Avvocato, ha paura dei cyberattacchi?

Chi si occupa di cybersicurezza nella vostra azienda?

Se la riposta a questa breve domanda è “io” allora vi suggerisco di continuare a leggere questo editoriale. Tanto, miei cari avvocati in house, a occhio e croce, la maggior parte di voi avrà risposto così.

E questo perché i vostri amministratori delegati vi vedono, tra le altre cose, come degli esperti in grado di tenere sotto controllo tutti i potenziali rischi a cui può essere sottoposta l’azienda.

Diciamocelo però, la verità è che gli attacchi informatici sono una vera grana. Una bega senza precedenti. E questo perché non esiste una risposta certa. Difendersi da quelli che ormai sono diventati il pericolo numero uno per le aziende è impossibile. Gli attacchi arrivano, indipendentemente dalle misure di sicurezza che si intraprendono o dalla presenza all’interno della società di un guru della cybersicurezza.

L’unica via possibile è difendersi, preparare una strategia in grado di contenere i danni. Ma cosa può fare l’in house counsel per preparare al meglio l’azienda contro le minacce? La risposta viene da Law360 che indica quattro regole d’oro:

1. Definire un piano di risposta agli incidenti. È fondamentale agire nelle prime 24 ore successive alla violazione dei dati. In queste occasioni, le possibili attività che ricadono nelle competenze del team legale comprendono: la corretta gestione di un’indagine legale, il coordinamento con le forze dell’ordine, la comunicazione alle autorità e alle principali parti interessate e al pubblico. Serve poi identificare preventivamente le persone, interne ed esterne all’azienda, che faranno parte di un “team di risposta”, pronto a entrare in azione tempestivamente.
2. Definire a priori le strategie con il management. Il più delle volte, quando si prepara un piano di azione, si definiscono i passaggi pratici, ma non si condividono, con il management, le motivazioni strategiche che stano dietro alle scelte concrete. Prima di definire il piano potrebbe essere utile parlare con i vertici della società e vagliare insieme le potenziali conseguenze di un attacco, tra le quali ad esempio, la richiesta del pagamento di un riscatto.
3. Conoscere a menadito il GDPR. E qui c’è poco da aggiungere. Se non che è fondamentale sapere a priori quali tipi di dati tratta l’azienda in modo da poter determinare più rapidamente le informazioni che potrebbero essere più in pericolo e gli ambiti della violazione.
4. Attenzione alle terze parti. È importante assicurarsi che tutti i fornitori o le terze parti con cui ha a che fare l’azienda seguano degli standard di sicurezza precisi, perché gli hacker potrebbero accedere ai server tramite credenziali rubate a questi ultimi

Che dire… forse seguire questi passaggi può placare le vostre paure…