studiodegrazia@pec.it
+3473822130
studio@degrazia.info

Vi è mai capitato? Data Breach 1

Created with Sketch.

Vi è mai capitato? Data Breach 1

Vi chiama un vostro cliente : c’è stato un Data Breach. Che siate un DPO, un consulente sulla sicurezza, o magari entrambi,  è il caso di capire perché è successo.
Da dove partire? Una delle strade migliori è quella di controllare i log degli apparati. Se la rete è complessa (e di solito lo è) può essere che dovremo confrontare le righe di log di computer e apparati di rete e trovare il momento di inizio dell’attacco, che potrà essere (tanto per fare un esempio)  un Ransonware attivato in una mail o un accesso illegale via desktop remoto o attraverso una falla del Firewall. A seconda dell’apparato, potrebbe rendersi necessaria l’analisi di decine o centinaia di record, prima di trovare un nesso o la causa dell’intrusione. Trovare il momento di inizio ci permetterà di filtrare i record e mettere in relazione le informazioni.
Per questo un semplice consiglio: controllate (o date mandato di controllare) periodicamente che l’ora degli apparati sia sincronizzata.  Rischiate di perdere tempo prezioso cercando dei record che sono da un’altra parte solo perché l’ora del firewall non è corretta. E periodicamente non intendo una volta all’anno… Fatelo ogni settimana! Una rete ben configurata offre meno possibilità ai malintenzionati.
“Beh” – direte – “Ma anche se i log sono sfasati di qualche minuto, cosa cambia in fondo? Ci vorrà un po’ di più per trovarli, che fretta c’è?”
Dipende… La comunicazione al Garante va fatta entro 72 ore. Non è detto che possiate fiondarvi dal cliente immediatamente, poi bisogna analizzare l’accaduto, verificare i danni e preparare la documentazione… E ancora, se per entrare negli apparati, dovete aspettare che arrivi il tecnico  IT, che solo lui lo sa fare e nessuno trova le password… campa cavallo, aspettiamo…
“Ma io sono un DPO, non devo fare il tecnico”…  Beh, ne siete sicuri? Chi deve controllare che i dati siano in sicurezza? Avete fatto il possibile? A me viene in mente l’art. 32, o anche il 39.1.b,  per cui preferisco avere un’idea ben precisa della struttura informatica del cliente. Nel Regolamento non hanno scritto cosa NON dovete fare, per cui non sentitevi esentati su nulla: fate tutto ciò che è necessario per proteggere i dati. Il DPO deve essere un punto di raccordo per tutti gli altri professionisti che seguono l’azienda: dovete ascoltare, consigliare e coordinare. Dovete prevedere i problemi e concorrere alla loro soluzione. Dovete proteggere i dati del cliente, e questo vi da’ un mandato a 360 gradi.
 Nei prossimi articoli su questo argomento vedremo qualche caso concreto più nel dettaglio.
A presto.
Roberto Carzedda – DPO Certified Iso (C.V. in home page)