LA GUIDA PRATICA

Piano di incident response per affrontare al meglio un data breach: consigli e strumenti

Il piano di incident response è un utile strumento che consente al titolare del trattamento dati di pianificare misure e controlli periodici per evitare incidenti sulla sicurezza del trattamento, ma anche per conferire alla propria struttura un “metodo” per gestire la fase “patologica” del trattamento. Ecco come realizzarlo

26 Set 2019
B
Valentina Brecevich

Avvocato, Studio legale Martorana, Segretario Assodata, Privacy specialist certificata UNI 11697:2017

M
Marco Martorana

Avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017


La predisposizione di un piano di incident response (o “piano di risposta”) costituisce sicuramente una modalità con cui il titolare, in un’ottica di accountability, non solo si propone di pianificare misure e controlli periodici per evitare incidenti sulla sicurezza del trattamento dei dati, ma conferisce alla propria struttura un “metodo” per gestire la fase “patologica” del trattamento.

A tal proposito, Il Data Breach Response Guide di Experian Data Breach Resolution (società del gruppo globale Experian attivo in servizi di credit reporting e marketing) costituisce un ottimo contributo suscettibile di fornire validi spunti per il titolare che intenda dotarsi di un metodo strutturato che gli permetta di fronteggiare l’aumento esponenziale della minacce alla sicurezza informatica.

Il data breach e l’importanza della pianificazione

Con il termine data breach si intende un incidente di sicurezza che cagiona una “violazione dei dati personali” tale da comportare in modo accidentale e/o illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4 par. 12 Reg. UE 679/2016).

In tutti questi casi ciò che rileva è la situazione di grave pregiudizio per i diritti e le libertà degli interessati suscettibile di concretizzarsi. Per questo motivo, se non affrontato in modo adeguato e tempestivo, un caso di data breach può provocare un danno fisico, materiale o immateriale, sociale o addirittura economico alla persona fisica interessata (dal furto d’identità, alla frode, alla discriminazione, alla divulgazione di informazioni coperte dal segreto professionale ecc.).

Pertanto, è necessario che i titolari del trattamento pianifichino in anticipo e mettano in atto procedure volte a rilevare e contenere prontamente una violazione, al fine di prevenire efficacemente la perdita, l’accesso illecito o le modifiche indesiderate dei dati delle persone interessate.

Nel presente articolo verranno illustrati alcuni spunti riportati nell’interessante contributo redatto a cura della Experian Data Breach Resolution: il Data Breach response guide in cui sono descritte le varie fasi della messa a punto di un piano di incident response (di qui in avanti anche solo: “piano di risposta”) e che, nonostante l’assenza di qualsivoglia valore normativo, costituisce una utile guida per una attenta pianificazione dei processi, dalla quale dipenderà l’impatto della violazione non solo sul funzionamento della struttura del titolare ma anche sulla sua reputazione.

In particolare, la gestione dei data breach viene strutturata in 4 fasi che analizzeremo in dettaglio nel prosieguo dell’articolo:

  1. definizione del piano di incident response;
  2. messa in pratica del piano di incident response;
  3. risposta in caso di data breach;
  4. auditing del piano di risposta.

Definizione del piano di incident response

Dal momento in cui all’interno dell’organizzazione aziendale viene rilevato un possibile danno alla sicurezza da cui possano scaturire dei rischi per i diritti e le libertà degli interessati, il fattore tempo è un elemento essenziale. Maggiore è il tempo necessario a capire la tipologia di danno, l’entità, il numero di dati coinvolti, nonché necessario a capire quali siano le misure tecniche e organizzative più idonee da attuare per la gestione del rischio specifico, maggiore sarà l’impatto della violazione non solo sugli interessati ma anche, conseguentemente, sulla reputazione dell’azienda.

È pertanto fondamentale che il titolare individui dapprima un rappresentante (il cosiddetto “Incident Lead”), che dovrà gestire operativamente le attività in caso di violazione, coordinandosi però con un team e con gli altri dipartimenti coinvolti, tra cui rientrano il management, le risorse umane, l’area IT, l’area legale, le relazioni pubbliche e il customer care, ciascuno per le proprie competenze ed il proprio ruolo.

Tra i soggetti suscettibili di comporre la squadra rientrano anche partner esterni specializzati per la gestione del data breach.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Tra i partner esterni figurano società che possono prendersi completamente in carico tutti gli aspetti di risoluzione del data breach (dalle notifiche ai soggetti interessati dalla violazione, alla fornitura di call center sicuri che siano in grado di dare risposte precise agli interessati che chiedono di essere informati sulla violazione riscontrata). Tali società devono essere in grado di fornire consulenza in ordine alle migliori pratiche da attuare, sia come risposta alla violazione in atti sia per evitare incidenti futuri.

A questo punto, una volta individuati i ruoli dei soggetti coinvolti, è essenziale mappare e definire il processo di gestione del data breach compresa l’individuazione di quei soggetti autorizzati ad assumere decisioni con valenza esterna ed interna inerenti al processo di gestione.

Importante sarà anche la previa creazione di modelli di documenti utili per la gestione del piano di incident response quali ad esempio un modello di notifica della violazione, una bozza di comunicazione ai clienti o promemoria per i dipendenti.

Messa in pratica del piano di incident response

Il passo successivo è quello di effettuare una valutazione di efficacia del piano di incident response, al fine di verificare l’efficienza dello stesso qualora si dovessero realizzare degli incidenti alla sicurezza.

In primo luogo, sarà necessario procedere alla formazione del personale in ordine alla relativa osservanza, testando l’effettiva comprensione e consapevolezza dello stesso anche a mezzo simulazioni.

