Il verificarsi di un incidente di sicurezza che si traduce in un'intrusione da parte di un hacker è, senza dubbio, uno degli incubi più grandi per qualsiasi azienda odierna. Oltre all'impatto immediato sull'attività aziendale, ci sono implicazioni legali e reputazionali che possono durare mesi o addirittura anni. In Brasile, la Legge generale sulla protezione dei dati (LGPD) stabilisce una serie di requisiti che le aziende devono rispettare quando si verificano incidenti di questo tipo.
Secondo un recente rapporto di Federasul (Federazione delle entità imprenditoriali del Rio Grande do Sul), oltre il 40% delle aziende brasiliane è già stato bersaglio di qualche tipo di attacco informatico. Tuttavia, molte di queste aziende incontrano ancora difficoltà nel rispettare i requisiti legali stabiliti dalla LGPD. I dati dell'Autorità nazionale per la protezione dei dati personali (ANPD) rivelano che solo circa il 30% delle aziende hackerate ha dichiarato ufficialmente l'accaduto. Questa discrepanza può essere attribuita a una serie di fattori, tra cui la mancanza di consapevolezza, la complessità dei processi di conformità e il timore di ripercussioni negative sulla reputazione dell’azienda.
Il giorno dopo l'incidente: i primi passi
Dopo aver confermato l'intrusione di un hacker, il primo passo è contenere l'incidente per impedirne la diffusione. Ciò include l'isolamento dei sistemi interessati, l'interruzione degli accessi non autorizzati e l'implementazione di misure di controllo dei danni.
Parallelamente, è importante creare un team di risposta agli incidenti, che includa esperti di sicurezza informatica, professionisti IT, avvocati e consulenti delle comunicazioni. Questo team sarà responsabile di prendere una serie di decisioni, principalmente quelle che riguardano la continuità aziendale nei giorni successivi.
Per quanto riguarda la conformità alla LGPD, è necessario documentare tutte le azioni intraprese durante la risposta all'incidente. La presente documentazione costituirà prova del fatto che la società ha agito in conformità ai requisiti di legge e potrà essere utilizzata in eventuali verifiche o indagini da parte dell'ANPD.
Nei primi giorni, il team di risposta deve eseguire un'analisi forense dettagliata per identificare la fonte dell'intrusione, il metodo utilizzato dagli hacker e la portata della compromissione. Questo processo è fondamentale non solo per comprendere gli aspetti tecnici dell'attacco, ma anche per raccogliere le prove che saranno necessarie per segnalare l'incidente alle autorità competenti e anche alla compagnia assicurativa, se questa ha stipulato un'assicurazione informatica.
C'è un aspetto molto importante qui: l'analisi forense serve anche a stabilire se gli aggressori si trovano ancora all'interno della rete aziendale, una situazione purtroppo molto comune, a maggior ragione se dopo l'incidente l'azienda sta subendo una sorta di ricatto finanziario attraverso la divulgazione di dati che i criminali potrebbero aver rubato.
Inoltre, la LGPD, all'articolo 48, impone al titolare del trattamento di comunicare all'Autorità nazionale per la protezione dei dati personali (ANPD) e agli interessati il verificarsi di un incidente di sicurezza che possa comportare un rischio o un danno rilevante per gli interessati. Tale comunicazione deve essere effettuata entro un periodo di tempo ragionevole, in conformità con la normativa specifica dell'ANPD, e deve includere informazioni sulla natura dei dati interessati, sugli interessati coinvolti, sulle misure tecniche e di sicurezza utilizzate per proteggere i dati, sui rischi correlati all'incidente e sulle misure che sono state o saranno adottate per invertire o attenuare gli effetti del danno.
Sulla base di questo requisito legale, è fondamentale redigere subito dopo l'analisi iniziale un rapporto dettagliato che includa tutte le informazioni previste dalla LGPD. A questo proposito, l'analisi forense aiuta anche a stabilire se si è verificata un'estrazione e un furto di dati, nella misura in cui i criminali potrebbero affermare.
Il presente rapporto dovrà essere esaminato dai professionisti della conformità e dagli avvocati dell'azienda prima di essere inviato all'ANPD. La normativa stabilisce inoltre che l'azienda deve fornire una comunicazione chiara e trasparente ai soggetti interessati, spiegando cosa è accaduto, le misure adottate e i passaggi successivi per garantire la protezione dei dati personali.
Trasparenza e comunicazione efficace, infatti, sono pilastri fondamentali durante la gestione di un incidente di sicurezza. Il management deve mantenere una comunicazione costante con i team interni ed esterni, assicurandosi che tutte le parti coinvolte siano informate sullo stato di avanzamento delle azioni e sui passaggi successivi.
La valutazione delle politiche di sicurezza è un'azione necessaria
Parallelamente alla comunicazione con le parti interessate, l'azienda deve avviare un processo di valutazione e revisione delle proprie politiche e pratiche di sicurezza. Ciò include la rivalutazione di tutti i controlli di sicurezza, degli accessi e delle credenziali di alto livello, nonché l'implementazione di misure aggiuntive per prevenire incidenti futuri.
Parallelamente alla revisione e all'analisi dei sistemi e dei processi interessati, l'azienda deve anche concentrarsi sul ripristino dei sistemi e sul ripristino delle proprie operazioni. Ciò comporta la pulizia di tutti i sistemi interessati, l'applicazione di patch di sicurezza, il ripristino dei backup e la convalida dei controlli di accesso. È essenziale garantire la completa sicurezza dei sistemi prima di rimetterli in funzione.
Una volta che i sistemi saranno di nuovo operativi, sarà opportuno effettuare una revisione post-incidente per individuare le lezioni apprese e le aree di miglioramento. Questa revisione dovrebbe coinvolgere tutte le parti interessate e produrre un rapporto finale che evidenzi le cause dell'incidente, le azioni intraprese, gli impatti e le raccomandazioni per migliorare la sicurezza dell'azienda in futuro.
Oltre alle misure tecniche e organizzative, la gestione di un incidente di sicurezza richiede un approccio proattivo alla governance e alla cultura della sicurezza. Ciò include l'implementazione di un programma continuo di miglioramenti della sicurezza informatica e la promozione di una cultura aziendale che valorizzi la sicurezza e la privacy.
Per rispondere a un incidente di sicurezza è necessario adottare una serie di azioni coordinate e ben pianificate, in linea con i requisiti della LGPD. Dal contenimento iniziale alla comunicazione con le parti interessate, fino al ripristino dei sistemi e alla revisione post-incidente, ogni passaggio è essenziale per ridurre al minimo gli impatti negativi e garantire la conformità legale. Ma non è tutto: è necessario affrontare gli errori di petto e correggerli. Soprattutto, un incidente deve portare la strategia di sicurezza informatica dell'azienda a un livello superiore.
