Un piano strategico per la valutazione proattiva del rischio e la sicurezza dei dati

Il processo di valutazione del rischio prevede un'accurata identificazione degli asset, l'analisi delle minacce e la valutazione delle vulnerabilità per stabilire una comprensione completa dei rischi potenziali. Questa fase fondamentale è cruciale per guidare i professionisti IT a prendere decisioni informate sulla mitigazione, l'assegnazione, l'evitamento o l'accettazione dei rischi. È inoltre necessaria una comunicazione chiara con gli stakeholder sul loro ruolo proattivo nella gestione e nella prevenzione di questi rischi.

È fondamentale comprendere le sfumature dei rischi per la sicurezza dei dati, in particolare attraverso l'identificazione delle operazioni di elaborazione dei dati e la valutazione dei potenziali impatti aziendali. Questo pone le basi per determinare la probabilità delle minacce e valutare i rischi per garantire che i dati siano salvaguardati in modo efficace, sfruttando i controlli sia organizzativi che tecnici in una strategia di gestione della sicurezza coesa.

Le quattro fasi chiave della gestione del rischio di sicurezza

fase 1: valutazione del rischio

la prima fase, quella di cui ci occupiamo in questo articolo, è la valutazione del rischio. Esistono molte metodologie di valutazione del rischio con livelli variabili di costo e complessità. Il processo di base consiste in:

• Identificazione degli asset: Identificare tutti gli asset dell'organizzazione (sia materiali che immateriali) che necessitano di protezione, compreso il valore quantitativo (come il costo o il contributo alle entrate) e/o qualitativo (come l'importanza relativa) dell'asset.
• Analisi delle minacce: Definire le possibili circostanze o eventi naturali e/o antropici avversi, l'impatto o le conseguenze potenziali, la probabilità e la frequenza di accadimento.
• Valutazione della vulnerabilità: Determinare quali salvaguardie e/o controlli sono assenti o deboli in un asset, rendendo così una minaccia potenzialmente più dannosa, costosa, probabile o frequente.

Altre fasi chiave

Trattamento del rischio: Dopo aver valutato i rischi, gli amministratori IT hanno diverse opzioni:

• Riduzione del rischio, che riduce l'impatto o la probabilità della minaccia attraverso politiche e controlli;
• Assegnazione del rischio, in cui il rischio viene trasferito a una terza parte come un assicuratore;
• Evitare il rischio, che consiste nell'eliminare completamente il rischio aggiornando, smaltendo l'asset o interrompendo l'attività che introduce il rischio.

Accettazione del rischio: È l'approvazione formale da parte della direzione delle misure di trattamento del rischio attuate e l'accettazione di qualsiasi rischio residuo (o rimanente) che non può essere ulteriormente o praticamente mitigato, assegnato o evitato.

Comunicazione del rischio: Le parti interessate devono essere informate di tutte le decisioni prese in merito al trattamento e/o all'accettazione del rischio, compresi i ruoli e le responsabilità individuali in relazione a rischi specifici.

Comprendere il processo di valutazione del rischio

La valutazione del rischio è la prima fase del processo di gestione del rischio. Una valutazione del rischio consiste nell'identificazione delle risorse, nell'analisi delle minacce e nella valutazione delle vulnerabilità.

La valutazione dei rischi specifici per la sicurezza dei dati comporta:

• Identificare le operazioni di elaborazione dei dati (per determinare come e dove le risorse di dati vengono utilizzate dall'azienda)
• Determinare il potenziale impatto sull'azienda (se i dati vengono compromessi)
• Identificare le possibili minacce e valutarne la probabilità (di accadimento, inclusa la frequenza)
• Valutazione del rischio (per valutare quali salvaguardie o controlli devono essere implementati per proteggere i dati)

