Quando l’azienda è colpita da un attacco informatico anche l’ufficio Affari Legali viene coinvolto. FireEye ha stilato un memorandum per affrontare il problema.
Il Responsabile degli Affari Legali di un’azienda affronta quotidianamente sfide impegnative, nessuna è però così complessa e delicata come l’affrontare un attacco informatico.
Gabriele Zanoni, Consulting Systems Engineer di FireEye
Gli attaccanti odierni non sono solo più sofisticati nelle attività di compromissione delle reti rispetto al passato, ma hanno anche perfezionato le loro abilità, così da rendere più difficile la loro identificazione una volta infiltrati all’interno di una rete aziendale.
Già prima che si verifichi un incidente informatico c’è da considerare lo stress comportato dal fatto di non sapere a priori quando possa verificarsi, il fatto che non vi siano metodi garantiti per la prevenzione assoluta e che qualsiasi organizzazione possa finire nel mirino. Secondo l’M-Trends Report 2019 di FireEye ci sono state violazioni informatiche praticamente in tutti i settori.
Il Responsabile degli Affari Legali, prima di potersi concentrare sullo sviluppo di un adeguato piano di Incident Response (IR), si ritrova quindi a dover comprendere pienamente i rischi correlati a una futura violazione. Il report M-Trends 2019 di FireEye, infatti, ha rivelato che nel corso del 2018 il tempo di permanenza medio di un attaccante all’interno di una rete aziendale prima di essere scoperto è stato di 78 giorni. Questo è un arco temporale ampiamente sufficiente per acquisire e sottrarre dati critici come le proprietà intellettuali, le informazioni personali, i segreti commerciali e molto altro.
Un aspetto molto importante che il Responsabile degli Affari Legali deve considerare è il costo di un incidente. Uno studio, presentato nel corso del 2018, ha rivelato che il costo medio globale di una violazione dei dati è di 3,86 milioni di dollari. Oltre a questo, ciò che deve essere considerato sono anche gli elementi intangibili: la perdita di reputazione dell’azienda, della fiducia dei clienti e degli azionisti, il tempo destinato alla risoluzione della violazione, la “distrazione” e i costi delle successive azioni legali necessarie.
In questo nuovo mondo permeato dal rischio informatico, il problema più critico che gli Uffici Legali devono affrontare è la preparazione generale di tutto il team e il saper rispondere a una crisi a seguito della violazione.
FireEye identifica 6 passi fondamentali che un Ufficio Affari Legali può intraprendere per non farsi trovare impreparato davanti a un cyber attacco:
–Connessione: sviluppare relazioni con i manager aziendali e collaborare con il CISO per comprendere quali dati sono presenti in azienda e qual è la loro importanza, il loro livello di protezione e di vulnerabilità e quali sono i livelli di visibilità posseduti dal team di sicurezza per quanto riguarda gli asset IT
–Pianificazione: sviluppare e redigere un piano di IR. Identificare un team idoneo a seguire il caso di IR.i
–Pratica: testare il piano di IR svolgendo esercitazioni di “Cyber-Crisis” assicurandosi che i membri del team interno di risposta agli incidenti e gli esperti esterni siano stati pre-identificati e reperibili
–Protezione: stabilire e mettere in sicurezza il segreto professionale tra avvocato e cliente – se possibile – e immediatamente dopo una violazione, coordinare le comunicazioni e la risposta agli incidenti attraverso l’Ufficio Affari Legali dell’Azienda
–Coinvolgere: fornire al Board regolari aggiornamenti che provengano dal CISO
–Considerazione: prevedere un’assicurazione informatica cyber e stipularla nel contesto di un programma assicurativo generale dell’azienda.
Gabriele Zanoni, Consulting Systems Engineer di FireEye
Nel mondo mobile e social di oggi, gestire una crisi in maniera tempestiva è fondamentale, soprattutto date le brevi scadenze previste dalla normativa, come il requisito delle 72 ore regolato dal GDPR. Pianificare con anticipo un approccio comunicativo con il CMO e il CEO, mettendo in pratica risposte specifiche e mirate è ormai prassi necessaria in tutte le aziende.
