All’interno del GDPR, il termine “rischio” viene utilizzato ben 70 volte. In ciascuna di esse, il significato muta a seconda delle finalità del trattamento, della fase del processo di gestione della conformità che il regolamento determina e che l’azienda contestualizza.
Si passa dai più generici rischi operativi, ai rischi reputazionali, fino a scendere in rischi più specifici come i rischi IT, che includono i rischi di sicurezza IT, i rischi di qualità e i rischi legati alla cyber security.
Sono numerosi gli ostacoli da superare per gestire i rischi, e mentre ci si sforza di individuarli, affrontarli e superarli occorre avere la consapevolezza che è impossibile gestire ogni cosa.
I primi vincoli sono dettati dal mercato, dal contesto ma soprattutto dai limiti tecnologici, organizzativi, economici e di conoscenza dell’azienda: spesso c’è difficoltà anche a comprendere cosa va protetto e quali rischi si corrono.
Se agire in maniera preventiva è difficile anche per i motivi sopracitati, correggere gli errori e correre al riparo è ancora più complicato.
La metodologia corretta per l’analisi e la valutazione dei rischi
Le unità organizzative che devono realizzare gli obiettivi aziendali effettuano processi sulla sicurezza IT che comprendono la valutazione della probabilità delle minacce e l’impatto delle conseguenze sui processi di business e sui trattamenti supportati dai servizi IT.
Il funzionamento di questi servizi IT dipende dall’adeguatezza degli asset IT e dei processi tecnologici a supporto.
In particolare sono 5 gli step previsti da questa metodologia:
- Identificazione dei servizi IT: identificare dal registro dei trattamenti i dati personali trattati dal titolare;
- Identificazione degli asset: identificare gli asset tecnologici coinvolti nei servizi IT;
- Valutazione dell’impatto sul business: per ogni servizio IT identificato, valutare gli impatti derivanti da una perdita o una riduzione della riservatezza di tutti i dati trattati;
- Valutazione della probabilità: stimare la probabilità futura di accadimento delle singole minacce, anche in relazione all’impatto ipotizzato;
- Calcolo del rischio: ipotizzare i vari scenari, calcolare i risultati di impatto e probabilità.
Come valutare i diversi parametri che definiscono l’analisi dei rischi
Possiamo dividere i 5 step in 2 fasi ben distinte: la fase di analisi e la fase di gestione dei rischi.
Nella fase di analisi vengono definite:
- Le minacce e la vulnerabilità del trattamento per affrontare i rischi in maniera consapevole e ottimizzare la gestione delle contromisure;
- La probabilità del rischio soprattutto nel rapporto cliente-fornitore;
- L’impatto quantificato e qualificato che permette la creazione di un modello gerarchico e la definizione delle priorità;
- Le misure di sicurezza che vengono categorizzate in un sistema di controllo integrato tra i vari rischi.
Nella fase di gestione vengono definite:
- Le misure di sicurezza più efficaci e coerenti con le problematiche, l’obiettivo e le risorse disponibili per controbilanciare le prospettive di rischio;
- I soggetti coinvolti con requisiti di sensibilità, esperienza, competenza, capacità decisionale, coordinamento nella gestione, efficienza nell’analisi, memoria storica e chiarezza degli obiettivi;
- La frequenza dell’analisi che rispecchi la velocità del cambiamento del contesto interno, lo scenario esterno e l’evoluzione dei controlli;
- I rischi effettivi e i rischi residui di ciascun asset, inseriti in una scala di valutazione che li metta in correlazione per poter prendere decisioni circa i controlli da implementare;
- I criteri di accettazione del rischio che devono essere implementati su scala e valutati con attenzione.
Il segreto è la classificazione dei dati
Per gestire la complessità, fare chiarezza e rendere l’analisi e la valutazione dei rischi oggettiva, completa ed efficace occorre partire sempre dai dati e considerarli l’unità atomica del rischio.
L’azienda deve riuscire a raccogliere, catalogare, utilizzare e monitorare tutti i dati per poter correggere gli errori e valutare i miglioramenti.
L’azienda che ha in essere un processo di Data Classification ha la possibilità di utilizzare la mappa che mette a confronto i dati con i processi per valutare i rischi potenziali.
Solamente dopo aver fatto queste tipo di valutazioni si possono definire gli obiettivi e valutare la conformità alle misure GDPR.
I benefici del GDPR per l’analisi dei rischi
L’approccio risk based introdotto dal GDPR ha costretto le aziende a strutturare un processo di analisi dei rischi per rendere questa operazione efficiente ed efficace.
I riflessi positivi sulla sicurezza e sull’organizzazione dell’azienda si possono riassumere in 4 punti:
- Standardizzazione
La standardizzazione del processo, delle metodologie, degli strumenti e delle risorse permette di classificare gli incidenti, le minacce e stabilire le procedure di remediation, di definire i Kpi per misurare l’esposizione dell’azienda alle principali minacce, di valutare la probabilità che si verifichi un rischio partendo dallo storico, di cercare in maniera più rapida le reali minacce.
- Unione
Unificare le modalità di valutazione dei rischi per la rispondenza ai diversi obiettivi del GDPR, come la privacy by design, la privacy by default, il DPIA (Data Protection Impact Assessment), e la sicurezza dei trattamenti.
- Raccolta feedback
Analizzare tutti i processi dell’azienda permette di identificare tanti possibili feedback fino a quel momento mai raccolti per scarso interesse.
- Miglioramento
Il monitoraggio consente incito in questo tipo di operazione consente un miglioramento continuo.
Il processo di analisi e valutazione del rischio rappresenta l’opportunità di trasformare un processo di compliance in uno strumento fondamentale per la sicurezza aziendale.