La Data Breach Policy è un documento in cui l’ente, sulla base della propria mission e dei dati trattati, rende nota la procedura da seguire per assicurare un approccio efficace e consistente alla gestione dei data breach e agli incidenti di sicurezza.

L’obiettivo della policy deve essere quello di minimizzare il rischio associato con il breach e delineare le azioni da compiere per ridurre le perdite e ripristinare velocemente la normale operatività.

Essa deve dichiarare prima di tutto a chi è applicabile (ad esempio, se l’ente è un’università, allo staff, agli studenti, ai consulenti e ai fornitori).

Tra gli argomenti che devono sicuramente comparire ci sono:

1) i ruoli e le responsabilità, eventualmente con le indicazioni dell’orario di lavoro delle varie figure coinvolte e delle modalità di contatto (telefono, e-mail ecc.)

2) le informazioni da raccogliere per dettagliare il breach (data e ora, nome di chi compila il rapporto, natura dell’informazione coinvolta e la sua sensibilità, descrizione dell’evento, impatto su cose e persone, estensione)

3) procedure disciplinari o impatto giudiziario, quando applicabile, nel caso di cattivo comportamento accertato

4) modalità di contenimento e ripristino

5) contromisure in essere

6) modalità di comunicazione verso l’interno dell’ente, le autorità, la stampa e eventuali terzi coinvolti)

7) modalità di revisione della policy (ogni quanto tempo deve essere effettuata e con quale iter)

8) template del report da compilare nel caso di data breach

FONTE: AgID - Agenzia per l'Italia digitale