A violazione di dati, chiamato anche a violazione della sicurezza, è la frase utilizzata per descrivere un problema di sicurezza in cui si verifica il rilascio intenzionale o non intenzionale di informazioni. Di solito le informazioni sono private, riservate o personali fornite in via fiduciaria all'organizzazione.
Perché si verifica una violazione dei dati
Una violazione dei dati può verificarsi per una serie di motivi. Ad esempio, una violazione dei dati potrebbe essere il risultato dell'acquisizione non autorizzata di informazioni personali per negligenza dei dipendenti (ad esempio fotocopiatura) su dischi rigidi del computer non smaltiti correttamente, per hacker che accedono ai dati tramite un exploit o altri attacchi dannosi.
Leggi sulla notifica di violazione dei dati
Molti paesi o singoli stati / province hanno emanato alcuni tipi di leggi sulla sicurezza e sulla notifica delle violazioni dei dati. Queste leggi richiedono alle agenzie governative e ad altre organizzazioni che raccolgono informazioni personali (incluso un nome combinato con SSN, patente di guida o ID, numeri di conto, ecc.) Di notificare alle persone le violazioni della sicurezza.
L'esatto requisito per le leggi sulla notifica cambia tra i luoghi, così come la definizione giuridica di ciò che costituisce una violazione, i requisiti e la tempistica per la notifica e le esenzioni. In generale, se esiste un rischio percepito come risultato di una violazione dei dati, le persone interessate e gli enti governativi di regolamentazione dovrebbero essere informati.
Security Checklist
Sebbene non ci siano regole specifiche da seguire, la maggior parte delle organizzazioni creerà un elenco di controllo per garantire una risposta rapida per gestire e mitigare una violazione.
Il primo passo è creare una politica che definisca la definizione di violazione da parte dell'organizzazione e identificare cosa costituisce una violazione, assicurandosi che sia conforme a tutte le definizioni legali stabilite nella propria posizione geografica.
Successivamente, un piano identificherà le responsabilità del personale e delineerà come conservare adeguatamente i registri della segnalazione e del monitoraggio delle violazioni. Il piano dovrebbe identificare i processi di supporto e approvazione della direzione e definire le responsabilità dei dipendenti per standardizzare il comportamento.
Infine, le organizzazioni dovranno disporre di una procedura di violazione in atto, derivata dal piano e dalla politica. Questo standardizza le responsabilità e le azioni che fanno parte dello sforzo di risposta e dovrebbe identificare l'alta dirigenza responsabile dell'attuazione delle procedure.
La procedura di violazione dei dati viene in genere rivista, testata e attuata come parte della procedura di continuità aziendale e ripristino di emergenza complessiva di un'organizzazione. La sezione dei collegamenti correlati di seguito offre risorse aggiuntive per aiutare le aziende a creare elenchi di controllo e politiche di violazione dei dati.