Notifica di data breach: le regole dell’EDPB per la gestione di attacchi ransomware - Cyber Security 360

ADEMPIMENTI PRIVACY

Notifica di data breach: le regole dell’EDPB per la gestione di attacchi ransomware

Le nuove linee guida dell’EDPB sulla notifica di data breach forniscono indicazioni utili su come gestire una violazione dati, grazie soprattutto all’analisi di casi concreti di attacchi ransomware ai danni di aziende manufatturiere, agricole, di trasporto pubblico e di ospedali

03 Feb 2021
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist

L
Biagio Lammoglia

ICT Security & Data Protection Advisor

Elemento imprescindibile per poter affrontare una violazione di dati personali è, chiaramente, quello di riconoscerla, soprattutto quando è conseguente ad un attacco di tipo ransomware: solo così si è nelle condizioni di sapere come comportarsi per gestire questi incidenti di sicurezza e procedere quindi alla corretta notifica di data breach secondo quanto indicato dal GDPR.

In tal senso, alcune utili indicazioni per le aziende arrivano dal Comitato Europeo per la Protezione dei Dati (EDPB – European Data Protection Board) che, con le sue Guidelines 01/2021 on Examples regarding Data Breach Notification, fornisce una serie di esempi relativi proprio all’obbligo di notifica delle violazioni di sicurezza all’Autorità di Controllo previsto dall’art. 33 GDPR.

Obbligo di notifica di data breach

Già il Working Party 29 (WP29) aveva elaborato delle linee guida sulla notifica delle violazioni dei dati personali nell’ottobre 2017 (Linee guida WP250 sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679). Tuttavia, il testo del 2017 non affronta le questioni pratiche in modo sufficientemente dettagliato.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Pertanto, l’EDPB ha ritenuto di integrare tali linee guida introducendo degli esempi concreti, per aiutare i titolari del trattamento dei dati a decidere come gestire i data breach e quali fattori considerare durante la valutazione del rischio.

Il GDPR, infatti, prevede (art. 33) un obbligo di notificare una violazione dei dati personali all’autorità di controllo laddove la violazione possa prefigurare un rischio per i diritti e le libertà delle persone fisiche e, laddove tale rischio venga valutato come elevato (art. 34), di comunicare la violazione alle persone fisiche i cui dati personali sono stati interessati dalla violazione.

Preliminarmente va osservato che è auspicabile che il titolare adotti una politica di sicurezza delle informazioni che gli consenta di tutelare la riservatezza e di assicurare l’integrità e la disponibilità del patrimonio informativo aziendale, nonché di garantire che eventuali incidenti di sicurezza vengano tempestivamente riconosciuti e gestiti al fine di ridurne le conseguenze e limitarne gli impatti.

Come classificare le violazioni dei dati

Ma cosa si intende per violazione dei dati e come questa può essere classificata?

Il GDPR (art. 4 c. 12) definisce la violazione di dati personali come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“; pertanto, mentre tutte le violazioni dei dati personali sono incidenti di sicurezza, non tutti gli incidenti di sicurezza sono necessariamente violazioni dei dati personali.

Nell’Opinion 3/2014 e nelle linee guida WP250, il WP rilevava che le violazioni possono essere classificate in base ai seguenti tre principi di sicurezza informatica:

  1. violazione della riservatezza, in caso di divulgazione dei dati personali o accesso agli stessi
    non autorizzati o accidentali;
  2. violazione dell’integrità, in caso di modifica non autorizzata o accidentale dei dati personali;
  3. violazione della disponibilità, in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.

Una violazione di dati, quindi, può comportare impatti significativi sugli individui e provocare danni fisici, materiali o immateriali, tra cui la perdita di controllo sui propri dati personali, la limitazione dei loro diritti, la discriminazione, il furto di identità o la frode, la perdita finanziaria, la ricomposizione dei dati pseudonimizzati, il danno alla reputazione e la perdita di riservatezza di dati personali protetti dal segreto professionale.

Gestione dei data breach: gli obblighi del titolare del trattamento

Uno degli obblighi più importanti del titolare del trattamento è valutare tali rischi in relazione ai diritti e alle libertà degli interessati e attuare adeguate misure tecniche e organizzative per affrontarli.

