Sebbene pensaste che i vostri sistemi aziendali fossero accuratamente protetti, gli hacker sono entrati nel database dei clienti e hanno rubato dati personali e finanziari. Avete appena rilevato una violazione dei dati. Il tempo stringe. Quali sono i prossimi passi da compiere?
La protezione dei dati dei cittadini dell'UE rientra nella giurisdizione del GDPR. Se la vostra organizzazione gestisce i dati di questi cittadini, deve rispettare i requisiti del GDPR. Pertanto, in caso di fuga di dati, dovete adottare misure predefinite per proteggere i dati delle persone interessate.
In queste situazioni, non si ha a che fare solo con le autorità e le multe: è in gioco anche la reputazione. E poiché gli aggressori spesso pubblicano i database rubati sul dark web, di solito non ha senso fare finta di niente.
Come affrontare le violazioni dei dati dei clienti?
1) Informate il vostro responsabile della protezione dei dati e l'autorità di vigilanza del vostro Paese.
In caso di violazione dei dati, siete obbligati a informare l'autorità di protezione dei dati (DPA), l'autorità pubblica indipendente istituita da ogni Stato membro dell'UE per garantire e far rispettare le leggi sulla privacy e sui dati personali. Dovete fare questo passo non appena venite a conoscenza della perdita di dati, segnalandola entro 72 ore. Se le attività della vostra azienda comportano l'elaborazione di dati sensibili su larga scala o il monitoraggio regolare e sistematico di informazioni personali, conti, transazioni, ecc. Il DPO dovrà poi informare il DPA, a meno che non sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone interessate.
2) Risolvere le eventuali carenze nella sicurezza della rete.
Le misure che si possono adottare dopo aver scoperto una violazione dei dati sono molteplici, tra cui:
Cambiare o aggiornare le credenziali di accesso sui dispositivi aziendali e implementare l'autenticazione a due fattori. Se non utilizzate ancora la 2FA, aggiungete questo potente strumento di verifica delle credenziali alle vostre misure di sicurezza.
Controllare tutti i segmenti di rete per verificare la presenza di tracce della violazione. È probabile che il malintenzionato si sia collegato a più segmenti. Per evitare che un attacco si diffonda, è possibile reindirizzare il traffico di rete, filtrare o bloccare il traffico o isolare tutta o parte della rete compromessa.
Collaborare con un team esperto di cybersecurity e forensics per accertare come si è verificata la violazione e intraprendere le azioni necessarie per chiudere la violazione e rimuovere il potenziale per ulteriori violazioni.
3) Determinare il tipo di dati dei clienti esposti.
Per valutare l'entità e l'impatto di una violazione dei dati, è necessario un processo di gestione del rischio di alta qualità con solidi strumenti di rilevamento e segnalazione delle violazioni. Se si è già verificata una violazione dei dati, occorre innanzitutto determinare il tipo di dati esposti. Potrebbero essere necessari alcuni giorni per determinare l'entità dell'attacco, ma è necessario iniziare subito. Cercate gli impatti su e-mail, numeri di telefono, cartelle cliniche, dati di carte di credito o identificatori personali come i numeri di assicurazione nazionale. Stimate il numero di clienti i cui dati personali sono stati esposti. È probabile che la violazione dei dati abbia un impatto sull'esercizio dei diritti delle persone interessate? Quali precauzioni potete adottare per proteggere i dati dei clienti? Per saperne di più, consultate l'articolo Sei cose da tenere in considerazione quando si trattano i dati dei clienti.
4) Contattare i clienti i cui dati personali sono stati esposti.
Le organizzazioni devono prepararsi accuratamente al fatto che, in caso di violazione dei dati personali, dovranno contattare, in alcuni casi, centinaia di migliaia di persone, il che può facilmente paralizzare un'azienda. È necessario informare le persone (vedere le eccezioni nel riquadro sottostante) e coinvolgere nel processo un team di pubbliche relazioni o di comunicazione. Una volta appurato cosa è successo con i dati, rivolgetevi con delle scuse direttamente alle persone colpite e rispondete alle seguenti domande: Cosa è successo? Quali informazioni sono state coinvolte? Cosa sta facendo l'azienda interessata? Cosa potete fare se siete stati colpiti?
5) Rivedere le misure di sicurezza esistenti.
Una volta gestita la violazione dei dati personali, si raccomanda vivamente di esplorare vari modi per rafforzare le misure di sicurezza della vostra azienda. Aggiornate la vostra strategia di cybersecurity e implementate migliori soluzioni di sicurezza per la crittografia dei dati, il monitoraggio della rete e le politiche sulle password, e investite nella formazione sulla cybersecurity per i vostri dipendenti.