L'occorrenza di un incidente di sicurezza che risulti in un'invasione hacker è, senza dubbio, uno dei maggiori incubi per qualsiasi azienda oggi. Oltre all'impatto immediato sugli affari, ci sono implicazioni legali e di reputazione che possono durare per mesi o addirittura anni. In Brasile, la Legge Generale sulla Protezione dei Dati (LGPD) stabilisce una serie di requisiti che le aziende devono seguire dopo il verificarsi di tali incidenti
Secondo un recente rapporto della Federasul – Federação de Entidades Empresariais do Rio Grande do Sul -, più del 40% delle aziende brasiliane sono già state oggetto di un qualche tipo di attacco informatico. Tuttavia, molte di queste aziende affrontano ancora difficoltà nel rispettare i requisiti legali stabiliti dalla LGPD. I dati dell'Autorità Nazionale per la Protezione dei Dati (ANPD) rivelano che solo circa il 30% delle aziende violate ha dichiarato ufficialmente l'accaduto. Questa discrepanza può essere attribuita a diversi fattori, includendo la mancanza di consapevolezza, la complessità dei processi di conformità e la paura delle ripercussioni negative sulla reputazione dell'azienda
Il giorno dopo l'incidente: i primi passi
Dopo la conferma di un'invasione hacker, la prima misura è contenere l'incidente per evitare la sua propagazione. Questo include isolare i sistemi colpiti, interrompere l'accesso non autorizzato e implementare misure di controllo dei danni
In parallelo, è importante formare un team di risposta agli incidenti, che deve includere esperti in sicurezza delle informazioni, professionisti IT, avvocati e consulenti di comunicazione. Questa squadra sarà responsabile di una serie di decisioni – principalmente quelle che riguardano la continuità dell'attività nei giorni successivi
In termini di conformità con la LGPD, è necessario documentare tutte le azioni intraprese durante la risposta all'incidente. Questa documentazione servirà come prova che l'azienda ha agito in conformità ai requisiti legali e potrà essere utilizzata in eventuali audit o indagini da parte dell'ANPD
Nei primi giorni, il team di risposta deve effettuare un'analisi forense dettagliata per identificare l'origine dell'invasione, il metodo utilizzato dagli hacker e l'estensione del compromesso. Questo processo è vitale non solo per comprendere gli aspetti tecnici dell'attacco, ma anche per raccogliere prove che saranno necessarie per segnalare l'incidente alle autorità competenti e anche all'assicurazione – nel caso in cui l'azienda abbia stipulato un'assicurazione informatica
C'è un aspetto molto importante: l'analisi forense serve anche a determinare se gli attaccanti sono ancora all'interno della rete dell'azienda – una situazione che, sfortunatamente, è molto comune, ancora di più se dopo l'incidente l'azienda stesse subendo qualche tipo di estorsione finanziaria mediante la liberazione di dati che i criminali avessero eventualmente rubato
Inoltre, la LGPD, nel suo articolo 48, richiede che il titolare del trattamento comunichi all'Autorità Nazionale per la Protezione dei Dati (ANPD) e ai titolari dei dati interessati l'insorgenza di un incidente di sicurezza che possa comportare un rischio o un danno rilevante per i titolari. Questa comunicazione deve essere effettuata entro un termine ragionevole, secondo la regolamentazione specifica dell'ANPD, e deve includere informazioni sulla natura dei dati interessati, i titolari coinvolti, le misure tecniche e di sicurezza utilizzate per la protezione dei dati, i rischi legati all'incidente e le misure che sono state o che saranno adottate per invertire o mitigare gli effetti del danno
Sulla base di questo requisito legale, è essenziale, subito dopo l'analisi iniziale, preparare un rapporto dettagliato che includa tutte le informazioni menzionate dal GDPR. In questo, l'analisi forense aiuta anche a determinare se ci sono state estrazioni e furti di dati – nella misura in cui i criminali eventualmente stanno sostenendo
Questo rapporto deve essere revisionato da professionisti della conformità e dagli avvocati dell'azienda prima di essere presentato all'ANPD. La legislazione prevede anche che l'azienda comunichi in modo chiaro e trasparente ai titolari dei dati interessati, spiegando quanto accaduto, le misure adottate e i passi successivi per garantire la protezione dei dati personali
La trasparenza e la comunicazione efficace, peraltro, sono pilastri fondamentali durante la gestione di un incidente di sicurezza. La gestione deve mantenere una comunicazione costante con i team interni ed esterni, garantendo che tutte le parti coinvolte siano informate sui progressi delle azioni e sui prossimi passi
La valutazione delle politiche di sicurezza è un'azione necessaria
Parallelamente alla comunicazione con le parti interessate, l'azienda deve avviare un processo di valutazione e revisione delle sue politiche e pratiche di sicurezza. Questo include la rivalutazione di tutti i controlli di sicurezza, accessi, credenziali con alto livello di accesso, così come l'implementazione di misure aggiuntive per prevenire futuri incidenti
In parallelo alla revisione e analisi dei sistemi e processi interessati, l'azienda deve concentrarsi, anche, nella ripresa dei sistemi e nel ripristino delle loro operazioni. Questo comporta la pulizia di tutti i sistemi interessati, l'applicazione di patch di sicurezza, il ripristino dei backup e la rivalidazione dei controlli di accesso. È essenziale garantire che i sistemi siano completamente sicuri prima di essere rimessi in funzione
Una volta che i sistemi siano di nuovo operativi, è necessario condurre una revisione post-incidente per identificare le lezioni apprese e le aree di miglioramento. Questa revisione deve coinvolgere tutte le parti rilevanti e risultare in un rapporto finale che evidenzi le cause dell'incidente, le misure adottate, gli impatti e le raccomandazioni per migliorare la postura di sicurezza dell'azienda in futuro
Oltre alle azioni tecniche e organizzative, la gestione di un incidente di sicurezza richiede un approccio proattivo nei confronti della governance e della cultura della sicurezza. Questo include l'implementazione di un programma continuo di miglioramenti nella sicurezza informatica e la promozione di una cultura aziendale che valorizzi la sicurezza e la privacy
La reazione a un incidente di sicurezza richiede un insieme di azioni coordinate e ben pianificate, allineate alle esigenze del LGPD. Dalla contenimento iniziale e comunicazione con le parti interessate fino al recupero dei sistemi e revisione post-incidente, ogni passo è essenziale per minimizzare gli impatti negativi e garantire la conformità legale. Più di questo, è necessario affrontare le mancanze e correggerle – sopra tutto, un incidente deve portare la strategia di cybersicurezza dell'azienda a un nuovo livello
