Scopri i rischi dei comportamenti degli utenti finali

Cosa si intende per data breach?

Il paragrafo 12 dell’art.4 del GDPR descrive il data breach come ”la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Questa definizione di “breccia” non si discosta molto da altre nell’ambito della Cyber Security ma restringe l’oggetto della violazione ai dati personali, e riprende parzialmente anche il modello CIA (confidentiality, integrity and availability – riservatezza, integrità e disponibilità), uno degli standard di valutazione del rischio nella Cyber Security.

Il testo del GDPR, all’art 32 “La sicurezza del trattamento”, fornisce una definizione molto generale di misure tecniche di sicurezza, tra le quali “la criptazione e la pseudo-anonimizzazione dei dati personali, anche se esistono delle declinazioni operative più precise, come quelle previste dalle linee guida AGID per la Pubblica Amministrazione.

I danni che le aziende possono subire a seguito di un data breach sono diversi e ingenti, e vanno dal danno di immagine che ne deriva, e dalle conseguenti ripercussioni sul business in termini monetari, ai costi da sostenere per gestirlo (individuare le falle e i colpevoli) e per notificarlo (alle vittime e alle autorità regolatorie).

Data breach e comportamento degli utenti finali

Assumendo che la tua azienda abbia seguito correttamente il modello di gestione della privacy previsto dal GDPR (privacy by design, accountability, sicurezza del trattamento, ecc.) e che si sia protetta in modo adeguato dotandosi di firewall, antivirus o altre tecnologie, i rischi di data breach dipendono in larga parte dal comportamento umano, vero anello debole della catena.

Molto si è scritto negli ultimi anni in proposito, a partire da alcune ricerche di IBM del 2014 che rilevavano nell’85% degli incidenti di sicurezza informatica una concomitanza del fattore umano, sino ad un recente rapporto di Verizon, noto provider di servizi di telecomunicazioni digitali statunitense, che mette gli attacchi di phishing al primo posto fra le cause di data breach.

Nulla di nuovo, anche se in Italia le semplici campagne di awareness sulla Cyber Security, uno standard negli USA e nel Regno Unito, stentano a decollare.

La consapevolezza del rischio è solo il primo gradino della formazione: a questa devono seguire campagne di sensibilizzazione, training ed education.

Basta la sensibilizzazione sulla Cyber Security per proteggersi?

Potrebbe venire da chiederti se la formazione sui data breach del GDPR si sovrapponga interamente alla sensibilizzazione sulla Cyber Security.

La domanda è legittima e la risposta è che in larga parte gli obblighi di formazione introdotti dal GDPR aggiungono qualcosa in più, per almeno due motivi:

  1. la scarsa sensibilizzazione aziendale sulla criticità nella gestione dei dati personali
  2. un uso non sufficientemente accorto dei dispositivi mobili

Cominciamo dal primo punto: mentre la sensibilizzazione sugli attacchi informatici volti a frodi finanziarie o al furto di segreti industriali è ben presente nelle aziende, lo stesso non può dirsi riguardo ai dati personali.

Per quanto riguarda il secondo punto, invece, i dispositivi personali sono generalmente scarsamente protetti da password (l’utente finale vuole infatti avere la loro piena disponibilità in qualsiasi momento) e solo di recente sono stati introdotti sistemi di accesso biometrico. Tali dispositivi contengono però informazioni personali e dati sensibili collegati a trattamenti aziendali che, proprio in virtù della facilità d’uso, potrebbero non essere stati cifrati pur ricadendo comunque negli obblighi di notifica previsti dal GDPR in caso di furto o smarrimento.

In tale ambito, come già visto nel precedente articolo sull’insufficienza di software e hardware nel proteggere i dati aziendali, assume particolare rilevanza la formazione dei dipendenti che trattano dati personali, come per esempio la forza vendite o chi gestisce i CRM.

Qual è il punto fondamentale del tema Data Breach?

Il dibattito sulle conseguenze dell’obbligo di notifica di data breach, introdotto dal GDPR, si è concentrato troppo sulla valutazione dei casi in cui l’obbligo sia effettivo e sulla documentazione formale da inviare al Garante della Privacy.

Il punto fondamentale però è un altro: evitare che i data breach avvengano.

Il data breach, ancorché portato alla ribalta dal GDPR, è un tema centrale nella gestione dei rischi della Cyber Security e delle politiche preventive di formazione dei dipendenti.

Gli argomenti da trattare sono ben noti: gestione delle password, navigazione su Internet e sui social network, sicurezza dei dispositivi mobili e altro ancora.

Su temi critici quali il phishing, uno dei principali vettori di attacchi e brecce, molte aziende utilizzano campagne di phishing test che, seppur abbinate a pillole di micro-learning, non possono essere considerate interventi di formazione.

C’è inoltre grande necessità di aumentare la consapevolezza degli utenti su una gestione accurata dei dispositivi mobili aziendali e personali, laddove l’azienda ne consenta un parziale uso aziendale (BYOD, bring your own device), spesso non sufficientemente considerati nelle policy del rischio aziendale.

Scarica

Scarica la nostra guida gratuita “FATTORE UMANO E CYBER SECURITY”

con i 10 comportamenti dei tuoi dipendenti che mettono a serio rischio la tua azienda per prevenire truffe informatiche come questa.
Scarica