Diventa Autore per CoreTech | Scopri di più





Gestione Data Breach: non buttare via i dati compromessi

20/07/20 Avvocato Dalla Riva Blog

dell’Avvocato Gianluca Dalla Riva

Nel mio corso e-learning sulla gestione dei data breach parto con un approccio molto concreto e pratico, illustrando un modello di procedura di gestione di data breach (video di 24 minuti), che si articola in molti elementi organizzati in sequenza che presuppongono puntuali conoscenze dell’argomento.

Alla luce della mia esperienza ritengo che questo sia il metodo migliore per capire la normativa del GDPR, scritta in un legalese non proprio semplice.

Tra i vari elementi di questa procedura, sottolineo che nella fase di verifica della SIS, Segnalazione di Incidente di Sicurezza, è molto importante conservare, sempre se le circostanze lo permettano, i dati necessari per provare il data breach, mediante una modalità che ne garantisca la data certa.

Quindi, salvo situazioni particolari, consiglio di non cancellare l’immagine del server compromesso o altri dati (per esempio i log), ma di conservarli ed applicare anche una impronta HASH (utilizza l’algoritmo SHA256 o superiore) e poi di attribuire un riferimento temporale certo (puoi inserire l’impronta in un documento convertirlo in pdf e poi applicare una marca qualificata, oppure firma digitalmente il documento con contestuale marca qualificata oppure ancora, se proprio non puoi usare la marca qualificata, usa la PEC.

Se sei interessato, su questo argomento, dopo anni di studio, ho creato un corso su udemy sulla crittografia, firma digitale, pec, conservazione digitale, ecc. di quasi 17 ore, vedi https://www.udemy.com/course/firma-digitale-pec-conservazione-crittografia/ )

Certo in situazioni più delicate si può ricorrere ad un’analisi forense, ma ora che arriva l’esperto il tempo passa e, nel frattempo, se hai maneggiato troppo nel server compromesso oppure hai cancellato l’immagine del server o i dati compromessi, l’esperto di analisi forense può solo chiudere il recinto dopo che i buoi sono usciti.

Nel manuale di gestione dei data breach, da predisporre ai fini della compliance privacy, può esserci anche una parte dedicata proprio a questo aspetto con alcuni suggerimenti e tecniche da applicare caso per caso.

Senza dubbio, a fronte del verificarsi di un data breach, è sempre necessario un bilanciamento tra la tutela immediata ed impellente degli interessati, mediante l’adozione di contromisure idonee ad evitare i danni o quantomeno a ridurli, e la necessità di accertare il data breach, conservando le relative prove.

Banner

Però se il problema della conservazione delle prove non viene neppure considerato nella gestione dei data breach, allora sarà molto difficile capire cosa è successo e quindi prevenire futuri attacchi correggendo il proprio sistema di gestione della sicurezza delle informazioni che richiede un costante e continuo processo di miglioramento.


Articoli su GDPR

Corso di formazione Online GDPR e Privacy!Il corso generale sul regolamento GDPR, disponibile dal 21 Giugno 2021!In arrivo il corso generale sul regolamento GDPRNuovo Corso GDPRTalk: Compliance Privacy e aspetti pratici: da dove cominciare?Corso Online GDPR e Privacy!Video corso Data Breach - Sai cosa gestirne uno?Gdpr - Privacy Multa del garante di 600 mila euro ad una banca a seguito di un Data Breach.Come avvicinarsi alla Privacy con il metodo SocraticoGarante contro Inps: software di controllo dei certificati medico-legaliCrowdfunding e regolamento GDPR: niente soldi senza Compliance PrivacyGestione Data Breach: non buttare via i dati compromessiRuoli Privacy: MSP quale responsabile del trattamentoMSP (Managed Service Provider) e DPA (Data Processing Agreement): Uno, Nessuno, CentomilaGDPR – PRIVACY Analisi e gestione del rischio: quale regola tecnica scegliere?Obbligo di formazione Privacy anche sulla gestione dei Data BreachAttacchi Social Engineering e MSP: la procedura di riconoscimentoLa nuova frontiera della consulenza: la PrivacyPrivacy Shield: cos’è e perché l’Ue lo annullaGDPR – PRIVACY: una multa di 80 mila euro per la mancata risposta ad una lettera all’interessatoAvvocato Dalla Riva - MSP e gestione dei Data Breach. Quale approccio? | Summit LiveCoreTech partecipa a DATA TALK 2018 - Sicurezza informa e GDPRStrumenti Tecnici per GDPR versione 1.0Perché Sygma costa così poco?Il GDPR con Sygma è più facile!Bollettino Cloud - Marzo 2018GDPR che pa..e!Dati al sicuro e GDPR compliance? Semplice…. 1Backup!GDPR e la sicurezza dei dati, nuovi obblighi

Video Premium su GDPR

Corsi Premium - GDPR