In tale ottica il GDPR richiede al titolare di:

  1. documentare la violazione dei dati personali, comprese le relative circostanze, gli effetti e le azioni correttive intraprese;
  2. notificarla all’Autorità di Controllo, a meno che sia improbabile che questa comporti un rischio per i diritti e le libertà degli interessati;
  3. comunicarla all’interessato quando la violazione dei dati personali può comportare un rischio elevato per i diritti e le libertà degli interessati.

La notifica di data breach deve essere frutto di una valutazione del rischio che deve essere fatta nel momento in cui il titolare viene a conoscenza della violazione, senza attendere un dettagliato esame forense o l’attuazione di misure di mitigazione.

Qualora, infatti, un titolare dovesse valutare il rischio come improbabile e poi il rischio si dovesse materializzare, l’Autorità di controllo competente potrà usare i propri poteri correttivi e deliberare sanzioni amministrative pecuniarie (art. 58 c.2i)).

Notifica di data breach: aspetti organizzativi

Assume, quindi, in quest’ottica, un ruolo fondamentale la formazione e la sensibilizzazione del personale sulla gestione delle violazioni (identificazione della violazione dei dati personali, azioni da intraprendere ecc.) non solo del personale del titolare ma anche degli eventuali fornitori esterni coinvolti nel trattamento dei dati (responsabili).

Il titolare del trattamento dovrebbe disporre di policy e procedure, in cui siano individuati ruoli e responsabilità, per gestire adeguatamente eventuali violazioni e potrebbe predisporre un “Manuale sul trattamento della violazione dei dati personali” per consentire che, in caso di data breach, tutto il personale sappia cosa fare, e possa gestire l’incidente rapidamente.

In particolare, le linee guida 01/2021 dell’EDPB presentano dei casi esemplificativi, con l’obiettivo di fornire supporto ai titolari nella valutazione dei data breach, dedicando la prima parte agli attacchi ransomware e su questi concentreremo la nostra attenzione.

Notifica di data breach: come gestire un attacco ransomware

Tra le cause principali che provocano una violazione dei dati che richiede la notifica di data breach, è infatti possibile configurare l’attacco ransomware.

In questi casi, attraverso un software malevolo, l’attaccante provoca la cifratura dei dati personali per chiedere al Titolare un riscatto in cambio delle chiavi di decriptazione. Questo tipo di attacco tipicamente si configura come una violazione della disponibilità, anche se non sono da escludersi casi che comportino anche una violazione della riservatezza.

Nelle linee guida il Comitato approfondisce quattro scenari di attacco ransomware.

Ransomware con backup aziendale criptato e senza esfiltrazione dati

Scenario 1. I sistemi informatici di una piccola azienda manifatturiera sono stati esposti a un attacco ransomware, e i dati memorizzati in quei sistemi sono stati criptati.

Il titolare del trattamento ha utilizzato la cosiddetta encryption at rest (ovvero la crittografia dei dati “a riposo”, cioè direttamente nelle unità di archiviazione locali o remote) e pertanto tutti i dati colpiti dal ransomware risultavano memorizzati in forma criptata utilizzando un algoritmo di crittografia all’avanguardia.

La chiave di decriptazione non è stata compromessa nell’attacco, quindi l’attaccante non poteva né accedervi né utilizzarla indirettamente. Di conseguenza, l’attaccante aveva accesso solo ai dati personali criptati. In particolare, né il sistema di posta elettronica della società, né i sistemi client utilizzati per accedervi sono stati interessati.

La società si avvale dell’esperienza di una società esterna di sicurezza informatica per indagare sull’incidente.

Sono disponibili log che tracciano tutti i flussi di dati in uscita dall’azienda (compresa l’e-mail in uscita).

Dopo aver analizzato i log e i dati raccolti dai sistemi di rilevamento che la società ha implementato, un’indagine interna, supportata da una società di sicurezza informatica esterna, ha determinato con certezza che l’attaccante ha solo criptato i dati, senza esfiltrarli: non c’è stata, quindi, sottrazione dei dati visto che i log non mostrano alcun flusso di dati verso l’esterno nel periodo di tempo interessato dall’attacco.

I dati personali interessati dalla violazione si riferiscono a clienti e dipendenti della società, qualche decina di persone complessivamente. Inoltre, il backup era prontamente disponibile e i dati sono stati ripristinati poche ore dopo l’attacco.

La violazione non ha comportato alcuna conseguenza sul funzionamento quotidiano delle attività del titolare.

Non c’è stato alcun ritardo nei pagamenti dei dipendenti o nella gestione delle richieste dei clienti.

Misure preventive e valutazione dei rischi

Come per tutte le minacce provenienti dall’esterno, la probabilità che un attacco ransomware abbia successo può essere drasticamente ridotta rafforzando la sicurezza dell’ambiente di controllo dei dati.

La maggior parte di queste violazioni può essere prevenuta garantendo che siano state adottate adeguate misure di sicurezza organizzative, fisiche e tecnologiche.

Esempi di tali misure sono una corretta gestione delle patch e l’uso di un adeguato sistema di rilevamento anti-malware.

Avere un backup adeguato e separato aiuta a mitigare le conseguenze di un attacco.

Inoltre, un programma di educazione, formazione e sensibilizzazione dei dipendenti sulla sicurezza contribuirà a prevenire e riconoscere questo tipo di attacco.

Le Linee Guida suggeriscono una serie di misure di mitigazione per queste tipologie di attacchi che vengono riportate in calce a questo articolo (si veda: Misure di mitigazione per attacchi ransomware).

Tra le misure da adottare, una delle più importanti è l’adozione di un corretto patch management che assicuri che i sistemi siano aggiornati e che tutte le vulnerabilità conosciute dei sistemi in esercizio siano corrette visto che la maggior parte degli attacchi ransomware sfruttano proprio le vulnerabilità conosciute.

Per quanto attiene alla valutazione dei rischi, è importante che il Titolare indaghi sulla violazione e identifichi la tipologia di codice malevolo per capire le possibili conseguenze dell’attacco. Tra i diversi rischi da considerare c’è il rischio che i dati siano stati esfiltrati senza lasciare traccia nei log dei sistemi.

In questo esempio, l’aggressore aveva accesso ai dati personali, tuttavia, i dati non potevano essere letti o utilizzati dall’attaccante. La tecnica di cifratura utilizzata dal Titolare è conforme allo stato dell’arte e la chiave di decrittazione non è stata compromessa e presumibilmente non poteva essere individuata con altri mezzi.

Di conseguenza, i rischi di riservatezza per i diritti e le libertà degli interessati sono ridotti al minimo e i diritti e le libertà delle persone interessate non appaiono compromessi.

In questo esempio, gli effetti negativi del data breach sono stati attenuati poco dopo il verificarsi della violazione.

Infine, avere un sistema di backup corretto rende gli effetti della violazione meno gravi.

Per quanto riguarda la gravità delle conseguenze per le persone interessate, si sono potute individuare solo conseguenze minori in quanto i dati interessati sono stati ripristinati nel giro di poche ore, la violazione non ha comportato alcuna conseguenza nelle attività quotidiane del Titolare e non ci sono effetti significativi sugli interessati (ad es. sui pagamenti dei dipendenti o sulla gestione delle richieste dei clienti).

Mitigazione e obblighi

In assenza di un backup, ben poche misure possono essere messe in atto dal Titolare per rimediare alla perdita di dati personali, aumentando la gravità degli effetti visto che rischi e impatti sugli interessati aumentano di conseguenza.

Risulta, quindi, fondamentale nell’analisi del rischio la disponibilità di un backup e la verifica della tempestività di un efficace ripristino dei dati.

Nel caso analizzato, a seguito di una valutazione d’impatto dettagliata e di una procedura di risposta agli incidenti, il Titolare ha stabilito che non era probabile che la violazione comportasse un rischio per i diritti e le libertà delle persone fisiche e che non fosse, di conseguenza, necessaria alcuna comunicazione agli interessati, né una notifica all’Autorità di controllo.

In ogni caso, tutte le violazioni di dati devono essere documentate a norma dell’articolo 33 (5).

In seguito a un data breach è comunque sempre consigliabile aggiornare e correggere le misure di sicurezza tecniche e organizzative.

Azioni da intraprendere

  • Documentare la violazione nel registro delle violazioni dei dati personali.
  • Non sono necessari né notifica all’Autorità, né la comunicazione agli interessati.

Ransomware senza backup aziendale criptato

Scenario 2. Uno dei computer utilizzati da un’azienda agricola è stato esposto a un attacco ransomware e i suoi dati sono stati criptati.

