Cyber attack e data breach: prepararsi all’evento per gestire la crisi
Si è tenuto lo scorso 23 aprile un nuovo appuntamento del ciclo GRC talks sviluppato in collaborazione con EY Forensic & Integrity Services.
Il talk dal titolo “Cyber attack e data breach: prepararsi all’evento per gestire la crisi” ha visto la partecipazione di Davide Ajello (Data Protection Officer Telepass), Eliana Carusi (Country Business Risk & Compliance Manager IKEA Italia Retail), Jean Paule Castagno (Partner White Collar Crime Orrick), Luca Marzegalli (Partner Cyber EY Forensic & Integrity Services), Pietro Pisanelli (Head of Compliance & Risk Management Vodafone) e la moderazione di Luigi Neirotti (Senior Legal Counsel EY). CLICCA qui per avere accesso al video integrale del talk
La sintesi dell’incontro è chiara: non è più una questione di se, ma di quando un’azienda subirà un attacco informatico. Prevenire è sicuramente importante, ma è altrettanto essenziale uscire dalla comfort zone della difesa per essere pronti a reagire in modo efficace quando la crisi si presenta. Gestire una crisi richiede una prospettiva preventiva e strategica. È fondamentale anticipare e prepararsi a reagire in modo tempestivo e coordinato, altrimenti ci si trova ad affrontare la situazione in modo disorganizzato, con conseguenze potenzialmente devastanti per l’azienda. La corretta risposta e la corretta reazione, nell’immediatezza della scoperta, è buona parte della risoluzione del problema.
Uno degli esempi più evidenti di questa necessità è rappresentato dai ransomware, che hanno colpito numerose organizzazioni in tutto il mondo. Le conseguenze di tali attacchi possono variare notevolmente: da pochi giorni di inattività aziendale a lunghi periodi, e da nessuna perdita di dati a danni irreparabili. Nella maggior parte dei casi, il risultato dipende dalle azioni intraprese dall’azienda prima dell’attacco.
Se in passato la cybersecurity si concentrava principalmente sulla prevenzione, con l’implementazione di firewall, segmentazione di rete e password complesse, oggi la gestione degli incidenti richiede approcci e competenze nuove, ancora difficili da trovare sul mercato. La rapidità delle decisioni è altresì fondamentale, non solo dal punto di vista tecnico, ma anche strategico-legale, e tende a coinvolgere un numero sempre più ampio di funzioni aziendali, a partire da IT, compliance, audit e legale, per affrontare la situazione in modo completo e coordinato.
Le conseguenze di un attacco informatico, infatti, possono essere devastanti sotto diversi aspetti. Oltre ai danni pecuniari ed economici, ci sono quelli reputazionali e sanzionatori, che possono avere conseguenze a lungo termine per l’azienda. Dal punto di vista penale, le società che subiscono un attacco si
trovano poi in una situazione giuridica particolare: da un lato sono vittime del cyber attack, ma contemporaneamente devono dimostrare di essere vittime innocenti. Ciò significa aver adottato tutte le precauzioni necessarie per evitare, anche solo colposamente, di favorire l’evento infausto. Il mancato o incompleto sistema di regolamentazione interna potrebbe essere interpretato come un contributo all’agevolazione del reato commesso da terzi soggetti.
Cambia il paradigma. Le indagini investigative in chiave difensiva (in campo cyber) assumono un ruolo centrale nel nuovo contesto, influenzando significativamente la responsabilità giuridica dell’azienda. Ciò implica la capacità di descrivere e delineare chiaramente i diversi aspetti dell’evento: il contesto tecnologico, l’attacco subito e i danni connessi, documentare eventuali attività di esfiltrazione e la tempestività della scoperta, oltre a illustrare i presidi tecnici e organizzativi adottati per reagire. Quindi non solo quelli preventivi in base all’ordinaria gestione della situazione, ma anche quelli che sono stati adottati prevedendo che un attacco potesse in qualche modo avvenire.
La reazione agli attacchi informatici rappresenta la nuova frontiera per la difesa aziendale. È necessario adottare un approccio olistico e prepararsi adeguatamente per affrontare le nuove complesse sfide […] continua a leggere People in Compliance#34