Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Quando il Silenzio Non è un’Opzione: Occorre comunicare il Data Breach

Stefano Gazzella : 1 Giugno 2023 07:13

Quando tutto è giusto e perfetto sulla carta nella sicurezza cyber, i più si indignano nell’apprendere che i propri sistemi siano stati colpiti da attacchi dagli esiti devastanti. Eppure il compitino era stato svolto secondo i canoni, giustificando (proprio così: giustificando, e non motivando) ogni spesa con il riferimento a qualche best practice o dettame predicato nel peripato delle accademie.

E nel domandarsi come quegli attaccanti abbiano osato aver invaso confini ritenuti inviolabili – e profusamente consacrati come tali nelle parole – il più delle volte ci si affretta a depositare denunce verso ignoti ancor prima di analizzare la violazione per comprendere l’accaduto e soprattutto tutelare i soggetti i cui dati personali sono stati compromessi.

Magari andando a svolgere tempestivamente una comunicazione, che dovrebbe precedere temporalmente lo scadere delle 72 ore per svolgere gli adempimenti di legge di notifica del data breach all’Autorità garante per la protezione dei dati personali. E invece, spesso si opta per la strategia del silenzio.

Gestire e comunicare il data breach

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a formazione@redhotcyber.com oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Nella gestione del data breach, un ruolo fondamentale è svolto dalla comunicazione interna ed esterna. Ovviamente non esiste un prontuario adattabile a qualsiasi realtà, per cui è bene diffidare dai guru delle strategie che ripropongono una formula salvifica standardizzata.

    Ma ogni organizzazione, tenendo conto del contesto e del proprio assetto, così come del linguaggio comune da impiegare, può essere in grado di sviluppare un prontuario per la gestione della violazione. Elementi fondamentali del prontuario sono e anzi devono essere: le definizioni, i ruoli e le responsabilità, i flussi informativi, la catena decisionale. Ovviamente tale scheletro si può strutturare e arricchire anche con ulteriori procedure ed istruzioni previste da altri sistemi di gestione adottati sia a carattere volontario che obbligatorio.

    La comunicazione esterna nei confronti degli stakeholder, fra cui rientrano gli interessati i cui dati personali sono coinvolti dalla violazione e l’autorità di controllo, deve essere svolta tenendo conto dell’obiettivo stabilito dal GDPR: la tutela dell’interessato. In ottica di protezione della reputazione, una corretta disclosure dell’incidente di sicurezza non può che dare evidenza della capacità di reazione dell’organizzazione. E provvedere ad una tutela più completa dell’interessato.

    La comunicazione come misura di protezione dell’interessato

    Comprendere in che modo una comunicazione di data breach possa proteggere l’interessato è fondamentale perché l’organizzazione sia consapevole dell’importanza da assegnare a tale adempimento, in modo tale che non sia destinato a giacere solo sulla carta. In assenza di ciò, il rischio è incorrere in un approccio eccessivamente formalistico o, ancora peggio, inutilmente difensivo e con una conseguente inversione dell’ordine di priorità delle tutele.

    Una corretta informazione dell’incidente consente infatti a chi la riceve di poter provvedere in autonomia a delle tutele immediate. Nell’adempiere alle indicazioni dell’art. 34 GDPR, è già il titolare a dover indicare all’interessato quali rischi possono incombere e misure prudenziali per non trovarsi esposto ad ulteriori pericoli.

    Quel che occorre è però un cambio di mentalità e di approccio. Non si devono cercare colpe presunte nell’aver subito un attacco informatico, ma deve esserci però una responsabilità nella reazione. Altrimenti, ogni intento di sicurezza è destinato a giacere sulla carta. Con buona pace di ogni approccio lesson learned, perchè semplicemente la lezione non si vuole ascoltare. O si preferisce avere una bella giustificazione per l’assenza.

    Stefano Gazzella
    Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.
    Visita il sito web dell'autore

    Articoli in evidenza

    Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari

    Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day...

    Un e-commerce italiano sta per essere compromesso: accesso in vendita per 500$

    Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-...

    L’Operazione Endgame Continua: colpo duro ai clienti della botnet Smokeloader. Scattano gli arresti

    A seguito dell’operazione Endgame, le forze dell’ordine hanno identificato i clienti della botnet Smokeloader e hanno segnalato l’arresto di almeno cinque persone. Ricordiamo che&...

    Shock Hacking: Come Guidare una Nissan Leaf Da Remoto! La ricerca al Black Hat Asia 2025

    I ricercatori della PCAutomotive hanno evidenziato diverse vulnerabilità nel veicolo elettrico Nissan Leaf. Gli esperti hanno dimostrato che i bug potrebbero essere utilizzati per l...

    Il Comune di Grosseto finisce su Breach Forums. 13GB in possesso dei criminali informatici?

    Poche ore fa, all’interno del famoso forum underground Breach Forums, un post da parte dell’utente “sentap” ha riportato la potenziale violazione dei dati dal Comune di Gro...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006