L’azienda si avvale dell’esperienza di una società di sicurezza informatica esterna per monitorare la rete.

Sono disponibili log che tracciano tutti i flussi di dati in uscita dall’azienda (compresa l’e-mail in uscita).

Dopo l’analisi dei log e i dati raccolti dagli altri sistemi di rilevamento, l’indagine ha determinato che l’attaccante ha solo criptato i dati, senza esfiltrazione; anche in questo caso, quindi, non c’è stata sottrazione di dati.

I log non mostrano alcun flusso di dati verso l’esterno durante l’attacco.

I dati personali interessati dalla violazione riguardano i dipendenti e i clienti dell’azienda, alcune decine di persone in tutto. Nessuna categoria particolare di dati è stata interessata.

Non era disponibile alcun backup in forma elettronica.

La maggior parte dei dati è stata ripristinata da backup cartacei. Il ripristino dei dati ha richiesto 5 giorni lavorativi e ha portato a ritardi minori nella consegna degli ordini ai clienti.

Misure preventive e valutazione dei rischi

Il Titolare del trattamento avrebbe dovuto adottare le stesse misure preliminari di cui allo scenario 1.

La principale differenza rispetto al caso precedente è la mancanza di un backup elettronico e la mancanza di crittografia dei dati presenti sul dispositivo oggetto dell’attacco.

Questi elementi portano a conclusioni differenti rispetto al primo esempio.

Nel valutare i rischi e comprendere le possibili conseguenze dell’attacco, infatti, il Titolare dovrebbe verificare la metodologia di infiltrazione e identificare il tipo di codice malevolo.

In questo esempio il ransomware ha criptato i dati personali, che non sono stati, tuttavia, sottratti.

Di conseguenza, i rischi per i diritti e le libertà delle persone interessate derivano dalla mancanza della disponibilità dei dati, dato che non sarebbe stata compromessa la riservatezza.

È essenziale effettuare un esame approfondito dei log del firewall per determinare il rischio, anche considerato che al Titolare del trattamento potrebbe essere richiesto di presentare i risultati concreti di queste indagini su richiesta.

Il Titolare deve, inoltre, tenere in opportuna considerazione che l’attacco potrebbe essere più sofisticato e il malware potrebbe avere la capacità di modificare i file di log e rimuovere la traccia. Quindi, visto che nel caso in esame i log non vengono inoltrati o replicati a un server centrale, il Titolare non può affermare che l’assenza di una registrazione del log dimostri l’assenza di esfiltrazione, pertanto la probabilità di una violazione della riservatezza non può essere completamente esclusa.

In questo specifico scenario non sono interessate categorie particolari di dati personali, e la quantità di dati violati e il numero di interessati è basso.

La raccolta di informazioni esatte sull’accesso non autorizzato è fondamentale per determinare il livello di rischio e prevenire un nuovo attacco.

Se, infatti, i dati fossero stati copiati dall’attaccante, questo elemento rappresenterebbe un fattore di aumento del rischio.

In caso di incertezza circa le specifiche dell’accesso, occorre considerare lo scenario peggiore e valutare di conseguenza il rischio.

L’assenza di un backup, infine, può essere considerata un fattore di aumento del rischio che sarà proporzionale alla gravità delle conseguenze per gli interessati derivanti dalla mancanza di disponibilità dei dati.

Mitigazione e obblighi

In assenza di un backup i dati possono essere considerati persi a meno che si possa ricorrere a documentazione cartacea (originali o stampe) oppure elettronica non strutturata (e-mail).

Il ripristino dei dati non dovrebbe risultare eccessivamente problematico nello scenario descritto vista la disponibilità su supporti cartacei, ma data la mancanza di un backup in forma elettronica, si ritiene necessaria una notifica all’Autorità, visto che il ripristino dei dati ha richiesto tempo (5 giorni) e potrebbe causare alcuni ritardi nella consegna degli ordini ai clienti oltre al fatto che una notevole quantità di metadati (ad es. log, time stamp) potrebbe non essere recuperabile.

D’altro canto, la notifica agli interessati in merito alla violazione può anche dipendere dal tempo in cui i dati personali non risultano disponibili e dalle difficoltà che potrebbero derivare nelle attività del Titolare (ad es. ritardi nel pagamento dei dipendenti).

