NEWS

Valutazione della rilevabilità nell’ambito della valutazione dei rischi sui dati personali: l’indice di priorità del rischio

L’indice priorità di rischio/priority number (IRP - RPN) è un indicatore che permette di individuare quando è necessario intervenire, con misure di mitigazione dedicate, considerando il rischio associato ad un evento inaccettabile e quando invece lo stesso rischio può essere considerato come accettabile.

Monica Perego

(Nella foto: Monica Perego, membro del Comitato Scientifico di Federprivacy)

Il Titolare del trattamento è comunque consapevole che l’unico modo per eliminare un rischio sui dati personali è quello di rimuovere la fonte che lo genera.

Un esempio: per eliminare il rischio di furto del server è necessario eliminare la fonte del rischio, ovvero il server.

Una possibile alternativa potrebbe prevedere, ad esempio, una gestione dei dati in cloud. Ovviamente, si introdurranno, nello scenario ipotizzato, dei nuovi rischi, avendo inserito delle nuove fonti (ad esempio: difficoltà di controllo dei livelli di sicurezza, potenziale condivisione dei dati con utenti non previsti dal perimetro).

Per il calcolo dell’indice di priorità del rischio è possibile usare diverse metodologie, tra cui quella di seguito presentata, che si caratterizza per l’introduzione del concetto di “rilevabilità” a cui è stato dedicato un precedente articolo.

Tale metodologia è mutuata dal modello FMEA: Analisi dei modi e degli effetti dei guasti - Failure Mode and Effect Analysis - applicata in alcuni contesti, come da esempio l’automotive. Essa permette di ipotizzare scenari di rischio, prima che questi si manifestino, e di determinare i criteri di intervento, ovvero le priorità, attraverso il calcolo del valore dell’IRP, ottenibile con la formula IRP=GxPXR, dove:

G – Gravità: misura le possibili conseguenze di un pericolo (severity)
P – Probabilità: misura la possibilità che l’evento accada realmente (occurrence)
R – Rilevabilità: misura la facilità di intercettazione dell’evento (detectability)

Per identificare le priorità di intervento si deve confrontare il valore dell’IRP con il “livello di priorità” oppure con “la soglia di intervento”.

IRP confrontato con il livello di priorità - Applicando questo modello, il Titolare si basa su una serie di fattori economici o tecnici (ad esempio, costi molto elevati/non accettabili per rimuovere la “fonte del rischio” o per attenuare gli effetti o la frequenza dell’evento che produce il rischio) – come previsto anche dall’art. 32 del REG. UE 2016/679 “Sicurezza del trattamento” quando, facendo esplicito riferimento al tema dei costi, recita:

“ 1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità …”

Lo stesso concetto è ripreso dall’art. 25 “Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita” e dal Considerando 83; sulla base di tali valutazioni il Titolare potrebbe anche considerare di intervenire su un rischio che ha una probabilità molto bassa, ma potenziali gravissime conseguenze sulla reputazione aziendale.

IRP confrontato con la soglia di intervento - In questo caso, il Titolare definisce a priori una soglia di intervento sopra la quale avviare azioni di mitigazione del rischio. Si possono stabilire anche più soglie; ad esempio:

- IRP tra 1.000 e 301 – intervento immediato
- IRP tra 300 e 150 - intervento entro 12 mesi
- IRP inferiore a 150 – intervento da valutare se necessario

Questa soluzione, apparentemente più oggettiva della precedente, viene spesso contestata, in quanto si rischia di associare ad ogni rischio valori di probabilità/gravità/rilevabilità tali da “stare sotto il valore limite”, per ridurre gli interventi da mettere in campo.

IRP: un’applicazione pratica - Si riporta un esempio estratto da una valutazione dei rischi (datata maggio 20xx) con l’applicazione del calcolo dell’indice di priorità.

Asset: sala server

Evento che provoca il rischio: incendio della sala server

Rischio: perdita della disponibilità dei dati fino al ripristino

Misure di mitigazione in essere: cavi cablati a norma di legge, controlli semestrali impianto elettrico, estintore presente in sala server verificato ogni 6 mesi come previsto dal D.lgs 81/2008

Gravità: alta (valore 8) - in caso di incendio il sistema sarebbe non funzionante con perdita della disponibilità per almeno 10 ore fino al ripristino (stima sulla base del Business Recovery Plan – 10 ore)

Probabilità: bassa (valore 4) - storicamente si è rilevato un numero relativamente basso di principi di incendio originati nella sala server (2 volte negli ultimi 15 anni, senza alcuna conseguenza sull’indisponibilità dei dati)

Rilevabilità: remota (valore 8) - dato che la sala server non è regolarmente presidiata vi è una possibilità remota delle misure in essere nel rilevare un principio di incendio

Calcolo dell’IRP ex ante le misure di mitigazione da pianificare= 8x4x8=256

Valutazione dell’IRP confrontato con il livello di priorità: il Titolare del trattamento assegna priorità 1 sulla base di considerazioni qualitative, valutando anche i costi ed i rischi connessi; ne consegue: necessità di intervento immediato

Valutazione dell’IRP confrontato con la soglia di intervento: la soglia di intervento sopra la quale si deve intervenire in modo immediato è 301, mentre è previsto un intervento entro 12 mesi per un valore di IRP tra 300 e 150; ne consegue: necessità di intervento entro 12 mesi.

I due modelli di calcolo dell’IRP hanno fornito tempi diversi di intervento.

Valutazione della rilevabilità nell’ambito della valutazione dei rischi sui dati personali

Nell’esempio in questione per poter intervenire al fine di ridurre il valore dell’IRP è possibile agire, ad esempio sulla rilevabilità, come indicato di seguito per la pianificazione della misura:

Misura di mitigazione da pianificare: installazione di rilevatori di fumo (entro il mese di novembre 20xx); misura che aumenta la rilevabilità portandola a: alta (valore 3) - alta capacità dei controlli nel rilevare un principio di incendio.

IRP ex post le misure di mitigazione da pianificare= 8x4x3=96.

Valutazione dell’IRP confrontato con il livello di priorità: il Titolare del trattamento assegna priorità nulla, sulla base di considerazioni qualitative, valutando anche i costi ed i rischi connessi; ne consegue: nessun intervento pianificato.

Valutazione dell’IRP confrontato con la soglia di intervento: con un valore di IRP inferiore a 150; ne consegue: nessun intervento pianificato.

In questo caso entrambe le valutazioni non hanno evidenziato alcuna ulteriore necessità di intervento, fermo restando che tale valutazione deve essere ripetuta ad intervalli regolari e qualora si modificassero degli elementi di contesto. In entrambi i casi sarebbe opportuno che il Titolare fornisse gli elementi, da documentare, che supportano la decisione di non procedere ad introdurre ulteriori misure.

Note Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master per Esperto Privacy e del Corso di alta formazione per Data Manager - Twitter: monica_perego

Prev Marketing e Privacy: un eterno conflitto sanabile con logica e senso di responsabilità
Next Metaverso & Privacy: essenziale un approccio “Technology Neutral”

TV9, il presidente di Federprivacy alla trasmissione 9X5

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy