Gestione del rischio e contromisure per tanti un obbligo ancora non rispettato
Scritto da Alfredo Visconti Presidente ANDIP
____________________________________________________
Se vogliamo ragionare di rischio informatico all’interno del trattamento dei dati personali dobbiamo partire leggendo con attenzione il Considerando 75 del GDPR che con riferimento al concetto di rischio chiarisce che: “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati“.
Per fortuna dal GDPR ad oggi l’analisi dei rischi aziendali è diventata una metodologia preventiva, in tutti settori, per il mantenimento ed il miglioramento delle aziende. Il Risk Management è quindi un’attività prioritaria ed imprescindibile, che in modo indissolubile unisce La tutela de dati personali e la sicurezza informatica, tanto che l’analisi dei rischi ha una priorità importantissima per la tutela dei dati e in tale ottica e su precise indicazioni legislative del Dlgs 196/03 prima e del regolamento europeo poi (GDPR 679/2016) a cui si aggiungono le normative ISo 27001 e ISo 3100
La ISO/IEC 27001:2013 (ISO 27001) è lo standard internazionale che descrive le best practice per un ISMS (sistema di gestione della sicurezza delle informazioni), mentre la norma ISO 31000, esplica e mette in pratica le definizioni fondamentali del rischio e i concetti legati alla sua gestione valutando e costruendo le fasi di identificazione, analisi, valutazione e trattamento
Proviamo ad approfondire l’analisi dei rischi sui dati partendo dall’analisi di alcune minacce che saranno sicuramente fra le più conosciute, ma allo stesso tempo sono spesso anche le più sottovalutate e nello specifico individuiamo
- Ransomware
- Malware
- Crittografia
- Minacce relative alla posta elettronica
- Minacce contro i dati
- Minacce alla disponibilità e all’integrità
- Disinformazione
- Minacce involontarie
- Attacchi alla catena di fornitura/approvvigionamenti
Come è facile intuire, tali minacce non riguardano solo la protezione dei dati personali ai fini del Regolamento UE 2016/679 (GDPR), ma anche il concetto di sicurezza delle informazioni e soprattutto di gestione dei dati di business
Per essere chiari, diretti e soprattutto risolutivi rispetto alla problematica dei rischi occorre partire nel nostro studio dagli agenti di minaccia che per noi sono le entità responsabili della minaccia; essi sono identificabili ad esempio in:
- persone malintenzionate – agenti che operano in modo volontario
- persone non malintenzionate – agenti che operano in modo involontario
- infrastrutture tecnologiche
- infrastrutture metodologiche
Essendo essi gli agenti responsabili delle minacce, per individuarli è necessario prima individuare le minacce relative.
Nasce quindi l’esigenza di correlare le minacce con gli agenti responsabili della minaccia e quindi ad esempio
Rischio Minacce contro i dati – diffusione di dati, perdita di integrità
Agenti persone non malintenzionate
persone malintenzionate
Solo al fine di fare un esempio non esaustivo possiamo pensare ad una banca che gestisce i dati di conto corrente, fatture, pagamenti stipendi ed altro di un determinato cliente e che deve gestire la minaccia “diffusione dei dati”. In tal caso occorrerà gestire gli agenti: persona malintenzionata[1] e persona non malintenzionata[2] .
E necessario quindi adesso controllare e studiare brevemente gli agenti di minaccia e lo scopo collegato e nello specifico del nostro esempio abbiamo le persone malintenzionate o non malintenzionate, che possiamo individuare come persone che possono essere:
- interne all’organizzazione ad es. dipendenti
- esterne all’organizzazione come ad es. clienti, utenti, fornitori, tecnici dell’assistenza, ;
Naturalmente come è facile intuire la gestione di questa minaccia e dei suoi agenti deve tenere nel dovuto conto che il rischio in questione può derivare da volontarietà nell’azione o da errore umano che resta comunque uno dei rischi maggiori.
Data quest’ultima affermazione possiamo dire che il rischio è l’effetto dell’incertezza sugli obiettivi.
Tornando a noi possiamo dire che i rischi dei dati sono generalmente funzione di due variabili:
- la probabilità che questo accada
- la gravità del fenomeno.
Possiamo dare una definizione di Probabilità come segue con valori da 1 a 4:
| Probabilità | Descrizione |
| Trascurabile | L’evento non è mai successo o la sua probabilità di manifestazione non è calcolabile nell’immediato |
| Moderata | La probabilità che l’evento dannoso accada è nel corso del triennio ma comunque gestita |
| Significativa | La probabilità di accadimento è molto alta sia in termini di tempo, entro l’anno, sia in termini di dati, perdita degli stessi o alterazione |
| Massima | L’evento è da tenere strettamente sotto controllo con contromisura adeguate e verificate almeno tre volte l’anno |
Possiamo dare una definizione di Gravità come segue, con valori da 1 a 4:
| Gravità | Descrizione |
| Bassa | Senza conseguenza gestibili in tempi brevi e comunque recuperabile |
| Media | Tutto è recuperabile ma deve gestire la problematica tempo per non assumere rilevanza sia in termini di tempo sia in termini di costo |
| Alta | Causa errori ai dati ed ai software di impatto importante il ripristino non è immediato perché occorre verificare oltre i dati anche i software prima di una messa in produzione |
| Di impatto molto alto | Se si genera questa tipologia di gravità occorre ripensare la sicurezza informatica ed agire attraverso un Vulnerability assesment ed il suo penetration test successivo ha un impatto economico molto alto ed il suo valore può aumentare se la risoluzione comporta anche, come spesso accade costi aggiuntivi in termini di implementazione tecnologica e metodologica |
Naturalmente la giusta composizione di queste due tabelle genera il peso derivante dal rischio ed il suo effetto rispetto ai dati ed al business, ma al semplice calcolo matematico occorre sempre aggiungere la costante, intesa come valore numerico, relativa al tempo di ripristino ed al suo costo economico.
Tanto ciò detto in una eventuale tabella di comparazione avremmo risultati di questo tipo
| Peso
Rapporti Probabilità/Gravità |
Bassa | Media | Alta | Impatto alto |
| Trascurabile | 1 | 2 | 3 | 4 |
| Media | 2 | 4 | 6 | 8 |
| Significativa | 3 | 6 | 9 | 12 |
| Massima | 4 | 8 | 12 | 16 |
Naturalmente all’aumentare del peso nella tabella dei rapporti deve corrispondere un aumento di attenzione, tempi e costi nella gestione della contromisura.
Per terminare questo discorso una volta identificato il rischio occorre trovare la contromisura necessaria e valida per impedire l’accadimento.
Il Regolamento – GDPR – in proposito è molto chiaro e specifica che prima gestire il dato, obbligo derivante dal fatto di essere titolari e/o responsabili occorre individuare e verificare che il trattamento abbia un rischio residuale basso, portandoci cosi nel concetto privacy by design spiegandoci che a fronte di un rischio dobbiamo essere proattivi e valutare in anticipo i rischi determinando al contromisura
E’ quindi subito evidente che per ogni rischio dobbiamo aver assolutamente verificato, completato e verificato i seguenti 4 punti
- Effettuato una valutazione del rischio
- Determinato l’impatto del rischio come peso
- Individuato la contromisura
- Inserito questo rischi nel registro del trattamento
[1] Fornitore infedele che avendo accesso ai dati non controllato o controllato male preleva e diffonde i dati probabilmente a scopro di lucro
[2] Lo stesso dipendente della banca che tramite operazioni errate, compiute in buona fede, ma in modo negligente, diffonde i dati.
