Quando un’azienda viene colpita da un attacco informatico, l’evento viene spesso descritto come incidente di sicurezza delle informazioni o data breach. Ma sono la stessa cosa?

Anche se i due termini possono sembrare simili, e qualcuno tende a usarli come sinonimi, è importante invece imparare a distinguerli. Solo conoscendoli e classificandoli correttamente, saremo in grado di rispondere in modo appropriato ed evitare gravi conseguenze per l’azienda.

Capiamo allora come distinguere incidenti di sicurezza e data breach e come affrontare questi due eventi.

 

Cos’è un incidente di sicurezza delle informazioni?

Si parla di incidente di sicurezza delle informazioni quando si verifica un evento che ha una significativa probabilità o sta già avendo un impatto negativo sul business del cliente.

Tale evento comporta la violazione delle policy di sicurezza di un’organizzazione: c’è il rischio concreto di compromettere le operazioni commerciali dell’azienda e minacciare la sicurezza delle informazioni.

 

Quali tipologie di eventi sono considerati incidenti di sicurezza?

Un incidente di sicurezza delle informazioni può essere causato da un evento naturale, da guasti, attacchi e violazioni che vanno ad intaccare integrità, disponibilità o riservatezza delle informazioni sensibili dell’azienda.

In particolare, in riferimento ad attacchi e violazioni, gli incidenti di sicurezza possono includere eventi come:

  • Attacchi malware e DDoS
  • Accessi non autorizzati
  • Violazioni interne
  • Ottenimento di privilegi non autorizzati
  • Furto o perdita di dispositivi

Per esempio, se un dipendente riceve un’e-mail di phishing e il tentativo viene bloccato, senza che l’attaccante ottenga l’accesso ad alcun dato, l’evento viene classificato come incidente di sicurezza.

 

Cos’è un data breach?

Il data breach è una particolare tipologia di incidente di sicurezza delle informazioni, che coinvolge i dati personali.

Secondo il GDPR, un data breach è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

A differenza di un incidente di sicurezza, un data breach va notificato per legge alle autorità competenti.

 

Esempi di data breach

Un data breach può verificarsi quando, per esempio:

  • Qualcuno ottiene accesso, senza autorizzazione, a un sistema dove sono conservati dei dati personali
  • Un dispositivo contenente dati personali viene perso o rubato
  • I dati personali non sono più accessibili in seguito a un attacco ransomware.

Riprendendo l’esempio dell’e-mail di phishing usato sopra, nel caso gli attaccanti riescano ad ottenere l’accesso a dati personali, l’evento dovrà essere invece classificato come data breach.

Secondo il report 2020 “Cost of a Data Breach” di IBM, in Italia la principale causa di data breach sono gli attacchi informatici (52%), a cui seguono errori umani (29%) e falle nei sistemi (19%).

Perché rischiare?

 Scopri come rispondere in modo efficace a un incidente di sicurezza o data breach.

Come determinare se un evento è un incidente o un data breach

Dunque, quando si verifica un evento, come capire se si tratta di un incidente di sicurezza o di un data breach? È necessario analizzare l’evento e capire:

  • chi ha compiuto la violazione e se c’è stato acceso ai dati
  • a quali e quanti apparati, e di conseguenza informazioni, hanno avuto accesso
  • se c’è stata una risposta che ha mitigato il rischio della perdita e/o diffusione dei dati.

La discriminante è la tipologia di dati coinvolti: se sono interessati dei dati personali, l’evento sarà classificato come data breach. Negli altri casi, rimarrà un incidente di sicurezza.

Spesso un data breach inizia come incidente di sicurezza: saper reagire prontamente è fondamentale, per evitare che l’incidente passi al livello successivo.

Per fare ciò è necessario avere un piano.

Incidente di sicurezza vs data breach

 

Incidenti di sicurezza: come prevenirli e rispondere in modo efficace?

Prevenzione

Quanto accade prima del possibile verificarsi di un evento di sicurezza è una fase basilare del processo.

Se un’azienda non ha una fotografia completa, precisa e aggiornata della propria infrastruttura, difficilmente sarà a conoscenza di debolezze, vulnerabilità e possibili fonti di rischio.

Per dotarsi di un piano di incident response è necessario partire da un security assessment: in questo modo si verifica quali sono le esigenze di sicurezza dell’azienda e il grado di esposizione a possibili eventi. Non si tratta di un processo meramente tecnico di ricerca delle vulnerabilità, come avviene con un vulnerability assessment, bensì di un’attività strategica che produce un report indirizzato alla direzione.

Da qui, in un primo momento, si potranno stabilire eventuali azioni di mitigazione necessarie. In seguito, si definirà un piano d’azione, con procedure e ruoli, da mettere in atto nel caso in cui si verifichi un evento di sicurezza.

Per essere certi che un evento sia segnalato e/o rilevato, è necessario dotarsi o migliorare le tecnologie necessarie alla protezione dell’azienda (per es. firewall, email security, EDR, SOC, SIEM, …), come rilevato dall’assessment, ma soprattutto ampliare la cultura di security awareness aziendale.

 

Rilevamento e valutazione

Nel momento in cui viene rilevato un evento anomalo, dopo essere stato segnalato al personale designato, si valuterà se si tratta di un incidente o meno. In questa fase è importante che ci sia qualcuno in grado di capire se si tratta di un evento rilevante o meno. È possibile ricevere innumerevoli segnalazioni dai sistemi e dal personale: senza le specifiche competenze, valutare e classificare gli eventi può risultare molto difficile.

 

Come affrontare un incidente di sicurezza

Risposta

Se si tratta di un incidente è necessario mettere in atto le procedure per

  • contenere l’incidente in modo che non si diffonda e provochi problemi ben più gravi
  • sradicarlo, ovvero eliminare ciò che ha causato l’incidente di sicurezza o data breach
  • e infine ripristinare e riattivare tutti i sistemi coinvolti in modo che siano di nuovo operativi al 100%

 

Apprendimento e miglioramento

Una volta eliminata la minaccia e ripristinati i sistemi è tutto concluso? Manca un’ultima fase.

Affinché la risposta all’incidente sia davvero efficace è necessario analizzare quanto accaduto e predisporre le opportune modifiche a procedure e tecnologie aziendali, per migliorarle e mitigare ulteriormente i rischi.

 

Quindi, per prevenire e gestire un incidente al meglio, un’azienda deve saper integrare competenze specifiche, tecnologie evolute e procedure certificate in un processo testato.

 

La tua azienda è pronta a prevenire e rispondere agli incidenti in sicurezza e data breach?

Share This