Un approccio basato sul rischio non solo consente alle organizzazioni di implementare controlli adeguati alle minacce specifiche, ma sottolinea anche l'importanza della prevenzione come priorità strategica. Integrando le misure preventive nella fase iniziale della gestione del rischio di sicurezza, le organizzazioni possono affrontare in modo proattivo le vulnerabilità e mitigare le potenziali minacce.
Il processo di valutazione del rischio prevede un'accurata identificazione degli asset, l'analisi delle minacce e la valutazione delle vulnerabilità per stabilire una comprensione completa dei rischi potenziali. Questa fase fondamentale è cruciale per guidare i professionisti IT a prendere decisioni informate sulla mitigazione, l'assegnazione, l'evitamento o l'accettazione dei rischi. È inoltre necessaria una comunicazione chiara con gli stakeholder sul loro ruolo proattivo nella gestione e nella prevenzione di questi rischi.
È fondamentale comprendere le sfumature dei rischi per la sicurezza dei dati, in particolare attraverso l'identificazione delle operazioni di elaborazione dei dati e la valutazione dei potenziali impatti aziendali. Questo pone le basi per determinare la probabilità delle minacce e valutare i rischi per garantire che i dati siano salvaguardati in modo efficace, sfruttando i controlli sia organizzativi che tecnici in una strategia di gestione della sicurezza coesa.
Le quattro fasi chiave della gestione del rischio di sicurezza
fase 1: valutazione del rischio
la prima fase, quella di cui ci occupiamo in questo articolo, è la valutazione del rischio. Esistono molte metodologie di valutazione del rischio con livelli variabili di costo e complessità. Il processo di base consiste in:
- Identificazione degli asset: Identificare tutti gli asset dell'organizzazione (sia materiali che immateriali) che necessitano di protezione, compreso il valore quantitativo (come il costo o il contributo alle entrate) e/o qualitativo (come l'importanza relativa) dell'asset.
- Analisi delle minacce: Definire le possibili circostanze o eventi naturali e/o antropici avversi, l'impatto o le conseguenze potenziali, la probabilità e la frequenza di accadimento.
- Valutazione della vulnerabilità: Determinare quali salvaguardie e/o controlli sono assenti o deboli in un asset, rendendo così una minaccia potenzialmente più dannosa, costosa, probabile o frequente.
Altre fasi chiave
Trattamento del rischio: Dopo aver valutato i rischi, gli amministratori IT hanno diverse opzioni:
- Riduzione del rischio, che riduce l'impatto o la probabilità della minaccia attraverso politiche e controlli;
- Assegnazione del rischio, in cui il rischio viene trasferito a una terza parte come un assicuratore;
- Evitare il rischio, che consiste nell'eliminare completamente il rischio aggiornando, smaltendo l'asset o interrompendo l'attività che introduce il rischio.
Accettazione del rischio: È l'approvazione formale da parte della direzione delle misure di trattamento del rischio attuate e l'accettazione di qualsiasi rischio residuo (o rimanente) che non può essere ulteriormente o praticamente mitigato, assegnato o evitato.
Comunicazione del rischio: Le parti interessate devono essere informate di tutte le decisioni prese in merito al trattamento e/o all'accettazione del rischio, compresi i ruoli e le responsabilità individuali in relazione a rischi specifici.
Comprendere il processo di valutazione del rischio
La valutazione del rischio è la prima fase del processo di gestione del rischio. Una valutazione del rischio consiste nell'identificazione delle risorse, nell'analisi delle minacce e nella valutazione delle vulnerabilità.
La valutazione dei rischi specifici per la sicurezza dei dati comporta:
- Identificare le operazioni di elaborazione dei dati (per determinare come e dove le risorse di dati vengono utilizzate dall'azienda)
- Determinare il potenziale impatto sull'azienda (se i dati vengono compromessi)
- Identificare le possibili minacce e valutarne la probabilità (di accadimento, inclusa la frequenza)
- Valutazione del rischio (per valutare quali salvaguardie o controlli devono essere implementati per proteggere i dati)
Fase 1: identificare le operazioni di trattamento dei dati
I dati all'interno di un'organizzazione presentano profili di rischio diversi, non solo in base al loro contenuto, ma anche in base al modo in cui vengono utilizzati all'interno dell'organizzazione. Pertanto, è importante capire come vengono elaborati i dati all'interno della vostra azienda quando iniziate il processo di valutazione del rischio. Ad esempio, una tipica PMI potrebbe avere alcuni o tutti i seguenti tipi di operazioni di elaborazione dei dati:
- Risorse umane, come la gestione delle buste paga dei dipendenti, il reclutamento e la conservazione, i registri di formazione, le azioni disciplinari e le valutazioni delle prestazioni.
- Gestione dei clienti, marketing e fornitori, come informazioni sui clienti, ordini di acquisto e di vendita, fatture, elenchi di e-mail, dati di marketing e pubblicità e contratti con i fornitori.
- Sicurezza del personale e sicurezza fisica, come i registri di accesso dei dipendenti, i registri dei visitatori e il monitoraggio video.
Per ogni operazione di trattamento dei dati, considerare quanto segue:
- Quali dati personali vengono trattati?
