Risk Assessment

Concetti generali
Il “Risk Assessment” o “Analisi del Rischio” è una metodologia volta alla determinazione del rischio associato a determinati pericoli o sorgenti di rischio.
In generale si può ricorrere alla metodologia del risk assessment quando si intenda valutare la pericolosità di un evento indesiderabile ai fini di definire la priorità o l’urgenza delle misure necessarie per tenerlo sotto controllo.

La metodologia di PRIVACYCERT ITALIA S.r.l. utilizzata per il Risk Assessment può essere distinta nelle seguenti tre fasi:

– CENSIMENTO DEI TRATTAMENTI: viene effettuato un censimento dei trattamenti attraverso la descrizione, ad esempio, della natura dei dati, delle finalità del trattamento, delle modalità di quest’ultimo (informatico, cartaceo…), delle risorse utilizzate per il trattamento (hardware, software…) e degli eventuali soggetti terzi coinvolti.

– individuazione dei potenziali pericoli: mediante l’analisi delle informazioni raccolte nella fase precedente si individuano tutti i pericoli riconducibili all’oggetto di studio e si associano a ciascuna fase lavorativa o al reparto dai quali traggono origine;

stima dei potenziali rischi: ad ogni pericolo individuato si stima la probabilità di accadimento e la gravità degli effetti che può determinare tenendo conto delle eventuali misure preventive o protettive già in essere. Dopodiché si determina la classe di rischio (si vada a questo proposito la matrice del rischio sotto riportata).

A seconda dell’entità del rischio così determinato si dovranno poi definire, attuare e controllare i programmi di eliminazione o di riduzione del rischio.

Terminologia
La terminologia di riferimento è la seguente:

Rischio: si intende la pericolosità di un evento ed è determinato dal prodotto tra P (probabilità dell’evento) e G (gravità), secondo la seguente formula: R = PxG

Probabilità (P): si intende la probabilità che l’evento indesiderato si possa verificare tenendo conto delle misure precauzionali già in essere al momento della valutazione. In genere viene distinta in 3-4 classi.

Gravità (G): detta anche Magnitudo (M), è intesa come la gravità delle conseguenze dell’evento indesiderato. In genere viene distinta in 3-4 classi.

Pericolo, sorgente di rischio: si intende l’entità o l’evento in grado di provocare i danni.

La seguente tabella è un esempio applicativo di “Matrice del Rischio” risultante dalla combinazione di tre classi di probabilità e tre di gravità.

 

A) ANALISI DEI RISCHI:

Nel processo di costruzione del Sistema Privacy è fondamentale la fase di Analisi dei Rischi che incombono sui dati, in quanto, è sulla base della valutazione del potenziale accadimento e livello di gravità che vanno adottate le misure di sicurezza a garanzia e disponibilità dei dati.

È necessario, quindi, descrivere i principali eventi potenzialmente dannosi per la sicurezza dei dati e valutarne le possibili conseguenze e la gravità, in relazione al contesto fisico-ambientale di riferimento ed agli strumenti (elettronici e non) che vengono utilizzati per il trattamento.

La normativa Privacy impone al Titolare di ridurre al minimo, tramite idonee e preventive misure di sicurezza, i rischi di:
– distruzione o perdita, anche accidentale dei dati;
– accesso non autorizzato;
– trattamento non consentito o non conforme alle finalità della raccolta

L’Analisi dei Rischi non risponde SOLO al problema di applicare correttamente quanto elencato ma costituisce una premessa importante per la gestione della continuità operativa (Business Continuity) e la salvaguardia del patrimonio di dati aziendale.

I possibili rischi che gravano sui dati (direttamente o indirettamente, se riferiti alle strutture mediante le quali si procede al trattamento) sono difficilmente catalogabili data la loro molteplicità e dipendenza dal contesto specifico.

Il Garante per la Protezione dei Dati Personali propone la seguente lista di eventi pregiudizievoli:

1) comportamenti degli operatori:

– sottrazione di credenziali di autenticazione;

– carenza di consapevolezza, disattenzione o incuria;

– comportamenti sleali o fraudolenti;

– errore materiale.

2) eventi relativi agli strumenti:

– azione di virus informatici o di programmi suscettibili di recare danno;

– spamming o tecniche di sabotaggio;

– malfunzionamento, indisponibilità o degrado degli strumenti;

– accessi esterni non autorizzati;

– intercettazione di informazioni in rete.

3) eventi relativi al contesto fisico-ambientale:

– ingressi non autorizzati a locali/aree ad accesso ristretto;

– sottrazione di strumenti contenenti dati;

– eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria;

– guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.);

– errori umani nella gestione della sicurezza fisica.

Come funziona l’Analisi dei Rischi

Per l’Analisi dei Rischi si utilizza una metodologia di tipo qualitativo, più adatta a valutare i rischi in presenza di norme cogenti che impongono misure di sicurezza minime (come il Codice per la tutela dei dati personali). L’attività prevede una verifica dello stato di attuazione degli adempimenti e delle misure di sicurezza a livello fisico, logico e organizzativo.

Per raccogliere i dati utili allo svolgimento dell’Analisi, dovremo intervistare le persone di riferimento dell’azienda (come per esempio il Responsabile Privacy e/o del trattamento, il Responsabile dei Sistemi Informativi e/o Security Manager, il Responsabile del Personale, il Responsabile dell’Ufficio Tecnico).

Il rischio residuo viene calcolato partendo da un valore iniziale del rischio da abbattere (calcolato mediante il prodotto della probabilità che si verifichi un determinato evento che minacci la sicurezza dei dati, per l’impatto provocato su questi ultimi) per poi considerare l’effetto delle misure di sicurezza adottate.

Per avere un efficace Sistema di Gestione della Privacy, occorrerà eseguire l’Analisi con una frequenza commisurata al livello di criticità dei dati da proteggere e ai cambiamenti tecnologici.

Nel rapporto conclusivo, oltre ai risultati dell’Analisi dei Rischi, indicheremo le misure da adottare per tutelare la Privacy e la vostra azienda. Queste misure sono di tipo logico, fisico e organizzativo.

Per le realtà aziendali più complesse consigliamo di accompagnare l’Analisi dei Rischi con l’attività di Vulnerability Assessment sui sistemi e sulle reti: Analisi dei Rischi e Vulnerability Assessment sono da considerarsi complementari.

B) MISURE DA ADOTTARE

Il risultato dell’Analisi dei Rischi fornirà, come si è detto, un’indicazione delle misure di sicurezza da adottare.
In questa fase non verranno considerate solo le misure di sicurezza per la protezione dei dati personali richieste dalla legge (minime e/o idonee), ma anche quelle finalizzate alla salvaguardia di tutti gli altri dati da considerarsi critici e riservati dal punto di vista dell’azienda.

L’identificazione di queste misure deve essere accompagnato da un piano per la loro effettiva attuazione.

Non correre inutili rischi aspettando l’ultimo momento per adeguarti, in caso di mancato rispetto degli obblighi in materia di Privacy, il Regolamento Europeo (GDPR) prevede Sanzioni Amministrative Pecuniarie fino a 20.000.000,00 € o fino al 4% del fatturato se maggiore di tale importo.