Consulteam S.r.l.

Orari Uffici

Lun – Ven dalle 9 alle 18

+3908241743280

Hai domande? Contattaci.

Richiedi Informazioni
  • Home
  • Chi siamo
    • Il Team
    • Dicono di Noi
  • Servizi
    • Finanza Agevolata
      • Credito di Imposta per attività di Ricerca e Sviluppo
      • Credito di Imposta “Bonus Investimenti Sud”
      • Credito di imposta per i beni strumentali 4.0
      • Resto al SUD
    • Attestazione SOA
    • Certificazione dei Sistemi di Gestione
      • ISO 9001
      • ISO 14001
      • ISO 37001
      • ISO 45001
    • Sicurezza sul Lavoro
      • SGSL
    • Privacy
    • Gare d’Appalto
      • Rating di Legalità
    • Consulenza sul modello organizzativo ai sensi del D.Lgs 231
  • News
  • Contatti
Consulteam S.r.l.

Gestione Del Data Breach

By consulteam inPrivacy

Le nuove linee guida del Comitato Europeo per la Protezione dei Dati (EDPB) riguardano il DATA BREACH e analizzano alcuni dei  casi più frequenti di violazione dei dati al fine fornire utili indicazioni al Titolare nella fase di analisi del breach e di valutazione della sua gravità.

Vengono analizzati i casi di violazione ovvero evento che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trattati, determinati da:

  • Ransomware;
  • Esfiltration;
  • Fonti umane;
  • Ingegneria sociale;
  • Furto o perdita di dispositivi;
  • Furto o perdita di documenti cartacei.

Il titolare, nei casi summenzionati, deve documentare ogni breach di cui venga a conoscenza, ricomprendendo le informazioni connesse ai dati coinvolti, gli effetti del breach e le azioni di mitigazione intraprese. Nel caso in cui la violazione dei dati possa comportare un rischio per i diritti e le libertà degli interessati coinvolti, il titolare dovrà notificare il data breach al Garante Privacy. Dovrà inoltre comunicare il breach agli interessati, qualora vi sia la probabilità che la violazione comporti un rischio particolarmente elevato per i diritti e le libertà degli stessi.

Le misure di sicurezza che possono essere adottate, per mitigare il rischio, sono:

  • istruzioni puntuali al personale su come inviare le email;
  • inserimento by default degli indirizzi nel campo bcc quando una email abbia più destinatari;
  • richiesta di una ulteriore conferma nell’invio della mail a più destinatari che non siano stati inseriti nel campo bcc;
  • organizzazione di una sessione di formazione sugli incidenti più frequenti derivanti dagli errori più comuni;
  • disattivazione del completamento automatico durante la scrittura di una email.
  • adottare adeguate misure di criptazione dei dati e di gestione delle password, soprattutto quando il trattamento ha ad oggetto dati sensibili o finanziari;
  • mantenere costantemente aggiornati i sistemi e tenere traccia di tali aggiornamenti, di modo da poter dimostrare la compliance con il principio di accountability;
  • fare ricorso a strumenti di autenticazione “forti” (ad esempio l’autenticazione a due fattori) e adeguate policy di gestione e aggiornamento delle password;
  • condurre audit e assessment periodici per verificare la costante adeguatezza delle misure;
  • mantenere aggiornate le copie di backup in modo assicurarsi la possibilità di procedere rapidamente alla recovery dei dati e delle informazioni;
  • adottare piani di disaster recovery e business continuity.

Poiché la gravità del breach è lasciata alla libera valutazione del Titolare, e non vi sono criteri univoci, all’interno del GDPR, per svolgere tale valutazione, l’EDPB fornisce degli esempi al fine di rendere più semplice e veloce la fase di analisi del rischio.

Casi analizzati:

  1. Il ransomware coinvolge dati personali correttamente criptati, relativi a clienti e dipendenti senza attaccare altri computer o sistemi informatici, come le e-mail o i client di accesso. L’azienda dispone di un backup dei sistemi e la chiave di decrittazione non è stata compromessa dall’attacco informatico. In questo caso, le misure di prevenzione consigliate da EDPB sono la corretta gestione delle patch dei sistemi informatici e l’utilizzo di un sistema di rilevamento malware efficace, oltre all’utilizzo di un backup separato. Il personale deve, inoltre, essere correttamente formato al fine di permettere la tempestiva rilevazione della presenza del malware. Nel caso di specie, poiché i dati sono correttamente criptati, il rischio connesso alla perdita di confidenzialità del dato è ridotto al minimo.
  2. : Il ransomware cripta i dati personali contenuti sul computer dell’azienda, relativi a clienti e dipendenti, senza esfiltrarli. Il Titolare, poiché privo di sistemi di backup, reinserisce manualmente i dati recuperandoli dal materiale cartaceo contenuto in archivio. Il ripristino dei dati occupa 5 giorni lavorativi e comporta dei ritardi di minore entità nella consegna degli ordini ai clienti. In questo caso, non essendoci stata una esfiltrazione dei dati, il rischio connesso alla perdita di disponibilità e riservatezza del dato è minimo, se non nullo. Nel caso in cui, invece, non sia possibile escludere una esfiltrazione dei dati, il rischio legato alla perdita di disponibilità e riservatezza sarà maggiore. Dovrà essere condotta una analisi dei log del firewall per poter comprendere le vulnerabilità sfruttate dal malware e porvi rimedio.

Il Comitato si sofferma anche sui casi che coinvolgono i dipendenti e sottolinea come, essendo molto complesso prevenire le varie tipologie di violazioni, il titolare potrebbe prevedere una specifica clausola nel contratto, o nelle istruzioni interne, che vieti alcune specifici comportamenti particolarmente rischiosi ovvero inserisca vincoli nel caso in cui il dipendente non faccia più parte dell’azienda.

 

  • Bonus Università 2021
    Previous ArticoloBonus Università 2021
  • Next ArticoloMady In Italy: Contributo A Fondo Perduto Per Il Settore Del Tessile E Della Moda
    Bonus Università 2021

Related Posts

Linee Guida dell’EDPB: uno spunto sul diritto di accesso tra interessato e titolare
Privacy

Linee Guida dell’EDPB: uno spunto sul diritto di accesso tra interessato e titolare

Il Garante della Privacy chiarisce la parità di diritti per lavoratori subordinati e collaboratori in tema di account email e privacy
Privacy

Il Garante della Privacy chiarisce la parità di diritti per lavoratori subordinati e collaboratori in tema di account email e privacy

Privacy: Responsabilità civile da illecito trattamento dei dati personali
Privacy

Privacy: Responsabilità civile da illecito trattamento dei dati personali

Smart Working e difesa della privacy
Privacy

Smart Working e difesa della privacy

Lascia un commento (Cancel reply)

Your email address will not be published. Required fields are marked *

*
*

Forniamo un valido supporto alle imprese che non vogliono sopravvivere ma crescere in professionalità ed innovazione

NAVIGA

  • Home
  • Chi siamo
  • News
  • Contatti

ARTICOLI RECENTI

  • Semplificazione delle procedure di trasmissione dei documenti ad ANAC dal 1° gennaio 2024
  • Modello organizzativo 231: cos’è e come si organizza
  • Appalti a società miste: i limiti di partecipazione

CONTATTI

Via Giacomo Matteotti, 5 - 82020 - Buonalbergo (BN)
info@consulteam-srl.com
consulteam@arubapec.it
+39 0824 1743280

© 2020 ConsulTeam S.r.l. P.IVA 01739360624

Cookie Policy
Privacy Policy
Copy