- Qual è lo scopo del trattamento?
- Dove avviene il trattamento?
- Chi è responsabile del trattamento?
- Chi ha accesso ai dati?
Fase 2: Determinare il potenziale impatto sull'azienda
Successivamente, è necessario determinare l'impatto potenziale di una violazione o compromissione dei dati. Una violazione o una compromissione possono riguardare la riservatezza (ad esempio, un accesso non autorizzato) dei dati, l'integrità dei dati (ad esempio, una modifica non autorizzata) o la disponibilità dei dati (ad esempio, un attacco ransomware).
Leorganizzazioni devono proteggere la riservatezza, l'integrità e la disponibilità dei dati. Nella sicurezza delle informazioni, questa è nota come triade C-I-A.
In una tipica valutazione del rischio, l'impatto potenziale di un determinato rischio è tipicamente espresso in termini di danni all'organizzazione, come la perdita o la distruzione di un bene fisico (ad esempio, un server, una fotocopiatrice o un veicolo).
L'impatto di un rischio per la sicurezza dei dati sull'azienda è simile a quello di altri rischi, ma l'impatto può essere indiretto. Nel caso di dati personali sensibili, la vittima diretta è l'individuo i cui dati vengono violati o compromessi. In questi casi, l'identità o i beni finanziari di un individuo possono essere rubati e/o la sua privacy può essere violata. L'impatto sull'azienda è meno diretto, ma comunque molto costoso e può comprendere (tra gli altri)
- Perdita di clienti e di fatturato
- Danni al marchio e relazioni pubbliche negative
- Multe e controversie legali
- Notifiche di violazione e servizi di monitoraggio del credito
- Analisi forense e recupero
L'impatto aziendale può essere classificato come basso, medio o alto. Tuttavia, l'effettiva definizione di ciascuno di questi livelli di impatto sarà unica per ogni azienda e dovrebbe prevedere misure sia oggettive (quantitative) che soggettive (qualitative).
Fase 3: identificare le possibili minacce e valutarne la probabilità
Per minaccia si intende qualsiasi evento o circostanza, naturale o antropica, che abbia il potenziale di influire negativamente sulla riservatezza, l'integrità o la disponibilità di dati personali o sensibili. Si tratta di attacchi di cybersecurity, perdite o divulgazioni accidentali, minacce interne, incendi e inondazioni, terremoti e tsunami, condizioni meteorologiche avverse (come uragani o tornado), disordini civili, vertenze sindacali e altro ancora.
Le aziende devono identificare le possibili minacce alle loro operazioni di elaborazione dei dati e valutare la probabilità (compresa la frequenza di accadimento) di ogni possibile minaccia. Assicuratevi di coprire le minacce in aree ben definite, tra cui le minacce provenienti dalla rete e dalle risorse tecniche (software/ hardware) utilizzate per l'elaborazione dei dati, le minacce derivanti dai processi e dalle procedure correlate, le minacce derivanti dalle risorse umane coinvolte e le minacce derivanti dalla scala di elaborazione. Per ogni minaccia identificata, la probabilità può essere classificata come l'impatto sul business: Bassa, Media o Alta.
Fase 4: valutazione del rischio
Una volta identificate tutte le operazioni di elaborazione dei dati (e i dati elaborati), determinato il potenziale impatto aziendale di una violazione o di una compromissione e individuate le possibili minacce e la probabilità e la frequenza di accadimento, è possibile valutare il rischio associato a ciascuna operazione e determinare i controlli di protezione e i processi organizzativi adeguati.
In base alla valutazione del rischio, è necessario implementare controlli organizzativi e di processo per proteggere adeguatamente l'azienda e le operazioni di elaborazione dei dati, utilizzando un approccio basato sul rischio.
Esplorare i controlli organizzativi e di processo
Un approccio efficace basato sulla prevenzione non richiede solo soluzioni tecniche. È necessario stabilire controlli amministrativi e organizzativi per garantire che i controlli tecnici siano distribuiti, configurati e gestiti correttamente a sostegno di una strategia di gestione della sicurezza coesa.
Alcuni esempi di controlli organizzativi sono:
- Dati personali privati e sensibili: Utilizzare con discrezione controlli tecnici come la crittografia e il software DLP.
- Documentazione e verifica dei dati: Documentare perché i dati vengono raccolti, come vengono utilizzati e come vengono protetti.
- Politiche di sicurezza: Definire chiaramente i ruoli e le responsabilità individuali relativi alla protezione dei dati personali.
- Risorse umane: Assicurarsi che i dati personali raccolti dalle risorse umane siano adeguatamente protetti.
- Utilizzo di un modello di maturità della sicurezza: Determinare le capacità di sicurezza in aree specifiche e identificare eventuali lacune tra il livello attuale e quello necessario.
- Formazione e test dei dipendenti: Fornire una formazione sulla consapevolezza della sicurezza e sottoporre i dipendenti a test per rafforzare l'apprendimento.
- Implementare la protezione dei dati per progettazione e per impostazione predefinita: implementare misure per ridurre al minimo la raccolta, l'elaborazione e l'archiviazione dei dati personali.