Controllo 14: 

In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.

Sono sicuro che in caso di malfunzionamenti del sistema, perdita o inaccessibilità dei dati il primo ad essere informato sarà l’amministratore di sistema. Troppo spesso però il tecnico, per quanto esperto e preparato si troverà impotente nei confronti dell’ultimo malware o cryptolocker.
Ecco quindi che tutto può risultare più semplice se il budget da investire in cybersecurity è stato speso prima che il danno avesse luogo e non dopo per ripristinare i sistemi. Questo fa parte di un progetto di business continuity coerente con la realtà aziendale.
Ancora troppe aziende sono vittime di incidenti che possono compromettere i rapporti con aziende clienti a vantaggio di aziende concorrenti con maggior sensibilità nei confronti della sicurezza informatica.
Oggi ancora troppi data breach non vengono nemmeno denunciati all’Autorità Garante della Protezione dei dati e si stima che esista un enorme sommerso di questi casi.
Questo oltre a contravvenire alle disposizioni presenti negli articoli 33 e sgg. del GDPR va a discapito di tutti poiché impedisce di conoscere appieno le tendenze degli attacchi informatici al fine di indirizzare una politica comune di difesa da parte delle autorità competenti.

Risposta agli incidenti

Qualora le misure preventive non siano state sufficienti e si verifichi un incidente, il personale deve essere in grado di rispondere tempestivamente e adeguatamente in modo da limitarne i danni. A tal fine è opportuno che:

– tutto il personale sia informato su chi debba essere contattato nel caso si identifichino indicatori di un potenziale incidente informatico, come ad esempio il funzionamento anomalo di un computer, l’impossibilità di accedere al sistema o ai dati in esso contenuti, ecc. Una opportuna campagna di formazione dovrebbe aver messo il personale in grado di riconoscere tali indicatori (#controllo10);

– tutto il personale sia educato a non porre in essere azioni estemporanee sui sistemi una volta che abbiano identificato un incidente, in modo da non compromettere le successive attività di risposta. Le azioni devono essere effettuate solo sotto indicazione di personale qualificato o di opportuno supporto tecnico esterno qualora non si disponga internamente di tale personale;

– il responsabile della sicurezza, laddove opportuno, contatti le forze dell’ordine preposte alla lotta contro la cyber-criminalità (#controllo4);

– sia identificato il personale tecnico interno o gli eventuali fornitori incaricati di intervenire per analizzare, rispondere ed eventualmente ripristinare i sistemi (#controllo4).