Ovviamente presupposto indispensabile ad una corretta formazione del personale in ordine alla gestione del piano di risposta, è una intensa, ripetuta, specifica formazione dei dipendenti sulle procedure da seguire e sulle misure di sicurezza da adottare nelle attività agli stessi demandate che importino il trattamento dei dati personali.

Se infatti è obbligo del titolare procedere ad una continua revisione delle misure di sicurezza adottate e da adottare, sarà allo stesso modo suo onere preoccuparsi di organizzare una costante formazione del personale in ordine agli interventi di implementazione delle stesse.

Risposta in caso di data breach

Con riferimento a questo passaggio vengono predisposti 9 step da realizzare nelle prime 24 ore dalla conoscenza dell’accaduto, al fine di individuare con precisione la minaccia e la fonte della violazione, nonché di predisporre nel più breve tempo possibile le misure necessarie per la limitazione del rischio.

Ovviamente è essenziale interpretare questi 9 passi alla luce della procedura descritta all’art. 33 del GDPR che fa scattare in capo al titolare l’obbligo di verifica e indagine circa la natura della violazione sin dal momento della scoperta, per poi procedere alla notifica all’Autorità Garante ove ne ricorrano i presupposti.

Nelle prime 24 ore il titolare dovrà preoccuparsi innanzitutto di registrare lo stato di fatto e mettere in sicurezza i dispositivi coinvolti nella violazione. Ed in particolare:

  1. registrare il momento della scoperta nonché del momento in cui uno dei soggetti facenti parte del team di risposta viene informato della violazione;
  2. avvisare tutti: ossia tutti i membri del team di risposta, incluse le risorse esterne per iniziare a eseguire il piano di risposta;
  3. mettere in sicurezza i locali: ossia garantire la sicurezze delle aree in cui si è verificata la violazione dei dati e delle aree circostanti per contribuire a preservare le prove;
  4. interrompere la perdita di ulteriori dati: mettere offline le macchine interessate, ma non spengerle o iniziare ad analizzare il computer fino a quando effettuerà il sopralluogo il soggetto incaricato della verifica;
  5. documentare ogni passaggio: registrare chi ha scoperto la violazione, chi lo ha segnalato, chi è stato segnalato, chi altri lo sa e che tipo di violazione si è verificata;
  6. intervistare le parti coinvolte: parlare con coloro che sono coinvolti nella scoperta della violazione e chiunque altro possa conoscerne, quindi documentare i risultati;
  7. rivedere i protocolli di notifica;
  8. valutare priorità e rischi: in questa fase è necessario considerare sia le informazioni di cui si è già in possesso riguardanti la violazione, ed eventualmente, avviare un’indagine approfondita sull’accaduto;
  9. notifica alle forze dell’ordine: se necessario.

I passaggi successivi individuati nel Data Breach response guide sono incentrati su una valutazione più dettagliata circa la causa della violazione finalizzata alla relativa rimozione, nonché sulla conduzione di una indagine incentrata sulla valutazione di ogni possibile impatto del breach, ed infine ad una valutazione della efficacia del piano di risposta.

In particolare, sarà necessario:

  1. identificare la causa della violazione, procedere alla rimozione della stessa e documentare quanto realizzato;
  2. comunicare la violazione ai partner esterni;
  3. analisi di tutte le fonti di dati per valutare che non vi siano state ulteriori compromissioni;
  4. assicurarsi di quali siano i termini specifici per effettuare le comunicazioni obbligatorie;
  5. rendicontare all’ufficio direzionale l’intera vicenda, a partire dai fatti che hanno portato alla violazione, nonché le azioni e le risorse che si sono rivelate necessarie per la risoluzione;
  6. valutare se sussistono, a livello aziendale, delle iniziative che possano confliggere o ostacolare l’esecuzione del piano di risposta;
  7. effettuare una valutazione su come il piano di risposta è stato gestito, e, se del caso, apportare i necessari miglioramenti anche dal punto di vista della formazione dei dipendenti e nella rivalutazione dei rispettivi ruoli nella gestione del piano di risposta.

Auditing del piano di risposta

La redazione di un piano di incident response non deve essere considerata come un adempimento statico, da effettuarsi una volta per tutte e che rimane immutato nel tempo.

Il titolare dovrà procedere ad una revisione continua dello stesso, anche mediante test e simulazioni. Potrà altresì arricchirlo di nuove fasi, ad esempio prevedendo sempre diversi scenari possibili suscettibili di realizzarsi nella sua organizzazione, e apprestando così la giusta risposta per il maggior numero possibili di violazioni

Conclusioni

Come già accennato, la presente guida si presenta come un interessante spunto dal punto di vista operativo che tuttavia deve essere interpretata alla luce degli obblighi specifici derivanti dal regolamento europeo, in primis l’obbligo di notifica all’Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui il titolare è venuto a conoscenza della violazione dei dati personali, a meno che sia improbabile che la stessa presenti un rischio per i diritti e le libertà delle persone fisiche.

Qualora la notifica all’autorità di controllo non dovesse essere effettuata entro 72 ore, deve essere corredata dei motivi del ritardo.

E se è vero che ogni realtà è diversa dalle altre, lo è altresì anche ogni violazione di dati personali, sia per la causa, sia per la natura dei dati interessati, per la portata numerica degli stessi, nonché per i possibili impatti sui diritti e le libertà degli interessati.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Il titolare, ad ogni modo, non dovrà farsi trovare impreparato, anche nell’ipotesi di breach più inaspettato, e non potrà prescindere dalla consapevolezza che una attenta pianificazione e una conduzione coordinata del piano di risposta è suscettibile di limitare considerevolmente la portata dei danni potenzialmente cagionabili dalla violazione subita.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5