[GUIDA] Come fare la valutazione del rischio privacy di un trattamento
del
18/10/2018
, sorgente
ENISA
In questo articolo vi proponiamo un metodo semplificato per il calcolo dei rischi di un trattamento di dati personali. Il metodo è basato sul documento proposto da Enisa, l’agenzia dell’Unione Europea per la sicurezza delle reti e dell'informazione.
Come indicato nel nostro articolo sulla valutazione di impatto, uno dei passaggi fondamentali per comprendere se per un trattamento sia necessario effettuare una DPIA è calcolarne il rischio rispetto agli interessati.
Questa prima valutazione ci permetterà di realizzare la valutazione dei rischi prevista dal GDPR all’art. 35solamente per i trattamenti per cui si rivelerà realmente necessaria.
Il metodo si suddivide in quattro fasi:
definizione dell’operazione di trattamento,
comprensione e valutazione dell’impatto del trattamento,
definizione della probabilità di accadimento delle minacce,
calcolo del rischio generale sul trattamento.
Con questa metodologia si produrrà un documento generale di valutazione dei rischi per definire quali trattamenti presentano un rischio elevato. Successivamente si dovranno individuare misure di sicurezza adeguate e stabilire per quali trattamenti rimane un rischio elevato anche dopo l’applicazione delle misure di sicurezza.
Fase 1 - Definire il trattamento
Il primo step della valutazione prevede la descrizione del trattamento, in cui si cerca di identificare:
le operazioni svolte sui dati (es. raccolta, registrazione, conservazione, ecc..),
tipologie di dati trattati e finalità del trattamento,
cosa uso per trattarli e dove (asset utilizzati e loro ubicazione),
categorie di interessati (dipendenti, clienti, fornitori, ecc..),
destinatari dei dati (interni e/o esterni, comunicazioni e/o trasferimenti),
Fase 2 - Comprendere e valutare l’impatto
La seconda fase, volta a valutare l’impatto sugli interessati, parte dall’analisi dello stato di sicurezza del trattamento. I parametri di cui tenere conto secondo l’art. 32 del GDPR sono:
riservatezza del dato,
disponibilità del dato,
integrità del dato.
Trattandosi di una valutazione a priori si prende in considerazione un evento ipotetico in cui i parametri sopra elencati vengono a mancare. Quindi si ipotizza un trattamento privo dei requisiti di riservatezza, disponibilità ed integrità.
In una situazione del genere è possibile assegnare (quantificare) un primo livello di impatto rispetto alla mancanza di ciascuno dei 3 parametri.
I livelli di impatto calcolato sugli interessati possono essere:
basso: quando gli interessati andranno incontro a disagi contenuti che supererannosenza problemi (maggior tempo nella compilazione, fastidi, irritazioni ecc...)
medio: quando gli interessati possono avere significativi disagi che saranno in grado di superare nonostantealcune difficoltà (costi, stress, mancanza di comprensione ecc...)
alto: quando potranno esserci conseguenze significative che gli interessati dovrebbero riuscire a superare anche se congravi difficoltà (liste nere di istituti finanziari, perdita di lavoro, danni alla proprietà, citazioni in giudizio, ecc...)
molto alto: quando gli interessati potranno subire conseguenze significative o irreversibili che non saranno in grado di superare (incapacità di lavorare, disturbi psicologici o fisici a lungo termine)
Nell’analisi, il trattamento presenterà 4 diversi livelli d’impatto in relazione a ciascuno dei 3 parametri considerati. L’operazione per calcolare il livello generale d’impatto è semplicissima: basta prendere in considerazione il più alto dei tre valori ottenuti.
Iscriviti alla Newsletter di UTOPIA.
Iscriviti alla Newsletter per ricevere il Privacy Digest che include un riepilogo bisettimanale degli ultimi articoli del Blog e le ultime novità di UTOPIA.
Iscrizione avvenuta con successo!
Ops! Qualcosa è andato storto. Ricarica la pagina e riprova...
Fase 3 - Definire le possibili minacce e valutare le probabilità di occorrenza della minaccia
Per ogni area aziendale di valutazione sono indicate 5 domande con relativa spiegazione che permettono focalizzare l’attenzione su aspetti specifici. L’intento è quello di stabilire per ogni singola area, un livello di probabilità di accadimento di una minaccia.
I valori di probabilità di occorrenza della minaccia sono:
1 = Basso: è improbabile che la minaccia si materializzi
2 = Medio: c’è una ragionevole possibilità che la minaccia si materializzi
3 =Alto: la minaccia potrebbe materializzarsi
Le minacce da valutare si possono valutare in quattro aree aziendali:
Risorse di rete e tecniche
Processi e procedure
Parti e persone coinvolte
Settore e scala del trattamento
Di seguito troverete tutte le possibili minacce suddivise per aree: è necessario stabilire il livello di probabilità di occorrenza della singola minaccia con un punteggio da 1 a 3 (1=basso, 2=medio, 3=alto)
Risorse di rete e tecniche
Qualche parte del trattamento viene eseguita tramite internet? Tale metodologia di esecuzione aumenta le minacce esterne soprattutto se il dato è raggiungibile via web ed accessibile a tutti.
Viene fornito l’accesso dall’esterno al sistema interno di trattamento dati tramite internet? Anche in questo caso aumentano le minacce esterne e anche le probabilità di abuso da parte degli utenti.
Il sistema di trattamento è interconnesso con altro sistema o servizio IT? Possono nascere ulteriori minacce per difetti di sicurezza dei sistemi o a causa dell’accesso di persone non autorizzate.
Le persone non autorizzate possono accedere facilmente all’ambiente di trattamento? É necessario valutare l’ambiente fisico di trattamento ed l’eventuale possibilità di accesso da parte di risorse non autorizzate.
Il sistema di trattamento è progettato e mantenuto senza seguire le migliori prassi? Progettazione, implementazione e manutenzione del sistema possono comportare ulteriori rischi.
Processi e procedure
Ruoli e responsabilità sono vaghi e non chiaramente definiti? Il trattamento potrebbe diventare incontrollato con un uso non autorizzato delle risorse e se viene compromessa la sicurezza complessiva.
L’uso della rete, del sistema e delle risorse non è chiaramente definito? Possono sorgere minacce a causa di incomprensioni o utilizzi impropri, una chiara definizione delle politiche può ridurre potenziali rischi.
I dipendenti trattano dati personali con i loro dispositivi? Aumenterebbe il rischio di perdita dei dati e la possibilità che si verifichino accessi non autorizzati. Inoltre aumenta il rischio che vengano introdotti bug o virus a causa del mancato controllo a livello centrale.
I dipendenti sono autorizzati a trasferire, archiviare o trattare dati personali al di fuori dei locali dell’organizzazione? Nascerebbero rischi aggiuntivi legati a canali di trasmissione insicuri e all’uso non autorizzato di queste informazioni.
Le attività di trattamento sono eseguite senza la creazione di file di registro? La presenza di tali meccanismi diminuirebbe l’abuso intenzionale o accidentale di processi, procedure e risorse.
Parti e persone coinvolte
Il trattamento è eseguito da un numero indefinito di dipendenti? Aumentano le possibilità di abuso a causa del fattore umano: definire chi ne ha bisogno limitando l’accesso contribuisce alla sicurezza del sistema.
Qualche parte di trattamento è eseguita da una terza parte? Se sono presenti contraenti esterni possono essere introdotte altre minacce. Gli interventi di terzi vanno selezionati adeguatamente per offrire il massimo della sicurezza mantenendo un alto livello di controllo e limitando la loro possibilità di accesso.
Gli obblighi delle parti o persone coinvolte sono ambigui e non chiaramente definiti? Se i dipendenti non sono informati sui loro obblighi aumentano le minacce derivanti da un uso improprio accidentale come la divulgazione o la distruzione.
