Tra Data Breach e GDPR c’è un legame molto stretto. Per comprenderlo nella sua completezza, ed elaborare così delle efficaci strategie di difesa, bisogna partire da un concetto fondamentale: quello della Triade CIA, acronimo di Confidenzialità, Integrità e Disponibilità.
Il principio di confidenzialità
Tutte le aziende, indipendentemente dalle loro dimensioni o dal settore in cui operano, hanno la responsabilità di proteggere, appunto, la confidenzialità, l’integrità e la disponibilità dei dati. La crescente digitalizzazione dei processi aziendali ha reso i dati uno dei beni più preziosi, ma al tempo stesso più vulnerabili di qualsiasi organizzazione.
Con l’espressione Data Breach si intende qualsiasi violazione di dati che impatta la triade CIA. Se però rivolgiamo particolare attenzione al GDPR (Data Breach GDPR), che com’è noto si occupa di trattamento dei dati personali e di privacy, è soprattutto la confidenzialità ad essere protagonista. Un Data Breach, in altri termini, espone informazioni tutelate dal diritto alla privacy a soggetti non autorizzati ad accedevi, violando appunto il principio di confidenzialità.
Le cause dei Data Breach: attenzione agli errori
Perché accade, quindi, un Data Breach? Qui si entra nel mare magnum della sicurezza informatica, o meglio della data protection. Le cause di un Data Breach sono molteplici: un atto di spionaggio organizzato, un attacco dall’esterno in grado di sfruttare vulnerabilità della rete aziendale, qualche sistema non adeguatamente protetto, un sabotaggio dall’interno o, ipotesi in assoluto più frequente, un errore umano.
Molto spesso, le aziende non hanno un’idea chiara di cosa sia un Data Breach e del perché siano comunque coinvolte in questo tema. Molti pensano che Data Breach sia l’attacco coordinato da parte di gruppi hacker organizzati e intenti a esfiltrare segreti industriali, ma in realtà lo è anche l’invio di un email con contenuti confidenziali al destinatario sbagliato, così come dimenticare documenti riservati nel proprio laptop e poi prestarlo a un collaboratore esterno.
Di sicuro, un Data Breach è molto costoso, e questo dipende dall’esposizione dell’azienda a sanzioni contrattuali, normative (vedi appunto GDPR) e, cosa tutt’altro che secondaria, a danni reputazionali. Un recente studio di IBM (Cost of a Data Breach Report 2023) quantifica in 4,45 milioni il costo medio di una violazione di dati tra tutte le aziende monitorate, ovviamente di dimensioni medie e grandi. Colpisce soprattutto l’incremento del 15% rispetto all’anno precedente, sintomo di un circolo vizioso: i dati valgono sempre di più, e così aumentano i costi per le organizzazioni meno attente alla loro protezione.
WHITEPAPER
Gestione dei Log e GDPR: le best practice per il Data Protection Officer
Data Breach e GDPR: qual è la connessione?
Qual è, dunque, il legame tra Data Breach e GDPR? Il principio che governa il GDPR è l’accountability, che in italiano potremmo tradurre in “responsabilizzazione e rendicontazione”. Il Regolamento europeo, infatti, oltre a responsabilizzare il titolare del trattamento e il responsabile del trattamento (che a loro volta possono nominare un Data Protection Officer), stabilisce che il titolare debba essere in grado di dimostrare la conformità di ogni decisione ai principi del GDPR.
L’accountability, in termini pratici, impone alle organizzazioni un obbligo di adeguata documentazione delle modalità di trattamento dei dati; richiede quindi trasparenza e, come anticipato, impone alle organizzazioni la capacità di dimostrare di aver implementato misure di protezione adeguate. Dovesse verificarsi un Data Breach, il titolare del trattamento dovrebbe non solo dimostrare quanto sopra, ma anche notificare la violazione al Garante entro un tempo massimo di 72 ore, e agli interessati “senza ingiustificabile ritardo”.
Le sanzioni sono molto significative, poiché vanno fino al 4% del fatturato annuo mondiale. A titolo d’esempio, per un colosso europeo come Volkswagen, la sanzione potrebbe superare i 10 miliardi di dollari.
Per qualsiasi azienda, indipendentemente dalle dimensioni e dal modello organizzativo, è quindi fondamentale dotarsi delle giuste misure di protezione tecniche, fisiche e organizzative. In primis, per la protezione del dato in sé (le conseguenze, come si è visto, non riguardano solo la compliance), ma anche per poter dimostrare la conformità alla normativa europea in caso di ispezioni del Garante o, appunto, di un Data Breach.
La centralità dei log e il ruolo di QUICOLLECT
Prevenire un Data Breach e, contestualmente, essere GDPR compliant richiede un coordinamento continuo tra DPO, struttura IT e team di sicurezza informatica, il cui compito è proprio quello di progettare e implementare una strategia di prevenzione e di risposta efficace agli attacchi interni ed esterni che minacciano la triade CIA.
Questo risultato si ottiene attraverso la definizione di procedure corrette, un investimento importante in cultura della sicurezza (mediante programmi di awareness) e una serie di soluzioni tecniche che, a seconda dell’architettura IT e del modello di lavoro adottato dall’azienda, si facciano carico del monitoraggio e della difesa di tutte le componenti, dai dispositivi mobile alle reti, dalle applicazioni ai singoli file e documenti, permettendone la consultazione ai soli aventi diritto (in questo caso specifico entrano in campo le soluzioni di Data Loss Prevention).
Per quanto concerne, invece, la compliance, dimostrare alle Autorità di aver agito conformemente ai principi del GDPR è possibile solo avendo dati certi a supporto, ovvero se si ha piena e assoluta trasparenza su tutto il proprio ecosistema informativo. Solo in questo modo, infatti, è possibile fornire la prova di aver trattato il dato in modo corretto e lecito, e di aver adottato le misure giuste per proteggere l’azienda dai Data Breach, a prescindere dalla causa.
Per questi motivi, soluzioni di gestione dei log come QUICOLLECT rappresentano il basamento, il pilastro stabile di una gestione IT rispettosa non soltanto del GDPR, ma anche delle molteplici normative settoriali (es, HIPAA in ambito pharma e healthcare) che, a diverso titolo, richiedono trasparenza sulle attività e le operazioni svolte dai sistemi informativi.
QUICOLLECT, nella fattispecie, è la soluzione progettata da Intesys Networking su tecnologia Elastic per le attività di log collection & search delle piccole e medie imprese. La soluzione, completamente personalizzata in funzione dell’ecosistema informativo del cliente, si interfaccia con suoi sistemi e opera un’attività di raccolta, monitoraggio e archiviazione dei log in conformità al GDPR, permettendone una rapida ricerca e consultazione successiva. La soluzione comprende inoltre un modulo specifico di gestione degli AdS (Amministratori di Sistema), anch’esso GDPR e ISO 27001 compliant, funzionalità di organizzazione dei dati e di creazione di reportistica standard.
QUICOLLECT, come ogni infrastruttura di raccolta e gestione dei log, può inoltre fungere da basamento stabile per ulteriori estensioni verso i terreni dell’osservabilità, del monitoraggio di tutta l’infrastruttura IT e applicativa, nonché della sicurezza con soluzioni di tipo SIEM, potenziando così l’azienda nel suo complesso e permettendole di affrontare a testa alta le sfide di oggi e di domani.