Lo standard ENISA fa riferimento a quattro aree di valutazione in termini di probabilità di accadimento di una possibile minaccia. Per le PMI sono state definite una serie di quesiti di valutazione per agevolare la comprensione delle minacce e nel calcolo delle loro probabilità di accadimento. Infatti, il loro obbiettivo è sostenere il processo di valutazione rendendo l’organizzazione consapevole dell’ambiente di elaborazione dei dati.
Per ognuna di queste aree sono poste 20 domande con l’obbiettivo di identificare i fattori di rischio. Le aree di valutazione sono:
- Risorse di rete e tecniche (hardware e software);
- Processi / procedure relativi all’operazione di trattamento dei dati;
- Diverse parti e persone coinvolte nell’operazione di trattamento;
- Settore di operatività e scala del trattamento.
Dopo aver risposto alle domande, l’organizzazione, secondo il metodo ENISA, si dovrebbe trovare in una posizione migliore nel comprendere le minacce associate al suo ambiente di elaborazione dei dati, nonché nel rilevare la probabilità che si verifichino minacce.
In ognuna di tali domande una risposta positiva indica un’alta probabilità di minaccia, mentre una risposta negativa una probabilità di minaccia inferiore. Va notato che, anche le domande coprono un ampio spettro di minacce alla sicurezza, sia esterne che interne. Tuttavia, vanno considerate indicative di un modo pratico di valutare le minacce (e il loro verificarsi). In tal senso, fattori aggiuntivi potrebbero dover essere presi in considerazione dall’organizzazione seguendo le specificità del proprio ambiente di trattamento dei dati personali.
Il livello di probabilità di accadimento della minaccia, secondo lo standard ENISA, è definito su tre livelli per ciascuna delle aree di valutazione, così come segue:
- Basso: è improbabile che la minaccia si materializzi, valore 1;
- Medio: c’è una ragionevole possibilità che la minaccia si materializzi, valore 2;
- Alto: la minaccia potrebbe materializzarsi, valore 3.
LA VALUTAZIONE D’IMPATTO
Nella metodologia ENISA l’impatto è considerato con riferimento ai tre aspetti (Riservatezza, Integrità, Disponibilità) a cui si possono associare tutte le possibili minacce. Infatti, la valutazione in termini di impatto si deve riferire alle conseguenze connesse al rischio della perdita di disponibilità, riservatezza e integrità.
Così facendo otterrete singoli livelli di impatto per ognuno dei tre aspetti. Il più alto di questi livelli è considerato come il risultato finale della valutazione dell’impatto, relativo al trattamento complessivo dei dati personali.
I fattori oggetto di valutazione sono valutati sulla base di 4 indicatori di intensità:
- Basso: Gli individui possono andare incontro a disagi minori, che supereranno senza alcun problema (tempo trascorso reinserendo informazioni, fastidi, irritazioni, ecc.).
- Medio: Gli individui possono andare incontro a significativi disagi, che saranno in grado di superare nonostante alcune difficoltà (costi aggiuntivi, rifiuto di accesso ai servizi aziendali, paura, mancanza di comprensione, stress, disturbi fisici di lieve entità, ecc.).
- Alto: Gli individui possono andare incontro a conseguenze significative, che dovrebbero essere in grado di superare anche se con gravi difficoltà (appropriazione indebita di fondi, inserimento in liste nere da parte di istituti finanziari, danni alla proprietà, perdita di posti di lavoro, citazione in giudizio, peggioramento della salute, ecc.).
- Molto alto: Gli individui possono subire conseguenze significative, o addirittura irreversibili, che non sono in grado di superare (incapacità di lavorare, disturbi psicologici o fisici a lungo termine, morte, ecc.).
TI É PIACIUTA QUESTA NEWS?
ISCRIVITI ALLA NOSTRA NEWSLETTER E RESTA SEMPRE AGGIORNATO