Il personale coinvolto ha familiarità con il tema della sicurezza delle informazioni? Se i dipendenti non sono consapevoli della necessità di applicare le misure possono causare altre minacce. Tramite una formazione adeguata è possibile sensibilizzarli sugli obblighi di protezione e sull’applicazione delle misure stabilite.
Le persone/parti coinvolte trascurano l’archiviazione e/o la distruzione sicura dei dati? Molte violazioni sono dovute a mancanza di misure di protezione fisica, particolare attenzione ai file cartacei. Anche questi supporti necessitano di una adeguata protezione sia da divulgazione, sia dal riutilizzo non autorizzato.
Settore e scala del trattamento
Ritieni che il tuo settore di operatività sia esposto ad attacchi informatici? Se si sono già verificati attacchi nello stesso settore del titolare è opportuno adottare misure per evitare che si verifichi nuovamente un evento simile.
Ci sono stati attacchi informatici all’organizzazione negli ultimi due anni? Se ci sono già stati, vanno prese ulteriori misure per evitarne altri.
Sono arrivate notifiche o reclami riguardo la sicurezza del sistema informatico nell’ultimo anno? Bug e vulnerabilità vengono sfruttate per effettuare attacchi. Per questo vanno esaminate le comunicazioni in tal senso in modo che non influiscano sui sistemi.
L’operazione di elaborazione riguarda un grande volume di individui e/o dati personali? Tipologie e volume dei dati (scala) possono rendere interessanti i dati per gli aggressori.
Esistono best practice di sicurezza specifiche per il settore in cui opera l’organizzazione che non sono state seguite? Solitamente sono adattate ai bisogni e rischi del settore specifico. Non seguire queste pratiche è un indicatore di scarsa gestione della sicurezza.
Calcolo del livello di probabilità generale
Sommando i risultati ottenuti nelle 4 aree di valutazione si otterrà un valore numerico:
4 - 5 il livello di probabilità è BASSO
6 - 8 il livello di probabilità è MEDIO
9 - 12 il livello di probabilità è ALTO
Fase 4 - Calcolare il rischio combinando la probabilità di accadimento della minaccia e il livello d’impatto sugli interessati
I valori emersi nella fase 2 e 3 (cioè il livello d’impatto sugli interessati e la probabilità di accadimento di una minaccia) vanno inseriti all’interno di una matrice per calcolare il livello di rischio generale di un trattamento di dati personali.
Descrizione del processo di valutazione in breve:
Descrivo il trattamento.
Valuto l'impatto del trattamento sugli interessati ragionando sui 4 livelli (basso, medio, alto e molto alto) e i 3 parametri di sicurezza (riservatezza, disponibilità e integrità).
Se manca un parametro che livello di impatto ho sull'interessato? Dei tre livelli prendo il più alto.
Indico la probabilità di accadimento di una minaccia con valore da 1 a 3 (basso, medio o alto) per ogni area.
Faccio la somma dei valori e li incrocio nella tabella (esempio sopra) con i risultati dell’impatto.
Calcolo il rischio generale del trattamento.
Definisco le misure adeguate al rischio.
Documento tutto.
Hai bisogno di maggiore approfondimento sulle tematiche relative alla valutazione dei rischi secondo il GDPR o desideri informazioni sull’utilizzo di un software per l'analisi dei rischi? Clicca qui e scopri tutti i vantaggi.
Unisciti ad altri appassionati di privacy e ricevi subito l’Infografica sull’Accountability documentale, oltre alle novità sul mondo dei dati personali direttamente nella tua e-mail. Una volta al mese, niente SPAM.
Grazie per esserti iscritto alla nostra newsletter. Presto riceverai una mail con l'Infografica sull'Accountability documentale! 👈🏼
Ops! Qualcosa è anadato storto durante l'invio della richiesta.