Valutazione dei rischi: il modello basato sugli obiettivi e quello basato sugli scenari
Nell’articolo “La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019” sono stati introdotti alcuni temi sulla valutazione dei rischi confrontando quanto richiesto dalla ISO/IEC 27001:2013, dalla ISO/IEC 27701:2019 e dal REG. UE 2016/679. In questo secondo articolo sul tema si desidera porre l’accento su alcune modalità con le quali può essere condotta la valutazione dei rischi, illustrandole tramite alcuni semplici esempi.
(Nella foto: l'Ing. Monica Perego, membro del Comitato Scientifico di Federprivacy)
La valutazione dei rischi può essere affrontata secondo approcci diversi; in alcuni casi la combinazione tra più modelli è la soluzione che meglio ottimizza le varie esigenze in campo, riassumibili in:
- garantire il rispetto dei diritti e delle libertà degli interessati
- proteggere il Titolare (eventuali sanzioni, risarcimento danni, perdita di credibilità, ecc.)
- disporre di un “catalogo di minacce” esaustivo e completo, in relazione ad eventi che hanno una ragionevole possibilità di verificarsi e che possono comportare minacce agli interessati.
Non esiste un approccio univoco alla valutazione dei rischi, ma tante soluzioni possibili, la cui scelta è il risultato di una mediazione tra vari elementi da considerare, in funzione del contesto.
Una delle modalità per effettuare una valutazione dei rischi prevede un’impostazione basata sugli obiettivi; un’altra basata sugli scenari.
Valutazione basata sugli obiettivi: sono individuati ed analizzati gli eventi di varia natura (ovvero le minacce), che possono mettere a repentaglio un obiettivo. Esempio - All´interessato, che vuole esercitare un diritto, è necessario garantire (obiettivo) la risposta entro un mese dalla richiesta.
Valutazione basata sugli scenari: a fronte di uno scenario auspicato sono individuati ed analizzati gli eventi che possono metterlo a repentaglio. Esempio - Un autorizzato effettua l’aggiornamento normativo in materia di protezione dei dati, tramite la consultazione di fonti autorevoli, che l'autorizzato deve tenere sotto controllo; l’evento che può mettere a rischio tale scenario è l’assenza dell'autorizzato per un lungo periodo di tempo. La misura di mitigazione è l’individuazione di un sostituto.
Alcune indicazioni operative per effettuare la valutazione dei rischi basata sugli obiettivi:
Formulare obiettivi espliciti in linea con il rispetto della normativa e delle procedure interne (sistema di gestione della protezione dei dati) e che discendano da quelli più generali dell’organizzazione:
- preferire l’obiettivo " verificare lo stato di aggiornamento della formazione al personale almeno entro 12 mesi dalla precedente verifica" (se la precedente verifica era stata eseguita il 10.04.20xx-1 la seguente deve essere svolta entro il 09. 04.20xx), rispetto all’obiettivo: "verificare lo stato di aggiornamento della formazione al personale almeno una volta all’anno" (se la precedente verifica era stata eseguita il 10.04.20xx-1 la seguente potrebbe essere inteso che deve essere svolta entro il 31.12 20xx)
Identificare il livello atteso di tali obiettivi (oggettivarli) e condividerli con gli autorizzati coinvolti nel loro raggiungimento:
- preferire: "nel caso in cui i dati personali non siano stati ottenuti dall’interessato, il Titolare deve fornirgli le informazioni, nel 100% dei casi, entro 30 giorni – come indicato nell’art. 14 del REGG. UE 2016/679 - ed almeno nel 75% dei casi in meno di 20 giorni"
- a: "nel caso in cui i dati personali non siano stati ottenuti dall’interessato il Titolare deve fornirgli le informazioni nei tempi indicati dall’art. 14 del REGG. UE 2016/679"
Per ogni obiettivo devono essere fornite le risorse necessarie per raggiungerlo:
- l’indisponibilità anche parziale o momentanea di tali risorse, è un evento che mette a rischio il raggiungimento dell’obiettivo e pertanto ciò deve essere considerato nell’analisi dei rischi come possibile evento. Questo elemento è un aspetto in comune con la valutazione dei rischi basata sugli scenari.
Alcune indicazioni operative per effettuare la valutazione dei rischi basata sugli scenari:
Individuare gli scenari possibili valutando l’indisponibilità delle risorse che concorrono a configurarli:
Scenario 1: mancanza di energia elettrica presso la sede dell’organizzazione - i dati degli interessati sono salvati in cloud;
conseguenza: impossibilità di accesso ai dati degli interessati.
misura: gruppo di continuità che garantisce X ore di autonomia; se l’indisponibilità si protrae, il personale può operare da remoto accedendo ai dati sul cloud.
misura di mitigazione da pianificare: nessuna.
Scenario 2: mancanza di energia elettrica presso la sede dell’organizzazione - i dati degli interessati sono salvati sul server presso la sede dell’organizzazione;
conseguenza: impossibilità di accesso ai dati degli interessati.
misura: gruppo di continuità che garantisce X ore di autonomia; se l’indisponibilità si protrae non è possibile accedere ai dati.
misura di mitigazione da pianificare: rendere disponibili i dati degli interessati anche in cloud.
Nel considerare i modelli da applicare non si deve trascurare che, nel corso del tempo, l’individuazione di nuovi eventi o di nuove fonti di rischio deve portare, attraverso un processo, potenzialmente senza fine, di fine tuning, ad una sempre maggiore consapevolezza, da parte del Titolare del trattamento e del suo staff, del contesto in cui opera l’organizzazione, al fine di anticipare il verificarsi di situazioni potenzialmente avverse.
