Analisi dei rischi in ambito Privacy

Il D.Lgs 196/2003 ha definito i principi e le regole per assicurare il rispetto della privacy, cioè per trattare e conservare con criteri di riservatezza, integrità e disponibilità, i dati personali ed in particolare i dati “sensibili” contenuti negli archivi e nei sistemi informativi. Un ruolo importante nel processo che assicura alle Aziende il raggiungimento ed il mantenimento della conformità è svolto dall’Analisi dei rischi, tanto che essa è stata esplicitamente prevista dal Decreto Legislativo. L’Analisi dei rischi ha l’obiettivo di individuare i principali eventi potenzialmente dannosi per la sicurezza dei dati, valutare le vulnerabilità intrinseche del sistema e di prevenire le possibili conseguenze o di limitarne la gravità in relazione al contesto fisico-ambientale di riferimento. L’Analisi dei rischi si sviluppa prevedendo quattro fasi procedurali:

  • assessment o identificazione dei rischi che possono presentarsi;
  • raccolta delle risultanze e loro valorizzazione, valutazione degli impatti, ranking delle priorità di intervento;
  • analisi e valutazione dei risultati: gap analysis e livello globale di rischio;
  • indicazioni generali, raccomandazioni di intervento, tempistiche per la pianificazione delle contromisure;

L’Analisi può essere condotta in modo da ottenere risultati qualitativi (generalmente espressi con una matrice di rischio) o risultati quantitativi, secondo una attribuzione di punteggi per i vari rischi individuati. A valle dell’Analisi dei rischi l’Azienda dovrà procedere con la Gestione dei rischi:

  • pianificazione e attuazione di “contromisure” per mitigare le conseguenze;
  • controllo sull’eventuale insorgere di nuovi rischi e verifica sull’attuazione delle contromisure.

Approccio Metodologico

CODIN ritiene che il metodo qualitativo e quello quantitativo possano convivere, in modo tale da avere i benefici di immediata comprensibilità dei risultati del metodo qualitativo con le valorizzazioni numeriche e le possibilità di ripetitività delle misure e di confronto di quello quantitativo. La metodologia di analisi dei rischi adottata (ARES) è basata sulla rilevazione di parametri o indicatori chiave che, una volta valorizzati, permettono l’assegnazione di “punteggi”. Questi sono detti anche “enterprise scores” e concorrono a definire, per ogni categoria di rischio, le componenti di “pericolosità” (o esposizione al pericolo)e di “severity” (cioè quanto importanti o riservati siano i dati trattati) che danno luogo, nel loro insieme, al “livello globale di rischio”.

Nota: acronimo ARES = Assessment of Risks by Enterprise Scores

Sviluppo dell’assessment

Viene predisposto un Questionario qualitativo, composto da domande suddivise in varie sezioni, alcune dedicate alla Funzione responsabile per la Privacy, altre alle Direzioni e alla Funzione Sistemi Informativi, attraverso il quale si vuole avere evidenza della rispondenza generale dell’Azienda nei confronti del Decreto Legislativo ed in particolare dell’allegato B – Disciplinare tecnico in materia di misure minime di sicurezza. Oltre al questionario qualitativo la Funzione Sistemi Informativi risponde al Questionario As-Is sull’attuale situazione della sicurezza del sistema informatico e della struttura della rete. Lo Sheet ARES è un terzo importante strumento di rilevazione. Esso riguarda i trattamenti effettuati presso le Direzioni e quindi coinvolge gli incaricati dei trattamenti delle varie unità organizzative. La sua compilazione ha la finalità di rilevare quantitativamente la modalità di trattamento dei dati personali, la tipologia dei dati stessi, la complessità degli archivi gestiti e il livello di deployment della sicurezza, con riferimento alle procedure in esercizio nella varie aree di competenza.

L’adozione dei parametri di misura numerici (gli “score” aziendali) permette di ottenere una valorizzazione “fine” dei risultati relativi ai criteri prescelti per l’analisi (nel nostro caso pericolosità e severity), e permette peraltro di rapportare tali risultati anche alla metrica qualitativa per una ulteriore modalità molto immediata di presentazione. L’uso degli stessi “score” anno per anno, permette di ottenere risultati misurabili e ripetibili, così che si possono evidenziare le variazioni riportate e valutare il gap tra risultati ottenuti e risultati attesi predefiniti come “target”.

Si ottiene un elenco dei trattamenti, per ognuno dei quali vengono raccolti i dati caratteristici di input, dai quali si derivano gli indicatori chiave del trattamento/dati (gli “score”) che vengono poi elaborati dal team di analisi. E’ possibile, quindi, calcolare la pericolosità e la severity delle categorie di rischio che sono state predefinite per classificare in modo sistematico gli eventi che possono causare danni ai sistemi e ai dati. Nell’ambito della fase di assessment, particolare ruolo hanno i workshop che portano alla definizione della matrice eventi-rischi, con i seguenti step:

  • categorizzazione dei rischi, esame della matrice,
  • revisione degli eventi predefiniti, eventuali nuovi eventi,
  • valutazione preliminare di pericolosità e severity dei singoli eventi,
  • primi risultati, condivisione di una base di partenza per la successiva analisi.

La raccolta di informazioni è integrata da verifiche e interviste con persone chiave dell’organizzazione.

Raccolta e valorizzazione delle risultanze

Dalla elaborazione fatta si ricava una quantificazione numerica della pericolosità e della severity per ogni categoria di rischio. Si può generalmente dire che la pericolosità cresce con la massa critica dei dati trattati e si riduce col crescere dello score aziendale e del livello del deployment delle sicurezze. Dalla combinazione dei due criteri pericolosità   e severity si ricava l’impatto per ogni categoria di rischio. Effettuando il ranking di tali categorie, cioè ordinando i rischi per importanza, si mettono in risalto i punti di vulnerabilità del sistema, il che costituisce il presupposto per pianificare azioni di rafforzamento delle protezioni, o per mettere in atto misure di mitigazione del rischio.

Fase di analisi e valutazione dei risultati

Queste risultanze vengono analizzate dal team di lavoro al fine di rilevare la situazione effettiva di esposizione dell’Azienda ai rischi relativi al trattamento dei dati personali. In questa fase il team di analisi predispone le tabelle di riferimento e sviluppa i grafici ritenuti utili a dare maggior evidenza ai contenuti. Diventa quindi possibile valutare il posizionamento (che può essere positivo o negativo) tra la situazione definita come “rispondente alle misure minime di sicurezza” (secondo il D.Lgs.) e la situazione rilevata. In caso di posizionamento positivo, cioè di sicurezza maggiore rispetto a quella indicata dalle misure minime, si calcola il livello globale di rischio il cui valore ha il significato di “percentuale di rischio non coperto” o “quota di rischio residuo”. Tale valore permette di valutare il gap tra la situazione rilevata e la situazione ottimale vale a dire la quota di rischio residuo che, in modo assolutamente consapevole e razionale, l’Azienda definisce come “accettabile”, avendo identificato i rischi potenziali e valutato i costi e i tempi delle azioni di mitigazione.

Benefici

L’analisi fornisce indicazioni generali, raccomandazioni di intervento, tempistiche per la pianificazione delle contromisure. Ad esempio, si raccomanda di fare una pianificazione a breve termine, selezionando le misure più facilmente applicabili, con immediatezza, e una pianificazione a medio-lungo termine per le misure più onerose e complesse. Le misure a breve termine, spesso producono un miglioramento notevole (riduzione del livello di rischio) sia in valore assoluto sia in confronto all’effort richiesto. Le misure a medio-lungo termine riguardano, viceversa, miglioramenti strutturali più complessi, riguardanti vari aspetti della sicurezza ad ampio raggio: organizzativo, personale, normativo, procedurale, tecnologico, logistico.

privacy