Anche se eri convinto che la tua azienda fosse totalmente al sicuro, gli hacker sono riuscito a sottrarti dati sensibili e finanziari. Il tempo scorre veloce. Quali passi dovresti fare adesso?
La protezione dei cittadini europei ricade nella giurisdizione del GDPR. Se la tua organizzazione gestisce i dati dei cittadini europei dovrà rispettare i requisiti del GDPR. Dunque, nel caso in cui avvenga una perdita di dati, devi seguire step predefiniti per proteggere i dati delle persone colpite.
In alcune situazioni, non avrai a che fare solo con autorità e multe; è in gioco anche la tua reputazione. E spesso gli attaccanti pubblicano i database nel dark web quindi non ha senso nascondersi.
Come dovresti affrontare le violazioni dei dati dei clienti?
- Informa il tuo responsabile della protezione dei dati e l'autorità di controllo del vostro Paese.
In caso di data breach, sei obbligato ad informare le autorità di protezione dati (DPA), l'autorità pubblica indipendente istituita da ciascuno stato membro dell'UE per garantire e far rispettare le leggi sui dati personali e sulla privacy. È necessario eseguire questo passaggio non appena si viene a conoscenza della fuga di dati, segnalandolo entro 72 ore. Se le attività della tua azienda comportano il trattamento di dati sensibili su larga scala o il monitoraggio regolare e sistematico delle informazioni personali, dei conti, delle transazioni, ecc. delle persone, il tuo team di sicurezza, dovrebbe informare prima il tuo responsabile della protezione dei dati (DPO). Il DPO dovrebbe quindi informare il DPA, a meno che non sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone interessate.
Cosa succede se non reportizzi i data breach?
Se la notifica alle autorità di supervisione viene fatta in ritardo, deve essere supportata da una spiegazione. Il mancato avviso agli uffici preposti delle autorità nelle forme e nelle tempistiche previste potrebbero comportare danni materiali e immateriali. Come una multa o un danno di reputazione. - Risolvi le possibili carenze nella sicurezza della tua rete.
Ci sono diversi step che possono essere presi in considerazione dopo aver scoperto una violazione di dati. Cambiare o aggiornare le credenziali di login sui dispositivi aziendali e implementare l’autenticazione a due fattori. Se non utilizzi l’autenticazione 2FA, aggiungi questo potente strumento per la verifica delle credenziali alle tue misure di sicurezza.
Controlla tutta la tua rete per tracciare le violazioni. È probabile che l’attaccante si sia connesso su più segmenti. Per evitare che un attacco si diffonda, puoi reindirizzare il traffico di rete, filtrare o bloccare il traffico o isolare tutta o parte della rete compromessa.
Lavora con un esperto di cybersecurity e team di legali per accertare come la violazione è avvenuta e intraprendere le azioni necessarie per chiudere la violazione e rimuovere quelle potenziali per ogni future violazioni. - Determina quale tipo di dato è stato esposto.
Per valutare la portata e l'impatto di una violazione dei dati, è necessario un processo di gestione del rischio di alta qualità con solidi strumenti di rilevamento e segnalazione delle violazioni. Se stai già riscontrando una violazione dei dati, prima determina quale tipo di dati è esposto. Potrebbero essere necessari diversi giorni per determinare l'entità dell'attacco, ma è necessario iniziare subito. Cerca gli impatti su e-mail, numeri di telefono, cartelle cliniche, dati di carte di credito o identificatori personali come i numeri di previdenza sociale. Stima il numero di clienti i cui dati personali sono stati esposti. È probabile che la violazione dei dati influisca sull'esercizio dei diritti delle persone interessate? Quali precauzioni puoi prendere per proteggere i dati dei clienti? Puoi scoprirlo nell'articolo “Sei cose da tenere in considerazione quando gestisci i dati dei clienti.” - Contatta i clienti che sono stati esposti nella violazione dei dati.
Le organizzazioni dovrebbero prepararsi accuratamente al fatto che, in caso di violazione dei dati individuali, dovranno contattare, in alcuni casi, centinaia di migliaia di persone. Il che può facilmente paralizzare un'azienda. È necessario informare le persone (vedere le eccezioni nella casella sottostante) e coinvolgere nel processo un team di pubbliche relazioni o comunicazione. Una volta che sai cosa è successo con i dati, chiedi scusa direttamente alle persone colpite e rispondi alle seguenti domande: cosa è successo? Quali informazioni erano coinvolte? Che cosa sta facendo l'azienda interessata? Cosa puoi fare se sei stato colpito? La comunicazione con gli interessati: quando non è richiesta?
La comunicazione con l'interessato non è richiesta se:- Se il tuo responsabile della protezione dei dati (delle società attaccate) ha implementato tecniche appropriate e misure di protezione organizzate e queste misure sono state applicate ai dati personali interessati dalla violazione, in particolare quelli poi rendono i dati personali illeggibili ad ogni persona che non è autorizzata all’accesso, come l’encryption.
- Il responsabile della protezione dei dati ha messo in atto successive misure che assicurano che l’alto rischio di violazione dei dati dell'interessato non è più probabile che si realizzi
- Se implicasse uno sforzo sproporzionato. In tal caso bisognerà fare una comunicazione pubblica o adottare una misura simile con la quale l'interessato sia informato in modo efficace
- Rivedere le misure di sicurezza esistenti.
Una volta gestita la violazione dei dati personali, è fortemente raccomandato che tu possa esplorare vari modi di rafforzare le misure di sicurezza nella tua azienda. Aggiornare la strategia di cyber-sicurezza e implementare una soluzione migliore per la data encryption, monitoraggio di rete e la politica delle password, e investire in formazione dei tuoi dipendenti.
Salva l'articolo per avere sempre sotto mano gli step da seguire passo per passo nel malaugurato caso in cui la tua azienda dovesse subire un data breach.