Stefano Gazzella : 20 Novembre 2023 07:43
Data breach, DPO ladro! (cit.)
A pensarci bene, però, c’è anche una similare esistenziale che di solito è addossata al sysadmin. Il quale, similmente al DPO, magari fino al giorno prima le vulnerabilità le aveva anche evidenziate tutte con tanto di invito a provvedere a predisporre un budget dedicato. Ma è rimasto inascoltato. Insomma: uniti nella sorte di pareri perduti, un po’ come il senno d’Orlando sulla Luna.
Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
L’etica della colpa – o per meglio dire: della ricerca forsennata di un colpevole – rappresenta un dispendio di risorse per l’organizzazione. Sarebbe meglio ragionare secondo responsabilità e definire così i ruoli, in modo efficace e seguendo logiche di empowerment. In questo caso l’unico limite è quello di non filosofeggiare troppo, altrimenti si rischia di cadere nel pozzo dell’inefficacia al pari di un Talete qualsiasi ben poco avvezzo alla praticità. E quindi forse smetterla di dire “E allora il DPO?” ad ogni data breach, e iniziare a ricercare piuttosto le cause di ciò che è accaduto può giovare. Soprattutto se si valuta la capacità di reazione dell’organizzazione alla violazione di sicurezza.
Ovviamente, per far ciò bisogna rileggere il ruolo del DPO, anche se questo può sembrare in parte smitizzare la funzione e per alcuni un sacrilegio. Alcuni storyteller l’hanno presentata persino come “longa manus del Garante in azienda”, che è più un ottimo claim ma si tiene ben distante dalla realtà. Sempre restando in tema di mani, non è che con le imposizioni delle stesse – o per effetto di una mera designazione – il DPO risolva per incanto tutte le non conformità e le vulnerabilità di sicurezza. Credere a ciò comporta l’essere preda di allucinazioni, che sia nella compliance sia nell’information security hanno la brutta abitudine di generare false convinzioni destinate a giacere solo sulla carta. E nello specifico ambito della sicurezza, si parla per l’appunto in modo tutt’altro che positivo di paper security.
Il data breach è qualcosa che non solo può accadere, ma che soprattutto va gestito. E non solo nelle comunicazioni interne ed esterne nei confronti degli stakeholder. Ovviamente, se è stato provocato da vulnerabilità irrisolte, ciò comporterà una violazione del principio di integrità e riservatezza. Ma una volta che l’evento di violazione si realizza, il passato e ciò che si sarebbe dovuto fare sfuma e si presenta dirompente un presente che scandisce le azioni. Che queste siano di analisi, mitigazione, o comunicazione, ad esempio, la loro efficacia dipende solo dalla preparazione dell’organizzazione che viene messa alla prova in un vero e proprio stress test che riguarda ogni passaggio. Dalla rilevazione alla risposta, con tutte le azioni in reazione o anche per prevenire conseguenze ulteriori tenendo conto della riskchain.
Avere solo la designazione del DPO senza un sistema di gestione e personale addestrato, sarebbe come avere il jet pilder senza Mazinga Z. Certamente d’effetto, ma poco efficace. E la responsabilità per questo ricade sempre e comunque sull’organizzazione, la quale risponde del posizionamento delle funzioni interne, del budget dedicato e dell’adeguatezza della sicurezza allo stato dell’arte.
Questa non è certo un’apologia acritica della funzione di DPO, dal momento che rappresenterebbe uno sfoggio piuttosto palese di disonestà intellettuale. Questa figura, invero piuttosto nuova, ha subito tanto le distorsioni che le opacità di una certa narrazione di mercato più interessata a voler accaparrarsi una fetta maggiore del budget aziendale che svolgere in modo efficace e puntuale la funzione cui è preposta dal GDPR. Ovverosia: primariamente garantire il rispetto della normativa in materia di protezione dei dati personali e tutelare i diritti degli interessati. Ma qui probabilmente si indulge nel pensar male e far peccato.
Esistono degli inciampi comuni del DPO nei processi di gestione della sicurezza, che possono essere per lo più riconducibili ad un’incapacità di comunicare ed integrarsi con le altre funzioni coinvolte. Emblematicamente e in modo più frequente, con l’ufficio IT, il CED o il CISO. Talvolta spendendosi più in opposizione che nella ricerca di punti di incontro e cooperazione. E qui la confusione del ruolo scusa ben poco, perché anche l’organizzazione designante ha la responsabilità di non aver promosso un’integrazione adeguata della funzione.
Quando il conto verrà inevitabilmente presentato agli interessati, tutte queste carenze di gestione e progettazione fondamentali propagheranno i propri effetti negativi nella situazione di crisi di un data breach. Infatti, la realtà ha la pessima abitudine di schivare qualsivoglia scusante si possa frapporre a un’inadeguata progettazione, implementazione e controllo di un sistema di sicurezza.
Questo significa dunque che il DPO può intervenire – e anzi: deve – nella gestione della sicurezza. Ma lo deve fare instaurando delle sinergie virtuose, sorvegliando lo stato dell’arte e i rischi, formulando pareri se del caso e promuovendo le politiche di formazione e sensibilizzazione del personale. Il tutto tenendo conto come parametro orientativo l’efficacia, dialogando continuamente con esperti tecnici nei tavoli di lavoro e in sede di audit. Chiedendo anche al management che siano collocate risorse aggiuntive per provvedere ai fabbisogni individuati. Insomma: occorre che il ruolo sia proattivo e propositivo, e non solo di reazione rispetto a richieste d’intervento o eventi per cui da procedura il DPO deve essere c oinvolto.
Ma se questi interventi del DPO viene ignorato, sia esso consulenziale e informativo, o di sorveglianza, chi è il vero ladro iconicamente responsabile, come ciascun governo in caso di pioggia? Certo, talvolta fa più comodo un parafulmine che un’assunzione di responsabilità. Ma anche qui, forse, pensiamo male e facciamo nuovamente peccato.