Poiché tali ritardi (es. pagamenti) possono comportare perdite finanziarie per le persone i cui dati sono stati compromessi, si potrebbe anche sostenere che la violazione potrebbe comportare un rischio elevato per gli interessati e richiedere quindi anche la notifica per questi ultimi.

Azioni da intraprendere

  • Documentare la violazione nel registro, notificare all’Autorità.
  • Non risulta necessaria la comunicazione agli interessati.

Ransomware con backup e senza esfiltrazione dati in un ospedale

Scenario 3. Il sistema informatico di un ospedale/centro sanitario è stato esposto a un attacco ransomware e una percentuale significativa dei suoi dati è stata crittografata.

L’azienda si sta avvalendo di una società di sicurezza informatica esterna per monitorare la rete.

Sono disponibili log che tracciano tutti i flussi di dati in uscita dall’azienda (compresa l’e-mail in uscita).

L’analisi determina che l’attaccante ha solo criptato i dati senza esfiltrazione.

I log non mostrano alcun flusso di dati verso l’esterno nel periodo di tempo interessato dall’attacco.

I dati personali coinvolti riguardano i dipendenti e i pazienti della struttura, ovvero migliaia di individui.

I backup erano disponibili in forma elettronica.

La maggior parte dei dati è stata ripristinata ma questa operazione è durata 2 giorni lavorativi e ha portato a gravi ritardi nel trattamento dei pazienti, interventi chirurgici annullati o posticipati e un abbassamento del livello di servizio a causa della indisponibilità dei sistemi.

Misure preventive e valutazione dei rischi

In questo caso, la quantità di dati violati e il numero di persone interessate sono elevati e l’indisponibilità dei dati ha un forte impatto su buona parte degli interessati.

Inoltre, sussiste un rischio residuo di elevata gravità per la riservatezza dei dati dei pazienti.

Sono, inoltre, interessati dati particolari.

Nonostante l’esistenza di un backup dei dati, si è in presenza di un rischio alto a causa della gravità degli impatti per gli interessati (ritardi nel trattamento dei pazienti, interventi chirurgici annullati o posticipati) derivanti dalla mancanza di disponibilità dei dati al momento dell’attacco e nei giorni successivi.

Mitigazione e obblighi

In questo caso è necessaria la notifica all’Autorità, in quanto sono coinvolte categorie particolari di dati personali e il ripristino dei dati richiede un tempo significativo, con conseguenti gravi ritardi nell’assistenza ai pazienti.

Allo stesso modo, risulta necessaria la notifica agli interessati in modalità diretta per i pazienti che dovevano essere trattati nell’ospedale durante il periodo in cui il sistema informatico non era disponibile e attraverso una comunicazione pubblica o a una misura simile, per i restanti interessati (pazienti non recenti) affinché anche questi siano informati con analoga efficacia (art. 34 (3) c), elemento, quest’ultimo, che obbliga l’ospedale a rendere pubblico l’attacco ransomware e i suoi effetti.

Azioni da intraprendere

  • Documentare la violazione nel registro.
  • Notificare all’Autorità, comunicare agli interessati.

Ransomware senza backup e con esfiltrazione

Scenario 4. Il server di una compagnia di trasporto pubblico è stato esposto a un attacco ransomware e i suoi dati sono stati criptati.

Secondo i risultati dell’indagine interna, l’autore non solo ha criptato i dati, ma li ha anche esfiltrati.

I dati coinvolti erano dati anagrafici, numeri di carta d’identità e dati finanziari di clienti e dipendenti, nonché di diverse migliaia di persone che utilizzano i servizi della società (ad es. acquistano biglietti online).

Esisteva un backup, che è stato criptato dall’attaccante.

Misure preventive e valutazione dei rischi

In un sistema di backup ben progettato il backup deve essere memorizzato in modo sicuro senza possibilità di accesso dal sistema principale proprio per evitare che quest’ultimo possa essere compromesso nello stesso attacco.

La violazione considerata in questo scenario non riguarda solo la disponibilità dei dati, ma anche la riservatezza, comportando, pertanto, un rischio elevato.

Oltre ai dati anagrafici, sono coinvolti anche documenti di identità e dati finanziari come i dati della carta di credito.

Una violazione dei dati relativi a questi tipi di dati presenta un elevato rischio in sé e per sé.

