Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Stefano Gazzella : 20 Ottobre 2022 08:00
Autore: Stefano Gazzella
Dopo aver elencato alcuni degli errori più comuni relativi alle comunicazioni di data breach dirette agli interessati, è bene esplorare alcune buone pratiche da seguire perché ogni organizzazione sia in grado di provvedere a riguardo.
Beninteso, sono condizioni necessarie ma non sufficienti ma possono essere degli spunti di riferimento tanto per un’attività di integrazione che di controllo delle misure predisposte. Inoltre, è bene che vengano sempre declinate tenendo conto dell’approccio risk-based richiesto dal GDPR e che siano integrate con l’assetto organizzativo entro cui dovranno andare ad operare.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765
per richiedere informazioni
"
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
È innanzitutto necessario che l’organizzazione abbia correttamente adottato una procedura dedicata alla gestione degli eventi di violazione dei dati personali, e che dunque la stessa non sia soltanto formalmente corretta e rispondente ai criteri indicati dagli artt. 33 e 34 GDPR per completezza, ma che sia anche adeguatamente diffusa presso il personale che partecipa alle attività di trattamento.
Non solo.
Deve definire con chiarezza ruoli e responsabilità dei soggetti che intervengono, nonché sia richiamata all’interno degli interventi di sensibilizzazione e addestramento svolti dall’organizzazione. Lo scopo è che ciascuno degli operatori o dei soggetti cui sono assegnate delle fasi decisionali, fra cui rientra anche la gestione della comunicazione agli interessati, sappia in che modo agire andando così a ridurre lo stress organizzativo e di conseguenza i tempi di reazione e la possibilità di commettere errori.
Un ulteriore elemento imprescindibile per garantire la massima tutela degli interessati coinvolti dalla violazione è curare la tempestività della comunicazione per la parte che fa riferimento alla natura dell’accaduto – e dunque: andare se c’è stata un’indisponibilità dei servizi o anche un’esfiltrazione dei dati, ad esempio.
Occorre inoltre essere in grado di indicare le probabili conseguenze chiarendo quanto prima rischi e pericoli. Nel caso in cui le informazioni richieste dall’art. 34 GDPR non siano immediatamente disponibili, l’organizzazione dovrà essere in grado di fornire aggiornamenti attraverso i propri canali di comunicazione man mano che si procederà con l’investigazione dell’incidente.
Ultimo aspetto ma non meno importante è aver cura della chiarezza della comunicazione adottando la forma “concisa, trasparente, intelligibile e facilmente accessibile” prescritta dall’art. 12 GDPR e facendo ricorso all’impiego di un linguaggio semplice e chiaro.
Occorre infatti tenere conto dei destinatari e perseguire di conseguenza l’obiettivo di fornire loro una chiara comprensione delle informazioni indicate dalla norma, evitando quanto più possibile tutti quei tecnicismi specifici che possono essere d’ostacolo a riguardo. Tecnicismi che invece possono e anzi devono trovare impiego all’interno della documentazione relativa all’incidente o nella notifica della violazione nei confronti dell’autorità di controllo.
Stefano Gazzella
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009