Blog

Mediamente 69 giorni per scoprire di essere vittime di un data security incident, e altri 7 giorni per gestire il problema, questo quanto emerge dal report dello studio legale Baker & Hostetler L.L.P del Cleveland.lo studio si fonda si basa su oltre 300 incidenti in cui lo studio è stato coinvolto nel 2015. Secondo Baker & Hostetler ci voglio di media 40 giorni fra la scoperta del breach e l'identificazione dei sistemi coinvolti, e ben 43 giorni di media, fra l'apertura delle indagini forensi e il loro completamento.

Il report evidenzia anche come il data breach sia scoperto dalla vittima nel 51% dei casi ,  e nel rimanente 48% la vittima viene a conoscenza del breach da soggetti terzi.

Il reprot prende in esame anche le cause degli incidenti. Fra queste troviamo che phishing/hacking/malware sono causa di data incidents nel 31% dei casi,  errori o omissioni di dipendenti e collaboratori  nel 24%, furti ad opera di esterni  per il 17%, incidenti sui terze parti, fornitori e client,   nel 14%, furti ad opera di interni  per  l'8%, sottrazione, perdita o smaltimento non corretto per il 6%.

Lo scenario fotografato dal report dello studio Baker & Hostetler è calato nel contesto USA dove c'è certamente una maggiore sensibilità ai temi del data breach e disclosure, ma fornisce dati ed elemnti di riflessione che possono adattarsi anche al contesto Europeo e Italiano, con i dovuti distinguo naturalmente . In Italia e in Europa fino a che non ci sarà un obbligo di legge, vedi regolamento europeo sulla data protection, parlare di data breach e di disclousre è assolutamente improponibile, nessuna azienda italiana è oggi disposta ad ammetterebbe oggi di aver subito un data breach, menchè meno di renderlo pubblico, lo fa perchè costretto,  quando il breach viene scoperto e pubblicato dalla stampa o online.

Tre sono gli aspetti importanti che emergono da questo report che sono comuni anche a noi, sui quali è importante riflettere : il tempo che intercorre fra la discovery e la notification del data incidents; il tempo necessario alla forensics analysis, e le cause degli incidents.

Tre aree su cui tutti, a partire da noi professionisti del settore,  dovremo lavorare per migliorare la nostra capacità di azione e reazione all'incidents, e ... anche di prevenzione. Anzi sicuramente dobbiamo iniziare da qui, dall'adozione di prrocessi che divengano valori aziendali e di tecnologia,  che siano di aiuto a prevenire quella parte di incidents che deriva da errori e manomissioni, dai rapporti con cleinti e fornitori, da gestione non corretta dei dati..

Fonti: http://www.bakerlaw.com/press/bakerhostetler-data-security-incident-response-report-reveals-being-compromise-ready-better-positions-companies-to-respond-to-incidents,  http://www.businessinsurance.com/article/20160330/NEWS06/160339968/cleveland-based-baker-hostetler-l-l-p-reports-that-it-takes-69-days

Corte europea dei diritti umani ha stabilito che una società privata non viola il diritto alla privacy di un dipendente quando controlla le sue comunicazioni sugli account aziendali e che il licenziamento è giustificato se li utilizza a fini che non hanno nulla a che fare con l’attività lavorativa. Nella ricerca di un equilibrio, di bilanciamento tra il diritto alla privacy del dipendente e gli interessi del datore di lavoro, la Corte ha ritenuto "non irragionevole che un datore di lavoro voglia verificare che i dipendenti portino a termine i propri incarichi durante l'orario di lavoro. Anche l'attuale disciplina italiana, dopo le modifiche del Job Acts, risulta in linea con l'orientamento della suprema corte europea; l'azienda deve fornire chiare e puntali indicazioni su come possano essere gestiti gli strumenti aziendali forniti dal datore di lavoro per lo svolgimento delle proprie mansioni; dopodiché il dipendente che con assiduità, ripetutamente violi la Policy incorre prima in richiami , in sanzioni fino ad arrivare con la recidiva continua nel tempo, al licenziamento.
In tutto questo l'azienda deve avere regolamenti chiari, che non lascino spazzi a interpretazioni e usi impropri, rispettare i principi di proporzionalità ma sopratutto, quando arriva a definire un provvedimento disciplinare cristallizzare gli elementi probanti della violazione; sia che si tratti di richiami che di sanzioni ancorché di licenziamento.
Quando l'azienda avvia un procedimento disciplinare è importante pensare che quanto verrà fatto potrebbe, un domani, rendersi utile in giudizio; motivo per cui è importante che le prove acquisite, sopratutto quelle informatiche, siano acquisite secondo i principi delle indagini forensi,della Digital Forensics, e preferibilmente da una parte terza, che riveste un ruolo di garanzia e imparzialità.
Gia la Corte di Cassazione Italiana con la sentenza 2722/2012 aveva avallato il controllo delle mail aziendali da parte del datore di lavoro nell'ambito dei controlli difensivi. Nella sentenza, Secondo i giudici di Piazza Cavour, il datore di lavoro può controllare la posta elettronica del dipendente purché i controlli siano finalizzati a trovare riscontri a comportamenti illeciti del dipendente.
Il contesto giuslavoristico sia in Italia che in Europa sta cambiando rapidamente, i legislatori e le varie corti europee e nazionali stanno ridando alle aziende il diritto a disporre pienamente delle proprie risorse qualunque esse siano, tecnologiche che umane.

Si Infiamma la battaglia fra i Firewall, dopo Juniper che a dicembre ha ammesso di aver individuato una backdoor nel codice dei suoi firewall, ora è il turno di Fortinet http://arstechnica.com/security/2016/01/et-tu-fortinet-hard-coded-password-raises-new-backdoor-eavesdropping-fears/. Tira forse vento di full disclouse sui brand che fino a 9 mesi fa facevano affari con l'NSA?  Chi sarà il prossimo F5 o Checkpoint? La cosa che più mi fa arrabbiare è che molti manager sono convinti che pagando, anzi pangando di più, hanno il miglior prodotto, quello più sicuro, in Italia la 196/2003 prevederebbe che il venditore di un dispositivo di sicurezza lo certificasse compliante con la privacy nel momento in cui te lo vende: non lo fa nessuno; e il Garante stesso non ha mai alzato un dito contro i vari brand; del resto dopo che tutti incominciano a confessarsi pubblicando le backdoor di NSA come avrebbero potuto certificare i loro prodotti?...... sarò un nostalgico del mondo open, ma almeno lì il codice lo puoi esaminare se hai tempo e competenze, qualche anno fa provai pfsense in versione community, impressionante!!! meglio di tanti prodotti commerciali si come gestione che come funzionalità. 

Joomla templates by a4joomla