NEWS

Scenario, minaccia, agente di minaccia, vulnerabilità e rischio: l’importanza del corretto uso dei termini nella protezione dei dati aziendali

Minaccia, vulnerabilità, rischio, ecc.; ci sono molti termini alla base dell’analisi delle vulnerabilità sui dati, e a volte perfino gli stessi addetti ai lavori della data protection fanno un po’ di confusione. In questo articolo cerchiamo di mettere ordine.

Monica Perego

(Nella foto: Monica Perego, docente del Corso 'Il Data Breach: pianificazione e gestione prima, durante e dopo l’evento')

Iniziamo dalle definizioni:

- Scenario – Scenario condizione che può manifestarsi, non necessariamente negativa
- Minaccia – Threat scenario negativo che deve essere evitato
- Agente di minaccia - Threat actor è il “mezzo” responsabile della minaccia
- Vulnerabilità – Vulnerability debolezza che può essere sfruttata dall’agente di minaccia
- Rischio – Risk scenario negativo, innescato da una vulnerabilità che vuole evitare.

La differenza tra una minaccia e un rischio è sostanziale. La minaccia è un evento negativo di per sé, mentre il rischio è l'evento negativo combinato con la sua probabilità e il suo impatto. Il rischio è specifico del contesto in cui opera un’organizzazione, un ufficio, una sede, un fornitore, ecc.


La confusione nel corretto uso della terminologia nasce dal fatto che a volte si usano in modo improprio i termini, come se fossero sinonimi.

Scenario - Uno scenario non porta necessariamente ad una minaccia, ma potrebbe anche costituire un’opportunità. Ad esempio, nel caso di una situazione pandemica:

- un’azienda che permette ai propri dipendenti di operare in smart working con i propri dispositivi personali, configura uno scenario nel quale sono presenti delle minacce sui dati aziendali, ma anche delle opportunità dovute al risparmio dell’azienda nel non acquistare dispositivi per il personale;
- un’altra azienda che coglie l’occasione per fornire a tutti i propri collaboratori dispositivi aziendali, e ne impone l’uso, laddove prima vigeva una situazione promiscua, riduce le possibili minacce sui dati.

Minaccia - Una minaccia (talvolta è usato il termine “pericolo”), comporta uno scenario negativo; si verifica una situazione che incide sulla riservatezza, e/o integrità, e/o disponibilità dei dati che garantiscono i diritti e le libertà degli interessati. Le minacce prendono origine da vulnerabilità che sono sfruttate, anche in modo inconsapevole, dagli agenti di minaccia.

Qualche esempio di minaccia sui dati:

- furto dei risultati di un’indagine clinica;
- allagamento sala server

Agente di minaccia - Gli agenti di minaccia sono le entità responsabili delle minacce, e sono identificabili con:
- le persone malintenzionate - agenti che operano in modo volontario;
- le persone non malintenzionate – agenti che operano in modo involontario;
- le infrastrutture tecnologiche;
- la natura.

Le persone malintenzionate possono dare corso ad uno scenario ostile, per un interesse personale, od operare su commissione da parte di organizzazioni ostili (compresi i governi).

Per un DPO è fondamentale usare la terminologia corretta quando affronta i temi della sicurezza dei dati

Sulla base delle minacce è possibile individuare gli “agenti di minaccia”; in base agli esempi precedenti:

- minaccia: furto dei risultati di un’indagine clinica
# agente di minaccia: dipendente infedele (malintenzionato)
# causa primaria: ottenere un guadagno illecito tramite la rivendita degli stessi ad un concorrente
- minaccia: allagamento sala server
# agente di minaccia: infrastruttura tecnologica
# causa primaria: guasto nell’impianto fognario.

Per le infrastrutture, specificamente, possiamo evidenziare le seguenti cause:

- intrinseche – es. guasto a seguito di errore di progettazione;
- innescate da persone malintenzionate – es. guasto a seguito di sabotaggio;
- originate da persone non malintenzionate – es. guasto a seguito di errata o negligente manutenzione.

Gli aspetti relativi alla causa all’origine della minaccia “causa primaria” potrebbero essere ulteriormente approfonditi (ad esempio con la tecnica dei “5 perché”) per individuare la “causa radice”.

Vulnerabilità - Le vulnerabilità sono i punti deboli che l’agente di minaccia “sfrutta”; ciò rende possibile che la minaccia si concretizzi, o la renda ancora più impattante. Sulla base degli esempi precedenti:

- minaccia: furto dei risultati di un’indagine clinica
# agente di minaccia: dipendente infedele (malintenzionato)
# causa: ottenere un guadagno illecito tramite la rivendita degli stessi ad un concorrente
# vulnerabilità: dipendenti con retribuzioni inferiori alla concorrenza e possibilità di accesso a tutti i dati, da parte dei dipendenti, senza limitazione nelle partizioni
- minaccia - allagamento sala server
# agente di minaccia: infrastruttura tecnologica
# causa: guasto nell’impianto fognario
# vulnerabilità: impianto fognario vecchio, sala server posta in prossimità dell’impianto fognario.

Rischio - Il rischio, a differenza della minaccia, considera il contesto; quindi, in relazione allo scenario, il rischio è pesato in relazione alla possibilità che la minaccia si concretizzi (probabilità), combinata con la valutazione delle conseguenze nel caso in cui si concretizzi effettivamente (impatto). Il rischio è l’unica definizione, tra quelle citate, che comporta un calcolo, e può essere misurato con una scala di valori (quantitativa o qualitativa).
A causa della confusione tra i termini “minaccia” e “rischio”, molte persone, per configurare possibili scenari, usano in modo indifferente i due termini. Un semplice esempio può aiutare a comprendere.

Prendiamo il caso di una azienda che ha due sedi, Alfa e Beta; in ogni sede è presente un server; i due server contengono gli stessi dati, in questo caso:

- Minaccia - furto del server; non vi è associato un valore di probabilità, in quanto la minaccia dipende dal contesto;
- Rischio - furto del server presso la sede Alfa può essere diverso dal rischio di furto presso la sede Beta; in tal caso, il valore del rischio, ottenuto moltiplicando la probabilità per l’impatto è diverso, in quanto il valore della probabilità dipende dai sistemi di protezione presenti nelle sedi Alfa e Beta e dal contesto locale - sede in zona centrale o periferica, sistema di gestione delle chiavi e degli altri dispositivi per l’accesso, ecc.; il valore dell’impatto, invece, è identico per i due scenari, in quanto il contenuto dei due server è il medesimo.

Le differenze tra le due sedi potrebbero essere ancora più accentuate considerando anche la rilevabilità del rischio. In una sede potrebbe essere presente un sistema di antifurto, e/o un servizio di vigilanza, e/o un custode, il che aumenterebbe il valore della rilevabilità, con conseguente diminuzione del valore del rischio associato alla minaccia.

Conclusioni - L’uso della terminologia corretta non è un eccesso di scrupolo, ma una necessità, volta ad evitare confusione e difficoltà di comprensione; tale condizione è inoltre importante per poter affrontare i vari passaggi richiesti dal Gdpr.

Il tema è stato sviluppato di diversi autori, a livello internazionale si suggerisce di approfondire le pubblicazioni di Daniel Miessler.

Note sull'Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Il principio della trasparenza applicato al ‘Decreto Trasparenza’
Next Videosorveglianza & minori: il caso delle telecamere installate in un convitto

App di incontri e rischi sulla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy