La valutazione del rischio secondo i modelli ENISA e SMART
Il modello ENISA, rielaborato nel modello Smart, prevede la valutazione del rischio secondo il medesimo schema, che andremo a descrivere, per ogni trattamento individuato nel Registro dei trattamenti.
Per prima cosa al trattamento vengono assegnati dei livelli di criticità dell’impatto (da 1 a 4) relativi ai consueti attributi di Riservatezza, Integrità e Disponibilità. Tale valutazione viene poi giustificata con note esplicative, caratterizzazione delle tipologie di dati trattati, tempo massimo di indisponibilità dei dati ritenuto ammissibile e così via.
Vi sono analogie col modello di risk assessment proposto dalla Linea Guida ISO 27005 per la sicurezza delle informazioni, dove, però, la criticità delle informazioni viene valutata sugli asset (asset fisico o information asset, tradotto con il termine “bene” in italiano); sommando i valori di R + I + D (da 1 a 3) si ottiene un valore dell’asset dal punto di vista dell’impatto sulle informazioni gestite.
Nel modello di rischio presentato, invece, si prende il “caso peggiore” – ovvero il valore più alto fra R, I e D – come valore dell’impatto sul trattamento di dati personali considerato.
I livelli di impatto (gravità) sugli attributi di Riservatezza, Integrità e Disponibilità sono determinati secondo i criteri esposti nella seguente tabella
Livello di impatto | Descrizione |
1 = Basso | Piccoli inconvenienti superabili senza particolari problemi (tempo necessario per re-inserire informazioni, irritazione, ecc.) |
2 = Medio | Inconvenienti significativi, superabili con alcune difficoltà (costi aggiuntivi, mancato accesso a servizi aziendali, timori, difficoltà di comprensione, stress, piccoli disturbi fisici, ecc.) |
3 = Alto | Conseguenze significative che si dovrebbero poter superare ma con gravi difficoltà (sottrazione di liquidità, inserimento in elenchi negativi da parte di istituti finanziari, danni a beni materiali, perdita dell’impiego, ordinanze o ingiunzioni giudiziarie, compromissione dello stato di salute, ecc.) |
4 = Molto alto | Conseguenze significative o irreversibili, non superabili (perdita capacità lavorativa, disturbi psicologici o fisici cronici, decesso, ecc.) |
A questo punto il modello in esame prevede un questionario per la determinazione della Verosimiglianza (probabilità) che uno o più eventi avversi si verifichino.
Le domandesono suddivise in quattro aree principali di valutazione in termini di sicurezza dei dati, ossia:
- Risorse di rete e tecnologiche (hardware e software)
- Processi/procedure connessi al trattamento
- Soggetti e persone coinvolti nel trattamento
- Settore di attività e scala del trattamento
Per ciascuna area di valutazione, vengono poste cinque domande la cui risposta può essere “Si”, “No” oppure “Non so”. In base alle risposte date l’algoritmo che sta alla base del calcolo (si veda il Manuale ENISA, il Manuale degli RPD e il Modello SMART di @Stefano Posti per i dettagli). In realtà il modello ENISA non illustra un metodo matematico di calcolo della probabilità per ogni area, ma definisce una probabilità – per ognuna delle quattro aree sopra identificate – suddivisa come segue:
- Basso: è improbabile che la minaccia si materializzi.
- Medio: c’è una ragionevole possibilità che la minaccia si materializzi.
- Alto: la minaccia potrebbe materializzarsi
La probabilità finale delle minacce viene calcolata sommando i valori della probabilità per ogni singola area, riconducendo il totale ai medesimi 3 livelli.
Invece il modello presentato nel Manuale del DPO presenta un metodo deterministico dei suddetti valori, per ogni area, in base al numero di risposte affermative alle domande poste per ogni categoria.