La cifratura del backup presenta un rischio elevato per i diritti e le libertà degli individui, in quanto l’impossibilità di provvedere ad un ripristino dei dati i tempi brevi potrebbe comportare sia danni materiali (ad es. perdite finanziarie a causa della modifica dei dati della carta di credito) che danni immateriali (ad es. furto d’identità o frode).

Mitigazione e obblighi

È essenziale la comunicazione agli interessati perché possano porre in essere tutte le misure necessarie per evitare danni materiali (ad es. bloccare le loro carte di credito).

Risulta necessaria, altresì, la notifica all’Autorità di controllo.

Misure di mitigazione per attacchi ransomware

Le Linee Guida evidenziano come la realizzazione di un attacco ransomware possa essere segno di una o più vulnerabilità nell’infrastruttura del Titolare, ciò anche laddove a seguito dell’attacco i dati personali risultino criptati, ma non esfiltrati.

Da questa considerazione emerge l’importanza di una valutazione completa del sistema di sicurezza dei dati, con particolare attenzione alla sicurezza informatica affinché le vulnerabilità di sicurezza identificate possano essere documentate e affrontate senza indugio.

L’analisi dello scenario relativo agli attacchi di tipo ransomware si conclude con la seguente lista di misure di mitigazione che, lungi dalla pretesa di essere esaustiva, si pone l’obiettivo di fornire idee di prevenzione e possibili soluzioni, non mancando di sottolineare come ogni attività di trattamento è diversa e quindi è sempre in capo al Titolare l’onere di decidere quali misure sono più adatte alla situazione che si trova ad affrontare:

  1. Mantenere aggiornato il firmware, il sistema operativo e il software applicativo su server, client, componenti di rete attivi e qualsiasi altro dispositivo sulla stessa LAN (compresi i dispositivi Wi-Fi) e conservare i registri dettagliati di quali patch vengono applicate e con quale timestamp.
  2. Segmentare o isolare sistemi di dati e reti per evitare la propagazione di malware sia all’interno dell’organizzazione che verso sistemi esterni.
  3. Mantenere una procedura di backup aggiornata, sicura e testata. I supporti per il backup a medio e lungo termine dovrebbero essere tenuti separati dall’archiviazione dei dati operativi e fuori dalla portata di terzi anche in caso di attacco riuscito (es.: separazione del backup incrementale giornaliero dal backup completo settimanale).
  4. Dotarsi di un software anti-malware adeguato, aggiornato, efficace e integrato.
  5. Disporre di un firewall e di un sistema di rilevamento e prevenzione delle intrusioni adeguato, aggiornato, efficace e integrato. Veicolare il traffico di rete attraverso il firewall/intrusion detection, anche nel caso di lavoro da casa o mobile (ad es. utilizzando le connessioni VPN quando si accede a Internet).
  6. Formare i dipendenti sui metodi per riconoscere e prevenire gli attacchi informatici, capire se le e-mail e i messaggi sono autentici e affidabili, riconoscere un attacco e segnalarlo immediatamente al responsabile della sicurezza.
  7. Identificare il tipo di codice malevolo per intuire le conseguenze dell’attacco ed essere in grado di trovare le giuste misure per mitigare il rischio. Nel caso in cui un attacco ransomware sia riuscito e non ci sia un back-up disponibile, è possibile ricorrere a strumenti come quelli del progetto “no more ransom” per recuperare i dati.
  8. Inoltrare o replicare tutti i log ad un server centrale di log.
  9. Applicare sistemi di crittografia (Strong encryption) e di autenticazione, in particolare per l’accesso amministrativo ai sistemi IT (autenticazione a due fattori, 2FA), e gestire in modo appropriato le chiavi crittografiche e le password.
  10. Eseguire periodicamente attività di vulnerability e penetration test.
  11. Istituire un Computer Security Incident Response Team (CSIRT) o un Computer Emergency Response Team (CERT) all’interno dell’organizzazione, o unirsi ad un CSIRT/CERT collettivo. Creare un Incident Response Plan, un Disaster Recovery Plan e un Business Continuity Plan, e assicurarsi che questi siano accuratamente testati.
  12. Riesaminare l’analisi del rischio in funzione delle contromisure adottate.

WHITEPAPER
Come implementare nel digital workspace una piattaforma di lavoro sicura e intelligente?
Istruzione
Networking
@RIPRODUZIONE RISERVATA

Articolo 1 di 3