Le sanzioni che rischi con il data breach e come evitarle

Stando alle rilevazioni di IBM, il costo medio di un data breach non solo ha superato i 4 milioni di dollari, ma è cresciuto del 15% negli ultimi 3 anni. Il 51% delle organizzazioni ha programmato un incremento degli investimenti proprio per far fronte ai data breach, che oltre a conseguenze di natura contrattuale e reputazionale, devono fronteggiare anche il macrocosmo della compliance normativa. Il pensiero va senza dubbio al GDPR, a cui le imprese dovrebbero essere conformi da anni, ma anche a normative che governano settori specifici, come ad esempio HIPAA per quanto concerne la sanità negli Stati Uniti.  

Le sanzioni per i data breach rientrano appunto in due categorie:  

• contrattuali, ovvero legate alla relazione diretta tra l’azienda che custodisce il dato (e che subisce il data breach) e i titolari dello stesso, siano essi persone fisiche o giuridiche (aziende);  
• normative, ovvero erogate da organismi centrali in conseguenza della violazione delle norme in vigore. Quest’ultimo è, appunto, il caso del GDPR, per cui l’azienda può incorrere in una sanzione pecuniaria fino a 10 milioni di euro o al 2% del fatturato annuo globale.   

Le sanzioni per il data breach: come prevenirle

Se definire e quantificare le sanzioni per i data breach non è un compito arduo, lo è molto di più capire come le aziende si dovrebbero muovere per evitare i data breach e/o le sanzioni ad essi inerenti.  

Limitando l’osservazione al GDPR, le prime attività da porre in essere sono un assessment relativo ai dati in proprio possesso e, successivamente, la loro categorizzazione. Quest’ultima attività è fondamentale poiché non tutti i dati sono soggetti a requisiti di compliance, né è opportuno assoggettarli completamente a soluzioni di Data Loss Prevention, quanto meno per un tema di sostenibilità economica e di razionalizzazione dei costi.  

Solo a questo punto è possibile ragionare in ottica tecnologica, ovvero progettare e implementare, insieme a un partner specializzato, soluzioni e tecnologie a supporto dell’integrità e della confidenzialità del dato: entrano così in campo tematiche come DLP, crittografia, autenticazione a più fattori, accesso ai sistemi basato sui ruoli, backup, formazione, monitoraggio continuo e molto altro. 

Cosa fare a seguito di un data breach 

Un altro caso riguarda le aziende hanno subito o temono di aver subito un data breach. Qui, una consulenza esperta sia in termini di rilevazione che di risposta è letteralmente fondamentale, anche di più del caso precedente. Questo perché l’analisi forense, eseguita da tecnici esperti, permette di risalire all’accaduto, ma raramente fornisce totale e assoluta certezza che sia avvenuto un data breach in senso stretto, ovvero che abbia coinvolto dati soggetti a tutela normativa.  

La fase appena descritta non solo è molto complessa, ma il più delle volte è soggetta a interpretazione: bisogna infatti capire se, a fronte di determinati segnali, ci sia stato effettivamente un data breach, e quindi scatti l’obbligo di porre in essere un piano di risposta all’incidente (incident response plan) comprensivo di tutte le azioni, anche di comunicazione, richieste dal GDPR. Attivare queste misure determina un impatto pressoché immediato sulla reputazione del brand, ed è quindi normale che le aziende vogliano essere sicure al 100% dell’accaduto, cosa che – appunto – richiede figure esperte e strumenti adeguati. 

Sanzioni data breach e il ruolo rilevante della cultura 

Limitando il campo di osservazione alle PMI, difficilmente esse dispongono delle competenze e dell’esperienza necessaria per fronteggiare non solo gli step preventivi, ma anche l’analisi post-evento, la progettazione e l’implementazione dell’incident response plan.  

È qui che un partner come Fasternet diventa fondamentale: prevenire le sanzioni dei data breach non è una conseguenza diretta dell’analisi forense, degli strumenti come gli XDR o dei piani di risposta, bensì di un rapporto costante con un’azienda esperta di sicurezza che possa avere un approccio sistemico nei confronti del tema delle violazioni di dati e delle relative sanzioni GDPR.  

Date per scontate competenze ed esperienza, ancora una volta l’elemento cardine è la capacità del partner di creare una relazione di fiducia con cui plasmare a 360 gradi la cultura della sicurezza aziendale. Possiamo certamente intervenire su specifici ambiti di prevenzione e di risposta alle minacce e alle violazioni di dati, come il design dell’incident response plan, ma il massimo valore lo generiamo osservando il fenomeno dall’alto e gestendolo con continuità insieme ai nostri Clienti, di modo tale che questi imparino a tutelare i propri dati, a prevenire gli incidenti, a comunicarli correttamente e a reagire per tempo. E questo si ottiene solo attraverso una progettazione olistica che va ben al di là dell’implementazione di un sistema o di una tecnologia, per quanto efficace essa sia.