ENISA: lo strumento di analisi dei rischi approvato dal Garante

Il rischio di un data breach è sempre dietro l'angolo ed evitarlo non è sempre semplice. Il modo migliore per ridurre il rischio di violazione dei dati è quello di avere una profonda conoscenza della struttura e dell'organizzazione aziendale e ciò non riguarda solo l'infrastruttura informatica, ma anche il personale e l'organizzazione dei processi interni. In particolare è necessario avere una profonda conoscenza del percorso che compiono i dati, dalla loro assunzione alla loro conservazione e allo smaltimento.

In altri termini, è cosa buona e giusta (è obbligatoria in alcuni casi) procedere ad un'analisi dei rischi approfondita.

L'analisi dei rischi è lo strumento tramite il quale il titolare del trattamento analizza le fonti di rischio di un data breach e le conseguenze che potrebbero derivare agli interessati nel caso in cui questo si verificasse.

L'analisi dei rischi richiede, oltre una profonda conoscenza della realtà oggetto di analisi, anche una buona conoscenza dei fattori che possono indurre una violazione di dati.

Tra questi fattori vi rientrano il fattore umano, legato strettamente a errori nel trattamento di dati (per esempio l'inserimento errato di un dato o l'invio dei dati a soggetti sbagliati) ma anche il fattore informatico, come una scarsa protezione perimetrale della rete interna o la mancata effettuazione del backup.Occorre ricordare che il data breach (o violazione dei dati) non riguarda solamente il caso di attacco hacker o la presenza di un virus nel computer, ma anche la mancata disponibilità dei dati o la divulgazione non autorizzata degli stessi.

Le conseguenze per gli interessati possono essere molteplici, da un semplice fastidio per la nuova comunicazione dei dati fino a danni fisici dovuti a stress o errori nelle procedure mediche (e nel caso più estremo la morte).

Nel 2017 l'ENISA (European Union Agency For Cybersecurity) ha pubblicato un manuale sulla sicurezza nel trattamento dei dati personali. Nonostante sia passato già qualche anno, il documento è ancora attuale e utile nella valutazione del rischio di data breach.

All'interno del manuale vengono analizzate le procedure da seguire per una corretta ed efficace valutazione del rischio di data breach, guidando il redattore con una serie di domande e campi da compilare, i quali, alla fine, lo renderanno edotto della situazione attuale, ma soprattutto renderanno chiaramente visibili le principali fonti di rischio.

Sempre all'interno del manuale è presente una matrice utile al fine di stabilire il livello di rischio finale dell'azienda, che prende dati come il livello di impatto che una violazione può avere sugli interessati, basandosi sulle conseguenze che possono derivarne per gli interessati, e il livello di probabilità del verificarsi della violazione, basato su una serie di fattori generali (quali la possibilità di trattare i dati con strumenti personali o al di fuori dei locali aziendali)

In particolare, incrociando il livello di impatto che un data breach può avere sugli interessati (livelli che sono ampiamente descritti e spiegati all'interno del manuale stesso) con la valutazione del rischio di probabilità della violazione, si ottiene il livello di rischio dell'organizzazione.

Il procedimento riportato al suo interno è attuabile sia a livello di insieme di trattamenti, quindi con uno sguardo globale alla realtà economica, sia a livello di singolo trattamento o singola area produttiva.

Di conseguenza, se il rischio finale risulta elevato si potrà procedere ad un'analisi più mirata ai singoli trattamenti o alle singole unità operative; in questo modo si potrà stabilire in primis quale sia il trattamento o l'unità operativa a con un grado di rischio più elevato e, successivamente, procedere alle necessarie operazioni di mitigazione del rischio (potenzialmente con un risparmio anche economico, derivante dall'azione mirata e non da un'azione generica su tutta l'azienda).

Lo strumento di analisi predisposto da ENISA si rivela utile anche nel campo della protezione dei dati personali, soprattutto in quanto l'art. 32 del Regolamento UE prevede che il titolare del trattamento debba adottare misure tecniche ed organizzative idonee alla protezione dei dati da lui trattati, tenendo conto (tra l'altro) dello stato dell'arte, dei costi di attuazione, della probabilità che si verifichi un data breach e delle conseguenze per i diritti e libertà degli interessati.

Lo strumento di analisi e valutazione proposto da ENISA, che ben può essere adattato alla singola realtà, risulta essere uno strumento valido, in quanto approvato anche dal Garante per la protezione dei dati personali, economico e adattabile a tutte le realtà.

In conclusione, un'analisi dei rischi permette di venire a conoscenza dei punti deboli (in termini di privacy) dell'organizzazione e, se ben fatta, permette anche di avere un chiaro schema di priorità di intervento.

In caso contrario, oltre a non rispondere all'obbligo posto dall'art. 32, si corre il rischio di un data breach, che può portare a ingenti danni in termini economici e di immagine.

_____

*A cura di Riccardo Ajassa, Consulente privacy e antiriciclaggio presso Nimble Srl

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più