Il modello di @Stefano Posti parrebbe più dettagliato, sebbene a fronte delle risposte “Non so” non si determini una probabilità maggiore che si concretizzi una minaccia rispetto alla risposta “Si”. Comunque, il file Excel reso disponibile è modificabile e personalizzabile quindi, a fronte delle risposte dubitative, si potrebbe (e dovrebbe) approfondire l’argomento in quanto esiste una maggiore aleatorietà della valutazione.
Il modello SMART, inoltre, permette di correggere il valore della Verosimiglianza determinato dall’algoritmo, nel caso si ritenga non rispecchi fedelmente quanto presente nella realtà.
Il punteggio così ricavato (i valori vengono ricondotti alla scala 1 = Basso, 2 = Medio, 3 = Alto) può essere associato al punteggio relativo all’impatto delle conseguenze, precedentemente calcolato, per arrivare a un punteggio complessivo per il calcolo del rischio.
Il modello SMART prevede il calcolo di un livello di rischio per ognuna delle quattro categorie sopra stabilite (Risorse di rete e tecnologiche, Processi/procedure connessi al trattamento, Soggetti e persone coinvolti nel trattamento, Settore di attività e scala del trattamento) secondo la formula Rischio = Max (Verosimiglianza x Max (Impatto), per ogni categoria), dunque si considera ancora il c.d. “worst case” (caso peggiore).
Il punteggio calcolato viene poi associato ad una descrizione secondo la seguente tabella (il valore del rischio può variare fra 1 e 12):
Livello di rischio |
Basso < 3 |
3 < Medio < 6 |
5 < Alto < 9 |
Molto Alto > 8 |
Questa tabella differisce dal criterio proposto dal metodo ENISA (riportato anche nel Manuale dell’RPD) che prevede la seguente matrice di rischio:
Si noti che il rischio Basso (in verde) è asimmetrico, nel senso che se il punteggio 2 viene ottenuto da un Impatto Basso (=1) e una Probabilità Media (=2) il Rischio sarà giudicato Basso, viceversa se il medesimo valore sarà ottenuto da un Impatto Medio (=2) e da una Probabilità Bassa (=1), il Rischio sarà Medio (colore giallo).
Sia il modello ENISA che il modello SMART prevedono, successivamente al calcolo del rischio sul trattamento, la definizione dei controlli di sicurezza (alias “misure di sicurezza tecniche ed organizzative”) necessari per mitigare il rischio.
A questo punto è necessario aprire una parentesi sulla metodologia di risk assessment adottata.
Il rischio che è stato calcolato è un rischio potenziale o rischio inerente che incombe sul trattamento a prescindere dalle misure di sicurezza (controlli) implementati. Infatti, se andiamo ad esaminare le domande del questionario per la determinazione della verosimiglianza (o probabilità) delle minacce viene chiesto, ad esempio, se si svolgono operazioni di trattamento tramite internet e se i sistemi IT sono interconnessi con altri sistemi interni o esterni all’organizzazione, non se si dispone di antivirus aggiornati, firewall, sistemi di controllo degli accessi con password complesse e così via. Dunque, la probabilità che una minaccia si concretizzi è valutata in termini assoluti, senza considerare le misure di prevenzione e protezione adottate.
Facendo una valutazione sulle misure di protezione, anziché di prevenzione come nel caso degli antivirus, andiamo a calcolare la probabilità che si verifichi un terremoto di magnitudo elevata (è diversa la probabilità se siamo in Sardegna o in Abruzzo), ma non consideriamo se l’edificio aziendale è di recente costruzione ed antisismico oppure no.
Quindi il rischio intrinseco lo dobbiamo mitigare con le misure di sicurezza (i controlli) di cui disponiamo, al fine di ottenere il c.d. rischio residuo. Se il rischio residuo sarà reputato troppo elevato, o comunque non accettabile per il profilo di rischio del titolare del trattamento, allora dovremo implementare ulteriori misure di sicurezza.
Dunque, il modello SMART ed il modello ENISA, da cui discende, prevedono la determinazione delle misure di sicurezza, in funzione del livello di rischio intrinseco calcolato precedentemente.
Il foglio Excel del modello SMART riporta tutti i punti di controllo della ISO 27001, raggruppati per un totale di 20 elementi, e per ognuno di essi ne viene data una valutazione a 4 livelli (1- Inadeguato, 2- Parzialmente adeguato, 3- Quasi adeguato, 4- Adeguato, oppure Non Applicabile). Viene quindi calcolato un livello di efficacia dei controlli medio (da 1 a 4) e un livello di vulnerabilità media (calcolato come l’inverso dell’efficacia delle misure di sicurezza, ovvero 5 – valore medio dei controlli). Infatti, il concetto è il seguente: quanto più sono efficaci i controlli di sicurezza (le misure di sicurezza), quanto meno i miei dati sono vulnerabili a fronte del concretizzarsi di una minaccia.
A questo punto viene calcolato il rischio ponderato (ovvero il rischio residuo) come il prodotto del rischio inerente calcolato precedentemente per la vulnerabilità media diviso 4 (per normalizzare il nuovo livello di rischio alla scala definita in precedenza. Così il livello di rischio potrà essere attenuato e riportarsi ad un livello Basso, Medio, Alto o Molto alto in base al quale dovranno essere prese delle decisioni sul trattamento, ovvero stabilire:
- Azioni volte ad evitare il rischio, azzerando la possibilità che esso si concretizzi;
- Azioni volte a proteggere i dati dalle conseguenze del rischio;
- Azioni finalizzate a ridurre la probabilità che il rischio si concretizzi, attraverso l’intensificazione dei controlli preventivi;
- Azioni di trasferimento del rischio a terzi (fornitori, assicurazioni,…);
- Accettazione del rischio, in quanto non è stato ritenuto opportuno intervenire in base al rapporto costi/benefici delle eventuali azioni di trattamento esaminate.
Se a fronte di azioni di mitigazione non si riesce ancora a ridurre un livello di rischio elevato occorrerà procedere con la Valutazione di Impatto (DPIA) ed eventualmente con la consultazione del Garante per la Protezione dei Dati Personali prima di avviare il trattamento.
Il modello ENISA, a differenza del modello SMART, prevede una serie di misure di sicurezza (controlli) mutuate anch’esse dai controlli della ISO 27001/27002, ma prevede necessariamente l’applicazione di alcune misure (minime) per i trattamenti con livello di rischio Basso, altre misure previste per i trattamenti con livello di rischio Medio e ulteriori misure tassativamente richieste per i trattamenti con livello di rischio Alto. In pratica la scelta delle misure di sicurezza ritenute adeguate è determinata automaticamente in base al rischio calcolato.
In conclusione, i pregi e difetti di questi metodi:
Pro:
- Riferimenti a normative e linee guida che permettono di dimostrare l’accountability del Titolare;
- Metodologia che recepisce quanto richiesto dal Regolamento in merito alla valutazione della Gravità dell’impatto e della Probabilità del rischio;
- Metodo analitico di calcolo del rischio completo, volendo personalizzabile (file Excel reso disponibile da @Stefano Posti);
- Definizione delle aree/categorie di minacce che permette di esaminare tutti gli aspetti del trattamento;
- Flessibilità nel calcolo del rischio residuo sulla base dei controlli applicati (solo metodo SMART) e nella possibilità di ripetere la valutazione dei controlli a seguito dell’implementazione di ulteriori misure di sicurezza;
- Evidenza dell’effetto di mitigazione dei controlli sul rischio inerente (solo metodo SMART).
Contro:
- Necessità di ripetere la valutazione per ogni trattamento, ma la parte relativa al questionario di assessment della verosimiglianza (calcolo della probabilità) e quella relativa ai controlli è duplicabile se applicabile a più trattamenti
- Definizione poco dettagliata delle minacce e della relativa probabilità di accadimento
- Definizione troppo deterministica delle misure di sicurezza da adottare per ogni livello di rischio, peraltro piuttosto severe per una PMI (solo modello ENISA)
- Determinazione del rischio in base ad una matrice di rischio asimmetrica (solo modello ENISA).