fbpx

Perizie informatiche forensi, indagini e investigazioni informatiche forensi, cyber security, compliance aziendale e GDPR

Blog

Report Baker&Hostetler: in media 69 giorni per scoprire un data security incident

Dettagli

Mediamente 69 giorni per scoprire di essere vittime di un data security incident, e altri 7 giorni per gestire il problema, questo quanto emerge dal report dello studio legale Baker & Hostetler L.L.P del Cleveland.lo studio si fonda si basa su oltre 300 incidenti in cui lo studio è stato coinvolto nel 2015. Secondo Baker & Hostetler ci voglio di media 40 giorni fra la scoperta del breach e l'identificazione dei sistemi coinvolti, e ben 43 giorni di media, fra l'apertura delle indagini forensi e il loro completamento.

Il report evidenzia anche come il data breach sia scoperto dalla vittima nel 51% dei casi ,  e nel rimanente 48% la vittima viene a conoscenza del breach da soggetti terzi.

Il reprot prende in esame anche le cause degli incidenti. Fra queste troviamo che phishing/hacking/malware sono causa di data incidents nel 31% dei casi,  errori o omissioni di dipendenti e collaboratori  nel 24%, furti ad opera di esterni  per il 17%, incidenti sui terze parti, fornitori e client,   nel 14%, furti ad opera di interni  per  l'8%, sottrazione, perdita o smaltimento non corretto per il 6%.

Lo scenario fotografato dal report dello studio Baker & Hostetler è calato nel contesto USA dove c'è certamente una maggiore sensibilità ai temi del data breach e disclosure, ma fornisce dati ed elemnti di riflessione che possono adattarsi anche al contesto Europeo e Italiano, con i dovuti distinguo naturalmente . In Italia e in Europa fino a che non ci sarà un obbligo di legge, vedi regolamento europeo sulla data protection, parlare di data breach e di disclousre è assolutamente improponibile, nessuna azienda italiana è oggi disposta ad ammetterebbe oggi di aver subito un data breach, menchè meno di renderlo pubblico, lo fa perchè costretto,  quando il breach viene scoperto e pubblicato dalla stampa o online.

Tre sono gli aspetti importanti che emergono da questo report che sono comuni anche a noi, sui quali è importante riflettere : il tempo che intercorre fra la discovery e la notification del data incidents; il tempo necessario alla forensics analysis, e le cause degli incidents.

Tre aree su cui tutti, a partire da noi professionisti del settore,  dovremo lavorare per migliorare la nostra capacità di azione e reazione all'incidents, e ... anche di prevenzione. Anzi sicuramente dobbiamo iniziare da qui, dall'adozione di prrocessi che divengano valori aziendali e di tecnologia,  che siano di aiuto a prevenire quella parte di incidents che deriva da errori e manomissioni, dai rapporti con cleinti e fornitori, da gestione non corretta dei dati..

Fonti: http://www.bakerlaw.com/press/bakerhostetler-data-security-incident-response-report-reveals-being-compromise-ready-better-positions-companies-to-respond-to-incidents,  http://www.businessinsurance.com/article/20160330/NEWS06/160339968/cleveland-based-baker-hostetler-l-l-p-reports-that-it-takes-69-days

L'azienda può controllare la mail azienda del dipendente

Dettagli

Corte europea dei diritti umani ha stabilito che una società privata non viola il diritto alla privacy di un dipendente quando controlla le sue comunicazioni sugli account aziendali e che il licenziamento è giustificato se li utilizza a fini che non hanno nulla a che fare con l’attività lavorativa. Nella ricerca di un equilibrio, di bilanciamento tra il diritto alla privacy del dipendente e gli interessi del datore di lavoro, la Corte ha ritenuto "non irragionevole che un datore di lavoro voglia verificare che i dipendenti portino a termine i propri incarichi durante l'orario di lavoro. Anche l'attuale disciplina italiana, dopo le modifiche del Job Acts, risulta in linea con l'orientamento della suprema corte europea; l'azienda deve fornire chiare e puntali indicazioni su come possano essere gestiti gli strumenti aziendali forniti dal datore di lavoro per lo svolgimento delle proprie mansioni; dopodiché il dipendente che con assiduità, ripetutamente violi la Policy incorre prima in richiami , in sanzioni fino ad arrivare con la recidiva continua nel tempo, al licenziamento.
In tutto questo l'azienda deve avere regolamenti chiari, che non lascino spazzi a interpretazioni e usi impropri, rispettare i principi di proporzionalità ma sopratutto, quando arriva a definire un provvedimento disciplinare cristallizzare gli elementi probanti della violazione; sia che si tratti di richiami che di sanzioni ancorché di licenziamento.
Quando l'azienda avvia un procedimento disciplinare è importante pensare che quanto verrà fatto potrebbe, un domani, rendersi utile in giudizio; motivo per cui è importante che le prove acquisite, sopratutto quelle informatiche, siano acquisite secondo i principi delle indagini forensi,della Digital Forensics, e preferibilmente da una parte terza, che riveste un ruolo di garanzia e imparzialità.
Gia la Corte di Cassazione Italiana con la sentenza 2722/2012 aveva avallato il controllo delle mail aziendali da parte del datore di lavoro nell'ambito dei controlli difensivi. Nella sentenza, Secondo i giudici di Piazza Cavour, il datore di lavoro può controllare la posta elettronica del dipendente purché i controlli siano finalizzati a trovare riscontri a comportamenti illeciti del dipendente.
Il contesto giuslavoristico sia in Italia che in Europa sta cambiando rapidamente, i legislatori e le varie corti europee e nazionali stanno ridando alle aziende il diritto a disporre pienamente delle proprie risorse qualunque esse siano, tecnologiche che umane.

Firewall si infiamma la lotta per chi ha la migliore backdoor

Dettagli

Si Infiamma la battaglia fra i Firewall, dopo Juniper che a dicembre ha ammesso di aver individuato una backdoor nel codice dei suoi firewall, ora è il turno di Fortinet http://arstechnica.com/security/2016/01/et-tu-fortinet-hard-coded-password-raises-new-backdoor-eavesdropping-fears/. Tira forse vento di full disclouse sui brand che fino a 9 mesi fa facevano affari con l'NSA?  Chi sarà il prossimo F5 o Checkpoint? La cosa che più mi fa arrabbiare è che molti manager sono convinti che pagando, anzi pangando di più, hanno il miglior prodotto, quello più sicuro, in Italia la 196/2003 prevederebbe che il venditore di un dispositivo di sicurezza lo certificasse compliante con la privacy nel momento in cui te lo vende: non lo fa nessuno; e il Garante stesso non ha mai alzato un dito contro i vari brand; del resto dopo che tutti incominciano a confessarsi pubblicando le backdoor di NSA come avrebbero potuto certificare i loro prodotti?...... sarò un nostalgico del mondo open, ma almeno lì il codice lo puoi esaminare se hai tempo e competenze, qualche anno fa provai pfsense in versione community, impressionante!!! meglio di tanti prodotti commerciali si come gestione che come funzionalità. 

  1. Tutto quello che Facebook sa di noi, che noi non sapevamo.
  2. Privacy Regolamento in arrivo dopo 4 anni di gestazione
  3. UE vieta Facebook ai minori di 16 anni
  4. PWC: crescono i crimini informatici +38%, Nel 34% dei casi gli autori sono impiegati delle aziende, nel 29% ex dipendenti.
Studio Fiorenzi P.IVA 06170660481 - Perizie Informatiche Forensi e Consulenze Tecniche a valore Legale e Giudiziario in Tribunale

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.

Leggi di più