Negli ultimi giorni si è sentito parlare molto della recente sanzione ricevuta da Unicredit e dal suo responsabile del trattamento per il data breach occorso nel 2018 (Cfr. lo splendido articolo su CyberSecurity360).
Non vogliamo dilungarci su affermazioni trite e ritrite ma vorremmo portare l’attenzione su due punti specifici:
- La necessità di provvedere una nomina a Responsabile del trattamento ex art. 28 GDPR (e magari ottenere il registro delle attività di trattamento del responsabile ex art. 30, GDPR) non sono elementi minoritari – anche se troppo spesso sono trattati come tali.
- Non bisogna sottovalutare vulnerabilità tecniche con quantificazioni ed impatti minori: spesso, infatti, rappresentano un viatico fondamentale per ulteriori scenari d’attacco.
Queste problematiche, per gli esperti del settore, non sono certamente nulla di nuovo eppure rimangono sempre attuali.
Nel corso delle nostre attività e nelle sessioni di formazioni rivolte a tecnici, infatti, non manchiamo mai di sottolineare – da un lato – l’importanza di vulnerabilità come, ad esempio, l’Username Enumeration e – dall’altro – gli elementi di compliance che devono tassativamente essere conosciuti sia dall’ambito sistemistico che da quello deputato allo sviluppo di codice.
Spesso, inoltre, raccomandiamo caldamente di collaborare attivamente con gli altri dipartimenti: il reparto legale (sia per quanto concerne il livello di compliance sia per la gestione/sottoscrizione contrattuale dei/con i fornitori, specie in ottica di exit strategy), il reparto marketing (specie per quanto riguarda la brand reputation e protection, magari anche in riferimento ai domini omomorfi), etc.
Lo sappiamo tutti: la sicurezza non è solo una questione tecnica, è necessario collaborare per gestire in sicurezza un sistema, specie se complesso come quello societario.