Perchè l’azienda non ama segnalare gli attacchi informatici

Paola Righetti

Paola Righetti

Recentemente il fornitore di un mio cliente ha avuto un incidente di sicurezza: un ransomware aveva criptato la base dati di alcuni applicativi contenente dati personali.

Confrontandomi con alcuni colleghi che come me lavorano nell’ambito del GDPR e della sicurezza informatica, ho notato una certa resistenza a comunicare pubblicamente l’incidente; questo atteggiamento mi ha fatto riflettere sull’argomento.

Paura delle conseguenze negative

Dal punto di vista delle aziende è comprensibile avere paura di segnalare gli incidenti informatici. Ogni segnalazione potrebbe portare conseguenze negative per l’organizzazione, vediamone alcune:

  1. Danni per la reputazione: le aziende possono temere che rendere pubblico un attacco informatico possa danneggiare la loro reputazione agli occhi dei clienti, dei partner e degli investitori.
  2. Azioni legali : Rivelare di aver subito un attacco informatico potrebbe esporre l’azienda ad azioni legali da parte di clienti o di altre parti interessate a causa dell’attacco informatico.
  3. Costi associati alla risoluzione del problema: le aziende potrebbero temere che rendere pubblico un attacco informatico possa comportare costi aggiuntivi per risolvere il problema e proteggere i dati dei clienti.
  4. Mancanza di trasparenza: in alcuni casi, le aziende potrebbero non essere trasparenti sugli attacchi informatici per evitare la critica o per nascondere la propria inefficienza nella gestione della sicurezza informatica.

 

Importanza della segnalazione

Credo che però sia importante che le aziende segnalino gli incidenti informatici per diverse ragioni. La segnalazione degli incidenti informatici può aiutare a:

  • Comprendere meglio l’entità del problema e prendere decisioni informate su come affrontarlo;
  • Identificare le cause degli incidenti e prevenire quelli futuri.
  • Proteggere gli utenti finali, ad esempio informandoli della vulnerabilità dei loro dati e fornendo loro le istruzioni per proteggersi.
  • Dimostrare la trasparenza e la responsabilità dell’azienda nei confronti degli utenti e dei regolatori.

In Europa, inoltre, esiste una normativa dedicata, vedi la direttiva NIS (e da poco NIS2) ed il regolamento  GDPR, che richiede alle imprese di segnalare rapidamente i data breach (GDPR) o gli incidenti informatici (NIS/NIS2), in quest’ultimo caso solo a determinate tipologie di aziende.

Non farlo comporta l’applicazione di sanzioni, anche piuttosto pesanti.

Voi cosa ne pensate?

Fatemelo sapere nei commenti.

ebook fondamenti sanzioni
“GDPR: I 3 passi fondamentali nella gestione della Privacy per evitare sanzioni che mettono a rischio la tua attività”
CATEGORIE ARTICOLI

ULTIME NOTIZIE

Lascia un commento al mio articolo e se ti è piaciuto, condividilo con i tuoi amici,

Share:

Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

70% completato

Ci sei quasi, inserisci la tua email qui

Iscrivendoti riceverai accesso a ulteriori training e comunicazioni da Studio Ing Righetti.

Potrai cancellare la tua iscrizione in ogni momento.
Privacy Policy

Prima di andare

Vuoi rimanere aggiornato sulle novità di Studio Ing. Righetti? Iscriviti alla newsletter

70% completato

Ci sei quasi, inserisci la tua email qui

Iscrivendoti riceverai accesso a ulteriori training e comunicazioni da Studio Ing Righetti.

Potrai cancellare la tua iscrizione in ogni momento.
Privacy Policy