Diventa Autore per CoreTech | Scopri di più





Attacchi Social Engineering e MSP: la procedura di riconoscimento

18/07/20 Avvocato Dalla Riva Blog

dell’Avvocato Gianluca Dalla Riva

 

Prima di preparare un DPA (Data Processing Agreement) ex art. 28 GDPR per un MSP (Managed Service Provider) chiedo sempre se è stata predisposta una procedura per prevenire attacchi social engineering specie nei rapporti con i loro clienti.

Non sempre la risposta è positiva e quindi sensibilizzo sul fatto che il livello di rischio di data breach da parte di un MSP dipende molto anche dal tipo di clientela.

Vi sono, infatti, MSP che trattano, per conto dei loro clienti, dati delicatissimi molto appetibili per la criminalità informatica. Per esempio, possono verificarsi situazioni in cui l’attacco di social engineering è indiretto perché è rivolto prima all’MSP, simulando di essere un cliente, oppure viceversa simulando ad un cliente di essere l’MSP, replicando correttamente le sue procedure, facendo cadere nella rete magari la segretaria del cliente, che non è preparata ad affrontare attacchi simili.

La mancanza di una corretta procedura di riconoscimento tra MSP e cliente, specie quanto le organizzazioni sono appena più strutturate, diventa una lacuna grave per un MSP, frutto evidente di una mancata analisi e gestione del rischio, che può portare non solo alla violazione della normativa privacy con relative gravi sanzioni, ma a danneggiare il cliente, trovandosi magari poi con una pesante richiesta di risarcimento danni.

Ecco perché suggerisco sempre di preparare una procedura di riconoscimento che può svilupparsi in varie modalità, che il cliente deve rispettare per ricevere il servizio: vedrai come verrà apprezzata quando capirà quali rischi gli evita!

Riassumendo, come MSP hai il dovere di tutelare i tuoi clienti anche da questo tipo di attacchi e se non l’hai fatto mettiti all’opera e prepara una procedura di riconoscimento che può essere pensata su livelli diversi, più si chiedono servizi delicati più la procedura deve essere rigida.

Questo costituisce anche una tua tutela legale nel caso poi il cliente subisca un attacco di social engineering da terzi, simulando di essere un MSP, perché non ha rispettato la tua procedura.

Banner

Tutto sommato si tratta di uno sforzo molto contenuto, ma eviti un problema molto grave che può diventare altrimenti un incubo da cui però non ci si sveglia.


Articoli su GDPR

Corso di formazione Online GDPR e Privacy!Il corso generale sul regolamento GDPR, disponibile dal 21 Giugno 2021!In arrivo il corso generale sul regolamento GDPRNuovo Corso GDPRTalk: Compliance Privacy e aspetti pratici: da dove cominciare?Corso Online GDPR e Privacy!Video corso Data Breach - Sai cosa gestirne uno?Gdpr - Privacy Multa del garante di 600 mila euro ad una banca a seguito di un Data Breach.Come avvicinarsi alla Privacy con il metodo SocraticoGarante contro Inps: software di controllo dei certificati medico-legaliCrowdfunding e regolamento GDPR: niente soldi senza Compliance PrivacyGestione Data Breach: non buttare via i dati compromessiRuoli Privacy: MSP quale responsabile del trattamentoMSP (Managed Service Provider) e DPA (Data Processing Agreement): Uno, Nessuno, CentomilaGDPR – PRIVACY Analisi e gestione del rischio: quale regola tecnica scegliere?Obbligo di formazione Privacy anche sulla gestione dei Data BreachAttacchi Social Engineering e MSP: la procedura di riconoscimentoLa nuova frontiera della consulenza: la PrivacyPrivacy Shield: cos’è e perché l’Ue lo annullaGDPR – PRIVACY: una multa di 80 mila euro per la mancata risposta ad una lettera all’interessatoAvvocato Dalla Riva - MSP e gestione dei Data Breach. Quale approccio? | Summit LiveCoreTech partecipa a DATA TALK 2018 - Sicurezza informa e GDPRStrumenti Tecnici per GDPR versione 1.0Perché Sygma costa così poco?Il GDPR con Sygma è più facile!Bollettino Cloud - Marzo 2018GDPR che pa..e!Dati al sicuro e GDPR compliance? Semplice…. 1Backup!GDPR e la sicurezza dei dati, nuovi obblighi

Video Premium su GDPR

Corsi Premium - GDPR