IT&M Srl

  • +39 049 9004103
  • info@itempd.it
Logo IT&M
CONTATTI
riconoscere e valutare un data breach

Numeri di telefono, indirizzi e-mail, indirizzi postali e, in alcuni casi, numeri di identificazione del veicolo.

Sono i dati personali che sono stati rubati ai contatti e clienti di Volkswagen, la nota casa automobilistica tedesca.

L’accesso non autorizzato e il conseguente furto di ben 3,3 milioni di dati, è stato registrato nell’aprile del 2019, ma scoperto solo un anno dopo, nel maggio del 2021.
Oltre alla Volkswagen è recente anche la conferma di McDonald’s che dichiara di aver subito il furto di alcuni dati appartenenti a dipendenti e clienti in diversi paesi, tra cui Stati Uniti, Corea del Sud e Taiwan.

Sono tutti casi di data breach, ovvero di una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Dagli esempi sopracitati, possiamo comprendere come chiunque può essere a rischio di una furto di dati: dai singoli utenti alle imprese di alto livello, fino alle istituzioni governative.

Le violazioni possono essere classificate in base ai seguenti tre principi:

  • violazione della riservatezza (Confidentiality Breach) in caso di divulgazione dei dati personali o accesso non autorizzato o accidentale agli stessi;
  • violazione dell’integrità (Integrity Breach), in caso di modifica non autorizzata o accidentale dei dati personali;
  • violazione della disponibilità (Availibility Breach), in caso di perdita, accesso o distruzione accidentali o non autorizzati di dati personali.

Per valutare un data breach ci si affida ad un progetto, creato seguendo le seguenti azioni :

  • individuare e definire una scala di valori di criticità in relazione alle differenti tipologie di dati raccolti o trattati dalle infrastrutture IT aziendali;
  • individuare i punti di vulnerabilità a cui sono esposti i dati;
  • valutare il rischio e l’impatto del data breach in relazione alle misure di sicurezza adottate;
  • avviare le azioni di risposta in funzione del tipo di data breach subito e degli investimenti necessari per l’impiego delle risorse necessarie.