Disaster Recovery e Business Continuity nella sicurezza informatica aziendale
Ci sono però altri due concetti, a cui il GDPR viene spesso associato: il Disaster Recovery e la Business Continuity. Questo perché, il GDPR, ha come primario obiettivo per la sicurezza informatica aziendale la reazione in caso di violazione di sicurezza, illecita o accidentale, dei dati raccolti dall’azienda; e quindi in caso questi vengano persi, modificati o divulgati senza autorizzazione. La notifica di tale violazioni, secondo la nuova normativa, deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui se ne è venuti a conoscenza. Ma non devono essere solamente notificate, le violazioni: devono anche essere affrontate, ed è qui che si inseriscono i concetti di Disaster Recovery e di Business Continuity. Se il primo indica le misure tecniche utili ad affrontare un eventuale disastro (dall’attacco hacker all’errore umano, dal furto alla catastrofe ambientale) che colpisca i sistemi informativi aziendali, il secondo termine raggruppa invece le procedure e i processi volti a garantire la continuità dell’azienda e ad evitare che questa interrompa la sua attività. Quando si parla dunque di come adeguarsi al GDPR, si parla anche delle procedure strategiche, tattiche e operative che l’azienda mette in atto qualora i suoi dati vengano violati, per riparare al danno e per non interrompere la sua attività.
Sicurezza informatica aziendale: come reagire al data breach
Come si previene e si gestisce la perdita o la distruzione dei dati personali? Adottando un protocollo di risposta, la cui validità venga verificata periodicamente, ottenendo una copertura assicurativa che risponda in caso di violazione, tenendo un registro dei data breach ed effettuando indagini che ne individuino la natura e la portata. È un concetto fondamentale, infatti, quello del protocollo di risposta. Un concetto che raggruppa tutte le procedure di sicurezza informatica aziendale da seguire per gestire e/o risolvere gli episodi di violazione, in collaborazione – a discrezione dell’azienda o dell’ente pubblico – con i call center, i sistemi di monitoraggio o di risoluzione dei casi di furto d’identità, e i servizi di assistenza. Un concetto che, nell’ambito del come adeguarsi al GDPR, riveste un’importanza primaria.