L'EDPB (la commissione dei garanti privacy europei) ha pubblicato le
"Guidelines 01/2021 on Examples regarding Data Breach Notification" (grazie
a Giancarlo Caroti di Neumus che me le aveva inoltrate qualche giorno fa):
-
https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-012021-examples-regarding-data-breach_en.
Per ora sono solo in inglese.
Non dicono nulla di nuovo a chi si occupa di privacy e sicurezza delle
informazioni. Ma... lo dicono bene.
Innanzi tutto sono presentati 18 casi di incidente. Essi possono essere
causati da alcuni attacchi (ransomware, intrusione in un sito web, copia di
dati da parte di un interno, accesso non autorizzato da parte di un interno
a causa di un errore di configurazione, perdita o furto di dispositivi IT,
perdita o furto di documenti cartacei, invio di email o posta cartacea a
destinatari sbagliati, furto di identità con attacco di social engineering,
riconfigurazione malevola di un server di posta). Già qui abbiamo una sorta
di lista di minacce da considerare perché significative.
Poi sono anche elencate le misure di sicurezza preventive raccomandate.
Ripeto: nulla di nuovo, ma messo per bene.
Inoltre l'EDPB raccomanda la redazione di un "Manuale per gestire gli
incidenti". E proprio il documento stesso, se utilizzato opportunamente,
fornisce la base per una prima versione di questo manuale (proprio prendendo
i casi riportati e personalizzando i relativi processi di "mitigazione e obblighi").
I casi sono accompagnati anche da considerazioni in merito alla necessità di
notificare all'autorità garante e agli interessati l'evento.
Finalmente, dopo tantissimi documenti fumosi, che raccomandano le "solite"
misure di sicurezza, un documento facilmente leggibile e pratico.
Nessun commento:
Posta un commento