenere aggiornato il firmware, il sistema operativo e il software applicativo su server, client, componenti di rete attivi e qualsiasi altro dispositivo sulla stessa LAN (compresi i dispositivi Wi-Fi) e conservare i registri dettagliati di quali patch vengono applicate e con quale timestamp.
- Segmentare o isolare sistemi di dati e reti per evitare la propagazione di malware sia all’interno dell’organizzazione che verso sistemi esterni.
- Mantenere una procedura di backup aggiornata, sicura e testata. I supporti per il backup a medio e lungo termine dovrebbero essere tenuti separati dall’archiviazione dei dati operativi e fuori dalla portata di terzi anche in caso di attacco riuscito (es.: separazione del backup incrementale giornaliero dal backup completo settimanale).
- Dotarsi di un software anti-malware adeguato, aggiornato, efficace e integrato.
- Disporre di un firewall e di un sistema di rilevamento e prevenzione delle intrusioni adeguato, aggiornato, efficace e integrato. Veicolare il traffico di rete attraverso il firewall/intrusion detection, anche nel caso di lavoro da casa o mobile (ad es. utilizzando le connessioni VPN quando si accede a Internet).
- Formare i dipendenti sui metodi per riconoscere e prevenire gli attacchi informatici, capendo se le e-mail e i messaggi sono autentici e affidabili così da riconoscere un attacco e segnalarlo immediatamente al responsabile della sicurezza.
- Identificare il tipo di codice malevolo per intuire le conseguenze dell’attacco ed essere in grado di trovare le giuste misure per mitigare il rischio.
- Inoltrare o replicare tutti i log ad un server centrale di log.
- Applicare sistemi di crittografia (Strong encryption) e di autenticazione, in particolare per l’accesso amministrativo ai sistemi IT (autenticazione a due fattori, 2FA), e gestire in modo appropriato le chiavi crittografiche e le password.
- Eseguire periodicamente attività di vulnerability e penetration test.
- Istituire un Computer Security Incident Response Team (CSIRT) o un Computer Emergency Response Team (CERT) all’interno dell’organizzazione, o unirsi ad un CSIRT/CERT collettivo.
- Creare un Incident Response Plan, un Disaster Recovery Plan e un Business Continuity Plan e assicurarsi che questi siano accuratamente testati.
In Miller Group continuiamo a evolverci per fornire servizi di cybersecurity di nuova generazione in grado di proteggere il business dei nostri clienti. Scrivici a innovation@millergroup.it per saperne di più!