Il Metodo VERA
Il primo passo, supportato dal relativo foglio Excel, prevede la valutazione delle minacce (ne sono state individuate 42) in termini di probabilità di accadimento (da 1 a 5) e di attributo R I D su cui impattano.
Per ogni minaccia viene anche determinato se sussiste un rischio privacy afferente alle categorie: distruzione accidentale, distruzione illegale, perdita, modifica, divulgazione non autorizzata, accesso non autorizzato ai dati personali.
Parallelamente viene data una valutazione di adeguatezza per tutti i 114 controlli ISO 27001/27002 (in una scala da 1 a 4, stessi criteri del modello SMART). Conseguentemente il valore della vulnerabilità viene definito come pari a 5 – valore di adeguatezza del controllo (come nel caso precedente).
La vulnerabilità di ogni controllo viene moltiplicata per il valore base di ogni rischio per ogni minaccia. Quest’ultimo è calcolato come il valore massimo dell’impatto dei valori R I D (applicabili alla minaccia) per la relativa probabilità di accadimento della minaccia ovvero
Base di rischio = verosimiglianza minaccia x valore dato personale (il parametro RID con impatti sulla minaccia e valore più alto)
Quindi:
Rischio (per ogni minaccia e controllo) = Base di rischio x vulnerabilità
(“inverso” del valore del controllo)
Si consideri che non tutte le celle all’incrocio fra controlli e minacce sono valorizzate, in quanto alcune sono ritenute non applicabili a determinati controlli.
Nel foglio specifico “Rischio Privacy”, per ogni minaccia viene prelevato solo il valore massimo per tutti I controlli (worst case). Dunque, volendo mitigare il rischio bisogna agire o sulla verosimiglianza (probabilità) della minaccia oppure sul controllo meno efficace (vulnerabilità maggiore).
Il tutto, naturalmente, va adeguatamente commentato e giustificato.
Questo metodo da un lato prevede una valutazione molto dettagliata sui controlli (sono esplicitati tutti i 114 controlli della ISO 27001), mentre la valutazione sui dati personali è fatta in modo globale, ovvero viene definito un valore per i parametri R/I/D valido per tutti i dati personali. Sicuramente se dovessero emergere rischi elevati, bisognerebbe scomporre la valutazione per diverse tipologie di dati personali trattati (es. dati del personale dipendente, dati dei clienti, dati dei fornitori e così via).
Dunque, è un metodo “controlli oriented”, non pienamente allineato alla metodologia suggerita (o solo intuita) dal GDPR, che prevede di partire dai trattamenti di dati personali e calcolare i rischi conseguenti. Valgono le stesse considerazioni evidenziate per il metodo ENISA ed il metodo SMART riguardo al focus sulla protezione dei dati e non su tutti i rischi per i diritti e le libertà dell’interessato.
Infine, per applicare questo modello occorre una buona conoscenza della norma ISO 27001 e della linea guida ISO 27002 sui controlli di sicurezza per poter valutare in modo ragionevolmente corretto tutti questi controlli.
Un approccio semplificato “risk oriented” alla valutazione del rischio
I rischi che incombono sui dati che sono identificati afferiscono alle seguenti categorie (conseguenze del danno):
- Perdita di riservatezza di dati personali;
- Perdita di riservatezza di dati particolari;
- Perdita di integrità dati particolari;
- Perdita di integrità dati personali;
- Indisponibilità temporanea di dati personali;
- Perdita (distruzione) di dati personali;
- Non ottemperanza al principio di liceità, correttezza e trasparenza del trattamento;
- Non ottemperanza al principio di minimizzazione e di limitazione del trattamento dei dati.
Dalle suddette categorie dipendono i rischi potenziali seguenti:
- Accessi non autorizzati a dati personali su supporto durevole da parte di personale interno;
- Accessi non autorizzati a dati personali su supporto durevole da parte di personale esterno;
- Accessi non autorizzati dati personali su supporto elettronico da parte di personale interno;
- Accessi non autorizzati a dati personali su supporto elettronico da parte di personale esterno;
- Malfunzionamento degli strumenti informatici con alterazione o perdita di dati;
- Malfunzionamenti degli impianti e dei servizi accessori con indisponibilità o perdita dei dati;
- Atti di criminalità informatica con rivelazione o perdita di dati;
- Atti di criminalità comune con rivelazione o perdita di dati;
- Eventi distruttivi (naturali, artificiali o dolosi) con perdita o indisponibilità temporanea di dati;
- Raccolta di dati eccedente la finalità del trattamento;
- Elaborazione di dati eccessiva rispetto alle finalità, consensi ottenuti, informative, tempi di conservazione e necessità;
- Impossibilità di garantire l’esercizio dei diritti dell’interessato.
Come si vede i vari rischi raggruppano una serie di eventi (ad es. tra gli eventi distruttivi naturali o artificiali vi sono terremoti, incendi, inondazioni, esplosioni, atti di terrorismo…) e l’accesso non autorizzato ai dati personali viene declinato sia per il formato dei dati (digitale o su supporto cartaceo o durevole per comprendere anche supporti plastici come badge, lastre di esami diagnostici, ecc.), sia per il fatto che l’accesso non consentito sia da parte di soggetti interni all’azienda o esterni, in quanto il livello di riservatezza richiesto può essere differente.
Di conseguenza gli eventi (minacce) che possono far sì che tali rischi si concretizzino sono stati identificati nei seguenti:
- sottrazione di credenziali di autenticazione da parte di personale interno;
- sottrazione di credenziali di autenticazione da parte di personale interno;
- attacchi informatici diretti da parte di malintenzionati (es. ransomware, phishing);
- furti, rapine ed altri eventi malavitosi;
- comportamenti sleali o fraudolenti di personale interno;
- comportamenti sleali o fraudolenti di personale esterno;
- disastri naturali ed artificiali (alluvioni, inondazioni, terremoti, incendi, ecc.)
- azione di malware non finalizzato;
- intercettazione di informazioni in rete;
- guasto ai sistemi ed impianti complementari (impianto elettrico, climatizzazione, ecc.)
- malfunzionamento dei sistemi informatici gestionali e dei software applicativi;
- inadeguatezza della gestione dei dati personali da parte dei software applicativi e gestionali;
- guasti o malfunzionamenti hardware;
- perdita di dispositivi portatili;
Tali minacce possono concretizzarsi in rischi nel caso in cui incontrino una vulnerabilità nelle misure tecniche ed organizzative di protezione e prevenzione adottate dall’azienda, in particolare:
- carenza di consapevolezza da parte degli operatori;
- disattenzione o incuria da parte degli operatori;
- carenza di conoscenza dei principi del Regolamento UE 679/2016 da parte del personale;
- errore materiale da parte degli operatori;
- inadeguatezza o errata configurazione degli applicativi di protezione software (antimalware, firewall,…);
- inadeguatezza/obsolescenza/malfunzionamento o errata configurazione delle protezioni hardware (firewall hardware, router, WLAN, IDS,…);
- inadeguata configurazione del controllo degli accessi logici ai dati
- errata gestione (configurazione, utilizzo) dei dispositivi portatili;
- errata gestione del controllo degli accessi all’azienda;
- inefficacia delle misure di sicurezza fisica (controllo accessi, ecc.);
- inefficacia dei sistemi di prevenzione incendi;
- inefficacia dei sistemi di sicurezza fisica (antifurto, porte, armadi chiusi a chiave, ecc.);
- inefficacia dei sistemi di protezione da calamità naturali;
- accessi da parte di esterni non autorizzati (errata applicazione delle regole di accesso fisico al sito);
- insufficiente sorveglianza di strumenti contenenti dati;
- mancata cifratura di dati accessibili a terzi;
- mancata pseudonimizzazione di dati particolari;
- errori umani nella gestione della sicurezza fisica;
- procedure organizzative inadeguate.
A titolo di esempio in Figura sotto sono rappresentati graficamente le minacce, le vulnerabilità ed i rischi legati ad un attacco informatico tipo ransomware (es. Cryptolocker, wannacry, ecc.).
In sostanza si fa un’analisi delle minacce e delle vulnerabilità e poi si fa una valutazione dei rischi ponderata sui rischi potenziali indicati nell’elenco numerato sopra riportato.
Partendo dall’approccio basato sull’identificazione dei rischi privacy che incombono sui dati personali sopra esposto si può procedere al calcolo del rischio come segue.
Ad ogni rischio (minaccia) identificato può essere associato un impatto su ogni trattamento di dati personali (ad es. in una scala da 0 a 3), oppure, semplificando ad ogni categoria di interessato di cui sono trattati i dati personali (es. clienti, fornitori, dipendenti, terzi). Evidentemente per ognuna di tali categorie va considerato il caso peggiore, ovvero la categoria di dati personali più sensibile (dati relativi alla salute, dati economico-finanziari, dati relativi alla religione, piuttosto che dati anagrafici comuni).
A questo punto viene stabilita, sempre per ogni rischio, la gravità delle conseguenze nel caso in cui il rischio si concretizzi, in una scala da 1 (impatto trascurabile) a 5 (impatto critico). Naturalmente a fronte ad es. di un accesso non autorizzato a dati personali di un dipendente da parte di personale interno oppure esterno all’organizzazione occorre considerare il caso peggiore di tutti gli effetti possibili (es. furto di identità).
Successivamente, per ogni rischio, va determinata la probabilità di accadimento – sempre in una scala da 1 (molto bassa) a 5 (molto alta). Quindi con la classica formula R = P x G si ottiene il calcolo del livello di rischio. I valori ottenuti – da 1 a 25 – saranno poi suddivisi in fasce per stabilire, secondo criteri definiti in una matrice di rischio, quali rischi saranno di livello Basso, Medio oppure Alto. Oltre una certa soglia di rischio andranno poi intraprese azioni di trattamento del rischio come indicato in precedenza.
In questo modello, semplificato, prevede che le misure di sicurezza siano ricomprese nella determinazione della Gravità dell’impatto (Misure di Protezione) e della relativa Probabilità (Misure di Prevenzione). In pratica il ragionamento è il seguente: la probabilità di subire un attacco ransomware non viene determinata in modo assoluto (è molto probabile che un attacco ransomware si verifichi), ma in funzione delle misure di sicurezza implementate; per cui si definirà la probabilità che un attacco ransomware abbia successo nonostante le misure di prevenzione attuate (antimalware, sistemi anti ransomware specifici, firewall, formazione del personale per sensibilizzarlo a comportamenti prudenti). La corrispondente gravità sarà determinata considerando le misure di protezione attuate, ad es. la disponibilità di un backup giornaliero cifrato scollegato dal sistema centralizzato.
Volendo mantenere separati gli effetti delle misure di sicurezza dalla probabilità e dalla gravità di un rischio si potrebbe calcolare i valori di probabilità e gravità considerandoli in assoluto, a prescindere dalle misure di prevenzione e protezione adottate, come nei metodi precedentemente illustrati. In tal caso l’effetto di mitigazione delle misure di sicurezza sul rischio potenziale sarebbe definito attraverso un terzo parametro M, che rappresenta l’efficacia delle misure di sicurezza, espressa in una scala da 1 (Misure molto efficaci) a 5 (Nessuna misura di sicurezza). Il valore per il Livello di Rischio (o indice di rischio) verrà dunque calcolato nel modo seguente:
LR = P x G x M (Probabilità x Gravità x Efficacia delle Misure di Sicurezza)
La scala del rischio sarà conseguentemente da 1 a 125.
In alternativa l’efficacia delle misure di sicurezza potrebbe essere considerata come un fattore di mitigazione del rischio definito dal prodotto P x G, sulla falsariga del modello SMART. Quindi, anziché definire una scala da 1 a 5 per il parametro M, si potrebbe definire una scala di valori del tipo 0.2, 0.4, 0.6….1; ovvero si inverte la scala dell’efficacia delle misure di sicurezza (1 sta per “Nessuna misura”, 5 sta per “Misure molto efficaci”) e si trasforma la formula precedente nella seguente LR = P x G / M.
Conclusioni
Naturalmente possono essere elaborate diverse variazioni sul tema e altri metodi di calcolo del rischio privacy (ad es. mutuandoli dalla metodologia FMEA); il limite è probabilmente solo la fantasia dell’autore del nuovo modello. L’importante è restare legati ad una base normativa standard (ISO 31000 per il processo di valutazione del rischio, Linee Guida ENISA o altre Linee Guida per il calcolo del rischio) e definire una formula corretta per il calcolo del rischio. Alcuni, infatti, anziché moltiplicare i contributi di Gravità, Probabilità e Misure di sicurezza (Controlli) li sommano e ciò non è propriamente corretto.
Diversi applicativi software per la gestione della privacy e dei sistemi per la gestione delle informazioni ISO 27001 hanno implementato un sistema di valutazione dei rischi più o meno articolato e, dunque, possono soddisfare allo scopo.
Riferimenti
- ENISA – Manuale sulla Sicurezza nel trattamento dei dati personali (dicembre 2017) – § 2 Valutazione del rischio e misure di sicurezza per i dati personali
- Manuale RPD – Compito 3: Valutazione dei rischi posti dalle attività di trattamento di dati personali
- VERA 5.0 https://www.cesaregallotti.it/Pubblicazioni.html
- Metodologia Smart 1.0 https://it.linkedin.com/pulse/strumenti-disponibili-per-la-valutazione-dei-rischi-stefano-posti