Archivi categoria: Databreach

Privacy – Data Breach, come gestirlo senza errori

Rispondi

Privacy – Data Breach, come gestirlo senza errori

Valutare la severità di un data breach è il primo passo da compiere prima di effettuare (entro 72 ore) la notifica della violazione dei dati, un obbligo generale introdotto dal Regolamento UE 679/2016 (“GDPR”).

La notifica all’Autorità Garante va effettuata sempre, tranne il caso in cui è improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.

Se invece il rischio non soltanto è probabile ma anche elevato, la notifica deve essere fatta anche ai singoli interessati.

Riassumiamo quindi i principali errori che la gestione di un data breach presenta.

  1. Assenza di una procedura scritta di gestione di un evento che comporta la violazione dei dati
  2. Assenza nella comunicazione agli interessati dell’avvenuto data breach, della natura della violazione  (es. se vi è stata una violazione della riservatezza)
  3. Ritardo nella comunicazione agli interessati
  4. Descrizione non realistica della violazione nella comunicazione
  5. Assenza nella comunicazione di consigli tecnici sui rimedi, adottabili direttamente dall’interessato, per mitigare le conseguenze dannose della violazione
  6. Utilizzare come strumenti di comunicazione all’interessato, i dati che si ritengono violati. Ad esempio non utilizzare l’email per inviare tale comunicazione, se la violazione riguarda proprio l’email. Valutare mezzi alternativi.

    UNA SOLUZIONE SOFTWARE PER IL DATA BREACH
    Software valutazione severità Data Breach consente di valutare la gravità di un data breach, utilizzando la metodologia e l’algoritmo dell’ Enisa – l’agenzia europea per la sicurezza delle informazioni, e fornisce le indicazioni relative a:
    _ fare/non fare notifica al Garante
    _ fare/non fare comunicazione all’interessato
    _ effettuare/non effettuare il trattamento dell’eventoIl software funziona su un un algortimo che elabora i dati relativi a tre variabili come definite dalla procedura Enisa negli Anneex 1,2 e 3 :
    _ Contesto elaborazione dati
    _ Facilità con cui chi ha accesso ai dati violati può identificare i soggetti interessati
    _ Circostanze della violazione.L’utente deve scegliere per ogni variabile un valore definito dalla guida Enisa da un menù a tendina. Il software effettua in automatico il calcolo del livello di severità del databreach su 4 livelli: basso, medio, alto, molto alto.Per ogni livello di severità il software fornisce in automatico le indicazioni relative a:
    _ fare/non fare notifica al Garante
    _ fare/non fare comunicazione all’interessato
    _ effettuare/non effettuare il trattamento dell’eventoIn base a queste informazioni il titolare dei trattamenti dati può valutare che cosa fare. L’esito è stampabile e allegabile alla documentazione della gestione del data breach.
    Guarda la video demo

Come gestire correttamente un data breach con il nuovo software valutazione severità data breach privacy

Rispondi

E’ stato pubblicato il software Valutazione severità Data Breach

Software valutazione severità Data Breach consente di valutare la gravità di un data breach, utilizzando la metodologia e l’algoritmo dell’ Enisa – l’agenzia europea per la sicurezza delle informazioni.
Senza questa valutazione è molto difficile per il titolare decidere se procedere o meno alla notifica al Garante e agli interessati.

Valutare la severità di un data breach è il primo passo da compiere prima di effettuare la notifica della violazione dei dati, un obbligo generale introdotto dal Regolamento UE 679/2016 (“GDPR”).

La notifica all’Autorità Garante va effettuata sempre, tranne il caso in cui è improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.

Se invece il rischio non soltanto è probabile ma anche elevato, la notifica deve essere fatta anche ai singoli interessati.

Accedi alla video demo dal seguente link

Data Breach: il Garante lancia un nuovo servizio online per semplificare gli adempimenti

Rispondi
corso_agg_dpo

E’ operativo da oggi il nuovo servizio del Garante (https://servizi.gpdp.it/databreach/s/) per supportare i titolari del trattamento negli adempimenti previsti in caso di Data Breach (violazioni dei dati personali).

Da qui gli utenti potranno accedere al modello di notifica al Garante e alla procedura di auto-valutazione (self assessment) che aiuta il titolare nell’assolvimento degli obblighi in materia di Notifica di una violazione dei dati personali all’autorità di controllo e di Comunicazione di una violazione dei dati personali all’interessato.

modlelo_rel_ann_DPO

Data breach: Garante, le comunicazioni agli utenti non devono essere generiche

Rispondi

Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità. È quanto affermato dal Garante per la privacy nel provvedimento adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica.

La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi. Nel caso specifico, ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.

La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda. Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.

Per contenere le possibili conseguenze del data breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente. Mail effettivamente inviata, ma che, dagli atti acquisiti dal Garante nel corso di un’ispezione, è risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali. La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.

In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.

 

10 consigli pratici per una migliore registrazione delle violazioni dei dati

Rispondi

10 consigli pratici per una migliore registrazione delle violazioni dei dati
Sulla base dei risultati della ricerca, l’AP viene fornito con 10 suggerimenti pratici per una migliore registrazione delle violazioni dei dati:

Descrivere in modo chiaro e completo incidenti, conseguenze e misure correttive;
Fare una distinzione esplicita tra misure correttive e preventive. Registra sempre le misure correttive nel registro di violazione dei dati. Può essere utile includere queste misure nel ciclo plan-do-check / learn-act;
Evitare la frammentazione delle registrazioni; crea una registrazione ben organizzata che viene inserita allo stesso livello di dettaglio dei dettagli per ogni unità organizzativa. Considerare, ad esempio, rendere la registrazione trasparente a tutti i dipendenti in modo che possano consultare la panoramica della registrazione prima di registrare qualcosa da soli;
Registrare per caso se il responsabile della protezione dei dati (FG) è coinvolto e, in tal caso, in quale misura. Ogni organizzazione governativa ha un FG.
Registrare per caso se la violazione dei dati è stata segnalata all’AP e ai soggetti coinvolti e spiegare perché ciò è accaduto o meno;
Sii trasparente nei confronti delle persone interessate se c’è stata una violazione dei dati. Comunicare in modo efficace e tempestivo su questo. Conservare la prova di tale notifica e registrarla nella registrazione. 
Preparare un manuale o fornire formazione per i dipendenti che completano la registrazione della violazione dei dati. Questa istruzione può essere parte di una procedura di segnalazione documentata per l’obbligo di segnalazione di violazione dei dati.
Registrare quali altre organizzazioni sono state coinvolte in una violazione (ad esempio co-processori, processori o sub-processori). Ciò è utile se un’organizzazione stipula nuovi accordi con il processore con i relativi processori.
Valutare la classificazione delle violazioni dei dati in base alla natura, alle conseguenze e alle parti coinvolte e alle possibili misure;
Discutere regolarmente la registrazione della violazione dei dati al livello giusto all’interno dell’organizzazione come parte di un ciclo di pianificazione-controllo / apprendimento. In questo modo le organizzazioni possono imparare dagli errori. Il FG può svolgere un ruolo attivo in queste discussioni.

Fonte: Simone Chiarelli

Come scrivere correttamente la #procedura gestione #data #breach: un esempio concreto

Rispondi

La procedura di gestione data breach è un elemento fondamentale della documentazione privacy secondo il Reg. Ue 2016/679. Si tratta di un elemento portante del sistema GDPR aziendale.
Vediamo come deve essere correttamente strutturata questa procedura, fornendoti un esempio concreto che puoi scaricare dal seguente link:
Accedi a www.clubdpo.com

Identificazione delle vulnerabilità della violazione dei dati per limitare la responsabilità

Rispondi

La gestione delle informazioni della tua azienda per ridurre al minimo il rischio legale creato da attacchi informatici e violazioni dei dati è sempre più importante.

dpocorso

È importante avere una visione chiara dell’intero panorama delle minacce relativi ai dati aziendali.

Da un lato gli attacchi informatici, che godono di una maggiore risonanza mediatica. Dall’altra non meno importanti sono “incidenti” come lo smarrimento di un computer o la cancellazione accidentale di un file, per i danni che possono provocare come conseguenza di una violazione dei dati.

Gli incidenti che possono causare una violazione dei dati possono essere accidentali o intenzionali, provocati da persone note della tua azienda (minacce interne) o da “entità” estranee (minacce esterne).

Le violazioni accidentali possono includere la perdita di documenti o attrezzature (come telefoni cellulari o laptop), l’invio di dati alla persona sbagliata, l’accesso non autorizzato a dischi condivisi o applicazioni aziendali e guasti alle apparecchiature (inclusi computer, software o server). Le persone conosciute dalla tua azienda, come dipendenti o partner, possono anche causare violazioni intenzionali rubando o divulgando dati nel tentativo di avere un profitto o sabotare l’azienda.

D’altro canto, le minacce esterne sono più spesso intenzionali e includono tentativi di rubare i dati hackerando o utilizzando tattiche di phishing per installare malware.