Data Breach: quello che ignorate... come i test
Informative, consenso, interesse legittimo, diritti interessato, Risk Assessment, Data breach, queste sono le principali keyword del GDPR. Di tutte queste il Data Breach è il tema meno cavalcato dal marketing, vuoi perché evoca scenari drammatici per l'azienda, vuoi perché in generale c'è un grave livello di impreparazione di aziende e professionisti alla gestione di un data breach.
Le aziende, quelle obbligate dalla compliance, sono più preparate a gestire una situazione connessa a ll'innesco delle procedure di Disaster Recovery piuttosto che a gestire un Data Breach. Quello che si deve sapere di un data breach non sono volumi di nozioni stile enciclopedico, ma sono pochi ma significativi concetti che devono essere correttamente e compiutamente declinati nelle raltà aziendali e che si possono riassumere sommariamente in
- Monitoraggio preventivo e reattivo mediante indicatori di tipo IoA e IoC
- Forensics Readiness per la raccolta costante e continue delle evidenze informatiche ai fini forensi
- Policy, Planning e Procedure operative per la gestione del Data Breach
- Data Breach Testing
E' innanzitutto importante attivare un monitoraggio pro-attivo della sicurezza perlomeno dei sistemi che sono vitali per il business e che effettuano trattamenti col fine di percepire, comprendere se i nostri sistemi sono particolarmente attenzionati da parte di qualcuno, IoA, o se addirittura risultano con grande probabilità già compromessi, IoC.
Implementato il monitoraggio pro-attivo è necessario affiancare una politica di Forensics Readiness, ovvero predisporre una raccolta completa, sistematica a termini di usabilità forense, tamper proof, delle evidenze IT dai sistemi o software che potrebbero essere fonte di prove di un breach. In caso di breach, il soggetto che si inserisce più o meno abusivamente sui nostri sistemi, per prima cosa cerca di cancellare le tracce del suo ingresso, per potersi mantenere sui sistemi per diversi mesi senza che nessuno se ne accorga. Nel momento in cui si prende coscienza del brech se non si è operata la raccolta delle evidenze informatiche costante nel tempo, sistematica e tamper proof, non saremo in grado di comprendere come e da quanto l'intruso si trova nei nostri sistemi. Problema che dovremo spiegare prima ai nostri stakeholder, alle assicurazioni che hanno assicurato il nostro rischio cyber residuo prima ancora che al Garante.
Gestire un data breach significa aver predisposto una serie di policy, e un planning di risorse economiche, IT e di comunicazione, nonchè regole operative per la gestione corretta e completa di un evento raro ma catastrofico. L'incident Response deve ripristinare il servizio ma in maniera non distruttiva, utilizzando i sistemi di DR piuttosto che scalando su macchine virtuali, per dare mondo ai team coinvolti di condurre le indagini sistemistiche, applicative e forensi che si rendono necessarie. Tutto per comprendere le ragioni del breach e predisporre una soluzione di remediation che impedisca un nuovo breach con le stesse modalità.
Tutto questo è corretto e giusto, ma viene assolutamente ignorato che questi concetti, queste policy e procedure, dato che rappresentano un evento straordinario, non sono radicate nelle persone, spesso si conoscono le policy e le procedure ma quando è il momento di metterle in pista qualcosa sfugge al controllo, i sistemi non hanno una capacity adeguata e un disastro si somma all'altro.
Policy e Procedure connesse al Data Breach devono essere Testate con regolarità per diversi motivi. il primo è che è necessario comprendere se nella realtà si presentano situazioni diverse da quelle ipotizzate, e quindi si rende necessario adottare dei correttivi. Il secondo motivo è che i reparti di "pronto intervento Data Breach" devono allenarsi per poter gestire l'eccezionalità di un data breach con la stessa professionalità, fermezza e tempestività con cui in azienda si gestisce un evento ordinario.
Chiaramente per una PMI, ma anche per una grande azienda, gestire un tale livello di complessità può essere un problema sopratutto quando l'IT è uno strumento di business e non è il business di quell'azienda. In questi esternalizzare questi servizi è la soluzione migliore in termini di affidabilità e di rispetto della compliance.