NEWS

Scenario, minaccia, agente di minaccia, vulnerabilità e rischio: l’importanza del corretto uso dei termini nella protezione dei dati aziendali

Minaccia, vulnerabilità, rischio, ecc.; ci sono molti termini alla base dell’analisi delle vulnerabilità sui dati, e a volte perfino gli stessi addetti ai lavori della data protection fanno un po’ di confusione. In questo articolo cerchiamo di mettere ordine.

Monica Perego

(Nella foto: Monica Perego, docente del Corso 'Il Data Breach: pianificazione e gestione prima, durante e dopo l’evento')

Iniziamo dalle definizioni:

- Scenario – Scenario condizione che può manifestarsi, non necessariamente negativa
- Minaccia – Threat scenario negativo che deve essere evitato
- Agente di minaccia - Threat actor è il “mezzo” responsabile della minaccia
- Vulnerabilità – Vulnerability debolezza che può essere sfruttata dall’agente di minaccia
- Rischio – Risk scenario negativo, innescato da una vulnerabilità che vuole evitare.

La differenza tra una minaccia e un rischio è sostanziale. La minaccia è un evento negativo di per sé, mentre il rischio è l'evento negativo combinato con la sua probabilità e il suo impatto. Il rischio è specifico del contesto in cui opera un’organizzazione, un ufficio, una sede, un fornitore, ecc.


La confusione nel corretto uso della terminologia nasce dal fatto che a volte si usano in modo improprio i termini, come se fossero sinonimi.

Scenario - Uno scenario non porta necessariamente ad una minaccia, ma potrebbe anche costituire un’opportunità. Ad esempio, nel caso di una situazione pandemica:

- un’azienda che permette ai propri dipendenti di operare in smart working con i propri dispositivi personali, configura uno scenario nel quale sono presenti delle minacce sui dati aziendali, ma anche delle opportunità dovute al risparmio dell’azienda nel non acquistare dispositivi per il personale;
- un’altra azienda che coglie l’occasione per fornire a tutti i propri collaboratori dispositivi aziendali, e ne impone l’uso, laddove prima vigeva una situazione promiscua, riduce le possibili minacce sui dati.

Minaccia - Una minaccia (talvolta è usato il termine “pericolo”), comporta uno scenario negativo; si verifica una situazione che incide sulla riservatezza, e/o integrità, e/o disponibilità dei dati che garantiscono i diritti e le libertà degli interessati. Le minacce prendono origine da vulnerabilità che sono sfruttate, anche in modo inconsapevole, dagli agenti di minaccia.

Qualche esempio di minaccia sui dati:

- furto dei risultati di un’indagine clinica;
- allagamento sala server

Agente di minaccia - Gli agenti di minaccia sono le entità responsabili delle minacce, e sono identificabili con:
- le persone malintenzionate - agenti che operano in modo volontario;
- le persone non malintenzionate – agenti che operano in modo involontario;
- le infrastrutture tecnologiche;
- la natura.

Le persone malintenzionate possono dare corso ad uno scenario ostile, per un interesse personale, od operare su commissione da parte di organizzazioni ostili (compresi i governi).

Per un DPO è fondamentale usare la terminologia corretta quando affronta i temi della sicurezza dei dati

Sulla base delle minacce è possibile individuare gli “agenti di minaccia”; in base agli esempi precedenti:

- minaccia: furto dei risultati di un’indagine clinica
# agente di minaccia: dipendente infedele (malintenzionato)
# causa primaria: ottenere un guadagno illecito tramite la rivendita degli stessi ad un concorrente
- minaccia: allagamento sala server
# agente di minaccia: infrastruttura tecnologica
# causa primaria: guasto nell’impianto fognario.

Per le infrastrutture, specificamente, possiamo evidenziare le seguenti cause:

- intrinseche – es. guasto a seguito di errore di progettazione;
- innescate da persone malintenzionate – es. guasto a seguito di sabotaggio;
- originate da persone non malintenzionate – es. guasto a seguito di errata o negligente manutenzione.

Gli aspetti relativi alla causa all’origine della minaccia “causa primaria” potrebbero essere ulteriormente approfonditi (ad esempio con la tecnica dei “5 perché”) per individuare la “causa radice”.

Vulnerabilità - Le vulnerabilità sono i punti deboli che l’agente di minaccia “sfrutta”; ciò rende possibile che la minaccia si concretizzi, o la renda ancora più impattante. Sulla base degli esempi precedenti:

- minaccia: furto dei risultati di un’indagine clinica
# agente di minaccia: dipendente infedele (malintenzionato)
# causa: ottenere un guadagno illecito tramite la rivendita degli stessi ad un concorrente
# vulnerabilità: dipendenti con retribuzioni inferiori alla concorrenza e possibilità di accesso a tutti i dati, da parte dei dipendenti, senza limitazione nelle partizioni
- minaccia - allagamento sala server
# agente di minaccia: infrastruttura tecnologica
# causa: guasto nell’impianto fognario
# vulnerabilità: impianto fognario vecchio, sala server posta in prossimità dell’impianto fognario.

Rischio - Il rischio, a differenza della minaccia, considera il contesto; quindi, in relazione allo scenario, il rischio è pesato in relazione alla possibilità che la minaccia si concretizzi (probabilità), combinata con la valutazione delle conseguenze nel caso in cui si concretizzi effettivamente (impatto). Il rischio è l’unica definizione, tra quelle citate, che comporta un calcolo, e può essere misurato con una scala di valori (quantitativa o qualitativa).
A causa della confusione tra i termini “minaccia” e “rischio”, molte persone, per configurare possibili scenari, usano in modo indifferente i due termini. Un semplice esempio può aiutare a comprendere.

Prendiamo il caso di una azienda che ha due sedi, Alfa e Beta; in ogni sede è presente un server; i due server contengono gli stessi dati, in questo caso:

- Minaccia - furto del server; non vi è associato un valore di probabilità, in quanto la minaccia dipende dal contesto;
- Rischio - furto del server presso la sede Alfa può essere diverso dal rischio di furto presso la sede Beta; in tal caso, il valore del rischio, ottenuto moltiplicando la probabilità per l’impatto è diverso, in quanto il valore della probabilità dipende dai sistemi di protezione presenti nelle sedi Alfa e Beta e dal contesto locale - sede in zona centrale o periferica, sistema di gestione delle chiavi e degli altri dispositivi per l’accesso, ecc.; il valore dell’impatto, invece, è identico per i due scenari, in quanto il contenuto dei due server è il medesimo.

Le differenze tra le due sedi potrebbero essere ancora più accentuate considerando anche la rilevabilità del rischio. In una sede potrebbe essere presente un sistema di antifurto, e/o un servizio di vigilanza, e/o un custode, il che aumenterebbe il valore della rilevabilità, con conseguente diminuzione del valore del rischio associato alla minaccia.

Conclusioni - L’uso della terminologia corretta non è un eccesso di scrupolo, ma una necessità, volta ad evitare confusione e difficoltà di comprensione; tale condizione è inoltre importante per poter affrontare i vari passaggi richiesti dal Gdpr.

Il tema è stato sviluppato di diversi autori, a livello internazionale si suggerisce di approfondire le pubblicazioni di Daniel Miessler.

Note Autore

Monica Perego Monica Perego

Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master Privacy Officer e Consulente della Privacy - Twitter: monica_perego

Prev Il principio della trasparenza applicato al ‘Decreto Trasparenza’
Next Videosorveglianza & minori: il caso delle telecamere installate in un convitto

Umberto Rapetto: più tutelati con Gdpr ma non bisogna abbassare la guardia

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy