NEWS

Valutazione dei rischi: il modello basato sugli obiettivi e quello basato sugli scenari

Nell’articolo “La valutazione dei rischi a fronte della Norma ISO/IEC 27001:2013, del Regolamento UE 2016/679 e della Norma ISO/IEC 27701:2019” sono stati introdotti alcuni temi sulla valutazione dei rischi confrontando quanto richiesto dalla ISO/IEC 27001:2013, dalla ISO/IEC 27701:2019 e dal REG. UE 2016/679. In questo secondo articolo sul tema si desidera porre l’accento su alcune modalità con le quali può essere condotta la valutazione dei rischi, illustrandole tramite alcuni semplici esempi.

l'Ing. Monica Perego, membro del Comitato Scientifico di Federprivacy

(Nella foto: l'Ing. Monica Perego, membro del Comitato Scientifico di Federprivacy)

La valutazione dei rischi può essere affrontata secondo approcci diversi; in alcuni casi la combinazione tra più modelli è la soluzione che meglio ottimizza le varie esigenze in campo, riassumibili in:

- garantire il rispetto dei diritti e delle libertà degli interessati
- proteggere il Titolare (eventuali sanzioni, risarcimento danni, perdita di credibilità, ecc.)
- disporre di un “catalogo di minacce” esaustivo e completo, in relazione ad eventi che hanno una ragionevole possibilità di verificarsi e che possono comportare minacce agli interessati.

Non esiste un approccio univoco alla valutazione dei rischi, ma tante soluzioni possibili, la cui scelta è il risultato di una mediazione tra vari elementi da considerare, in funzione del contesto.

Una delle modalità per effettuare una valutazione dei rischi prevede un’impostazione basata sugli obiettivi; un’altra basata sugli scenari.

Un trattamento dei dati personali presuppone sempre una valutazione dei rischi di sicurezza per poter essere conforme al GDPR

Valutazione basata sugli obiettivi: sono individuati ed analizzati gli eventi di varia natura (ovvero le minacce), che possono mettere a repentaglio un obiettivo. Esempio - All´interessato, che vuole esercitare un diritto, è necessario garantire (obiettivo) la risposta entro un mese dalla richiesta.

Valutazione basata sugli scenari: a fronte di uno scenario auspicato sono individuati ed analizzati gli eventi che possono metterlo a repentaglio. Esempio - Un autorizzato effettua l’aggiornamento normativo in materia di protezione dei dati, tramite la consultazione di fonti autorevoli, che l'autorizzato deve tenere sotto controllo; l’evento che può mettere a rischio tale scenario è l’assenza dell'autorizzato per un lungo periodo di tempo. La misura di mitigazione è l’individuazione di un sostituto.

Alcune indicazioni operative per effettuare la valutazione dei rischi basata sugli obiettivi:

Formulare obiettivi espliciti in linea con il rispetto della normativa e delle procedure interne (sistema di gestione della protezione dei dati) e che discendano da quelli più generali dell’organizzazione:

- preferire l’obiettivo " verificare lo stato di aggiornamento della formazione al personale almeno entro 12 mesi dalla precedente verifica" (se la precedente verifica era stata eseguita il 10.04.20xx-1 la seguente deve essere svolta entro il 09. 04.20xx), rispetto all’obiettivo: "verificare lo stato di aggiornamento della formazione al personale almeno una volta all’anno" (se la precedente verifica era stata eseguita il 10.04.20xx-1 la seguente potrebbe essere inteso che deve essere svolta entro il 31.12 20xx)

Identificare il livello atteso di tali obiettivi (oggettivarli) e condividerli con gli autorizzati coinvolti nel loro raggiungimento:

- preferire: "nel caso in cui i dati personali non siano stati ottenuti dall’interessato, il Titolare deve fornirgli le informazioni, nel 100% dei casi, entro 30 giorni – come indicato nell’art. 14 del REGG. UE 2016/679 - ed almeno nel 75% dei casi in meno di 20 giorni"
- a: "nel caso in cui i dati personali non siano stati ottenuti dall’interessato il Titolare deve fornirgli le informazioni nei tempi indicati dall’art. 14 del REGG. UE 2016/679"

Per ogni obiettivo devono essere fornite le risorse necessarie per raggiungerlo:

- l’indisponibilità anche parziale o momentanea di tali risorse, è un evento che mette a rischio il raggiungimento dell’obiettivo e pertanto ciò deve essere considerato nell’analisi dei rischi come possibile evento. Questo elemento è un aspetto in comune con la valutazione dei rischi basata sugli scenari.

Alcune indicazioni operative per effettuare la valutazione dei rischi basata sugli scenari:

Individuare gli scenari possibili valutando l’indisponibilità delle risorse che concorrono a configurarli:

Scenario 1: mancanza di energia elettrica presso la sede dell’organizzazione - i dati degli interessati sono salvati in cloud;
conseguenza: impossibilità di accesso ai dati degli interessati.
misura: gruppo di continuità che garantisce X ore di autonomia; se l’indisponibilità si protrae, il personale può operare da remoto accedendo ai dati sul cloud.
misura di mitigazione da pianificare: nessuna.

Scenario 2: mancanza di energia elettrica presso la sede dell’organizzazione - i dati degli interessati sono salvati sul server presso la sede dell’organizzazione;
conseguenza: impossibilità di accesso ai dati degli interessati.
misura: gruppo di continuità che garantisce X ore di autonomia; se l’indisponibilità si protrae non è possibile accedere ai dati.
misura di mitigazione da pianificare: rendere disponibili i dati degli interessati anche in cloud.

Nel considerare i modelli da applicare non si deve trascurare che, nel corso del tempo, l’individuazione di nuovi eventi o di nuove fonti di rischio deve portare, attraverso un processo, potenzialmente senza fine, di fine tuning, ad una sempre maggiore consapevolezza, da parte del Titolare del trattamento e del suo staff, del contesto in cui opera l’organizzazione, al fine di anticipare il verificarsi di situazioni potenzialmente avverse.

Note Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master Privacy Officer e Consulente della Privacy - Twitter: monica_perego

Next Videosorveglianza: l'utilizzo delle 'fototrappole' in conformità al Gdpr

Umberto Rapetto: più tutelati con Gdpr ma non bisogna abbassare la guardia

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy