In generale, una violazione della sicurezza è una violazione di qualsiasi politica o legge progettata per proteggere qualcosa. Quando persone o veicoli eludono i checkpoint di controllo o entrano in edifici sicuri senza presentare le credenziali appropriate, le violazioni della sicurezza sono generalmente evidenti. Meno evidenti sono le violazioni della sicurezza che coinvolgono dati o informazioni. In un contesto di dati, una violazione della sicurezza è qualsiasi attività che comprometta la natura riservata di determinate informazioni.
Nella maggior parte dei casi, ciò che è o non è una violazione della sicurezza è definito dalla legge. Gli statuti di molti paesi stabiliscono misure di sicurezza per un numero qualsiasi di cose, dai valichi di frontiera alla condivisione dei dati e alle transazioni di commercio elettronico. Una violazione è generalmente definita come qualsiasi azione, intenzionale o meno, che indebolisce un certo interesse di sicurezza definito.
Le violazioni della sicurezza più note in genere causano danni evidenti. Esempi chiari sono una violazione della sicurezza aeroportuale che consente a un passeggero di salire a bordo di un aereo con un’arma o una perdita di dati che porta al furto di identità. Nella maggior parte delle leggi sulla violazione della sicurezza, tuttavia, il danno non è sempre un requisito. La minaccia di danno, o la probabilità di danno, di solito è sufficiente.
Le leggi sulla violazione della sicurezza nella maggior parte dei paesi operano sulla base della probabilità di danno sia per creare incentivi per pratiche di sicurezza rigorose sia per punire azioni scorrette senza aspettare di vedere se qualcuno o qualcosa viene prima ferito. Sebbene le punizioni per le violazioni possano essere severe per legge, l’obiettivo prioritario è solitamente la sicurezza. In particolare, quando si tratta di violazioni dei dati e della sicurezza delle informazioni, anche la probabilità di un danno è spesso sufficiente per avviare importanti azioni di protezione.
Poiché sempre più informazioni sensibili vengono archiviate online, le possibilità di violazione della sicurezza di Internet e della sicurezza del computer diventano sempre più reali, e con esse la possibilità di furto di identità, gravi perdite finanziarie o altri danni. La maggior parte delle leggi sulla sicurezza dei dati richiede a qualsiasi entità che raccoglie o archivia regolarmente informazioni sensibili di adottare determinate precauzioni quando si tratta di proteggere tali informazioni. Il più delle volte i dati devono essere protetti con una serie di password e chiavi elettroniche. I dati mobili, in particolare i dati archiviati sui laptop dei dipendenti o su altro hardware portatile, devono di solito essere protetti contro la divulgazione involontaria o la violazione dei dati in caso di smarrimento o furto.
Le leggi sono spesso ulteriormente specializzate dall’industria. Molti paesi hanno leggi sulla sicurezza dei dati sanitari diverse dalle leggi che regolano le informazioni finanziarie e la possibilità di violazione della sicurezza delle carte di credito, ad esempio. Ogni paese, e talvolta all’interno di ogni paese, ogni stato o provincia, ha leggi diverse e politiche di sicurezza obbligatorie. La maggior parte ha anche leggi relative a come le persone colpite devono essere informate nel caso in cui le loro informazioni abbiano fatto parte di una violazione della sicurezza. I pazienti i cui file sono stati inavvertitamente pubblicati su Internet, gli studenti i cui documenti accademici sono stati hackerati da un database universitario e altri le cui informazioni sono state in qualche modo compromesse hanno generalmente diritto almeno alla notifica, se non anche alla retribuzione e alla restituzione.
Le differenze tra ciò che le leggi richiedono possono rendere difficile per le aziende che operano in più giurisdizioni garantire che le loro pratiche di sicurezza siano universalmente conformi. Poiché le leggi cambiano e si evolvono con la tecnologia, così devono essere le procedure di sicurezza individuali. La maggior parte delle volte, le aziende impiegano funzionari della conformità, avvocati e analisti della sicurezza dei dati per supervisionare tutti i dati e altri scambi di informazioni e per garantire che tutte le leggi sulla sicurezza pertinenti vengano rispettate.