Si definisce data breach una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Può trattarsi indifferentemente di un incidente o di un atto doloso che comporta una violazione della riservatezza e/o integrità dei dati e/o della disponibilità dei dati personali.
Basta infatti la cancellazione accidentale di un dato affinché si configuri un data breach perché non avendo più la disponibilità di quel dato può causare danni. Ci sono però diversi criteri per stabilire la criticità del data breach: si pensi ad una stampante condivisa sulla quale vengono lanciate stampe di tutti i generi, Se la stampa che si va a perdere è lo stamp di una pagina internet non desta particolare criticità, ma se si tratta della stampa di un documento di identità allora si configura un data breach. Anche essere osservati mentre si una il cellulare o un computer portatile, se si trattano determinati dati, è un data breach.
È molto importante saper prevenire i data breach perché tutte le aziende e gli studi professionali sono a rischio di ispezioni e sanzioni. Oltre all’aspetto sanzionatorio si ha un rischio di immagine, di cause civili e di interruzione di business. Sorge inoltre l’obbligo di notifica al Garante entro 72 ore quando può esserci un rischio per gli interessati.
Dobbiamo considerare che nessun dato è più al sicuro di quello che non viene trattato. Sembra banale, ma la minimizzazione dei dati trattati e l’attenzione circa la conservazione degli stessi assieme alla formazione, sono le premesse fondamentali per un sistema sicuro. Se un dato non serve più va cancellato in nell’ottica della minimizzazione dei rischi.
Ecco allora che diventa fondamentale
- definire i ruoli chiave che abbiano responsabilità nella sicurezza dei dati;
- tracciare le azioni che hanno un impatto sui dati;
- definire le procedure di gestione di tutti i flussi più critici.
È vivamente consigliato stanziare un budget per affrontare il costo legato all’adozione delle misure sicurezza dei dati personali tenendo conto che la fluidità di alcuni processi aziendali possa essere ostacolato dall’introduzione delle stesse. Il danno potrebbe infatti derivare anche da caso fortuito, si pensi alla rottura di un tubo che danneggia irreparabilmente il server. Ecco allora che bisogna prevedere di spendere affinché questo sia posizionato in un posto più alto. Le misure da adottare infatti vanno definite in base ai rischi specifichi e applicate in concreto ai processi aziendali.
Devono essere pensate per prevenire minacce sia informatiche che analogiche; infatti, le misure da adottare si distinguono in misure informatiche, fisiche e organizzative.
Altro aspetto fondamentale è la formazione e la sensibilità perché si possono aver messo in atto tutte le misure necessarie, ma potrebbero rilevarsi essere nulle. Si pensi ad una azienda o a uno studio professionale con molteplici personal computer, tutti protetti da password, ma i dipendenti, con tutte le password che al giorno d’oggi bisogna ricordarsi applicano sul monitor un biglietto con scritta la password del computer.
Negli ultimi tempi inoltre sono tornati di gran moda gli attacchi di phishing e si sono molto evoluti. Oggi non arriva più la mail sgrammaticata, ma arriva una mail perfettamente confondibile con una vera.
Ecco perché l’adozione delle misure in assenza di formazione può rivelarsi inutile.