Fase 1: identificare le operazioni di trattamento dei dati

I dati all'interno di un'organizzazione presentano profili di rischio diversi, non solo in base al loro contenuto, ma anche in base al modo in cui vengono utilizzati all'interno dell'organizzazione. Pertanto, è importante capire come vengono elaborati i dati all'interno della vostra azienda quando iniziate il processo di valutazione del rischio. Ad esempio, una tipica PMI potrebbe avere alcuni o tutti i seguenti tipi di operazioni di elaborazione dei dati:

• Risorse umane, come la gestione delle buste paga dei dipendenti, il reclutamento e la conservazione, i registri di formazione, le azioni disciplinari e le valutazioni delle prestazioni.
• Gestione dei clienti, marketing e fornitori, come informazioni sui clienti, ordini di acquisto e di vendita, fatture, elenchi di e-mail, dati di marketing e pubblicità e contratti con i fornitori.
• Sicurezza del personale e sicurezza fisica, come i registri di accesso dei dipendenti, i registri dei visitatori e il monitoraggio video.

Per ogni operazione di trattamento dei dati, considerare quanto segue:

• Quali dati personali vengono trattati?
• Qual è lo scopo del trattamento?
• Dove avviene il trattamento?
• Chi è responsabile del trattamento?
• Chi ha accesso ai dati?

Fase 2: Determinare il potenziale impatto sull'azienda

Successivamente, è necessario determinare l'impatto potenziale di una violazione o compromissione dei dati. Una violazione o una compromissione possono riguardare la riservatezza (ad esempio, un accesso non autorizzato) dei dati, l'integrità dei dati (ad esempio, una modifica non autorizzata) o la disponibilità dei dati (ad esempio, un attacco ransomware).

Leorganizzazioni devono proteggere la riservatezza, l'integrità e la disponibilità dei dati. Nella sicurezza delle informazioni, questa è nota come triade C-I-A.

In una tipica valutazione del rischio, l'impatto potenziale di un determinato rischio è tipicamente espresso in termini di danni all'organizzazione, come la perdita o la distruzione di un bene fisico (ad esempio, un server, una fotocopiatrice o un veicolo).

L'impatto di un rischio per la sicurezza dei dati sull'azienda è simile a quello di altri rischi, ma l'impatto può essere indiretto. Nel caso di dati personali sensibili, la vittima diretta è l'individuo i cui dati vengono violati o compromessi. In questi casi, l'identità o i beni finanziari di un individuo possono essere rubati e/o la sua privacy può essere violata. L'impatto sull'azienda è meno diretto, ma comunque molto costoso e può comprendere (tra gli altri)

• Perdita di clienti e di fatturato
• Danni al marchio e relazioni pubbliche negative
• Multe e controversie legali
• Notifiche di violazione e servizi di monitoraggio del credito
• Analisi forense e recupero

L'impatto aziendale può essere classificato come basso, medio o alto. Tuttavia, l'effettiva definizione di ciascuno di questi livelli di impatto sarà unica per ogni azienda e dovrebbe prevedere misure sia oggettive (quantitative) che soggettive (qualitative).

Fase 3: identificare le possibili minacce e valutarne la probabilità

Per minaccia si intende qualsiasi evento o circostanza, naturale o antropica, che abbia il potenziale di influire negativamente sulla riservatezza, l'integrità o la disponibilità di dati personali o sensibili. Si tratta di attacchi di cybersecurity, perdite o divulgazioni accidentali, minacce interne, incendi e inondazioni, terremoti e tsunami, condizioni meteorologiche avverse (come uragani o tornado), disordini civili, vertenze sindacali e altro ancora.

Le aziende devono identificare le possibili minacce alle loro operazioni di elaborazione dei dati e valutare la probabilità (compresa la frequenza di accadimento) di ogni possibile minaccia. Assicuratevi di coprire le minacce in aree ben definite, tra cui le minacce provenienti dalla rete e dalle risorse tecniche (software/ hardware) utilizzate per l'elaborazione dei dati, le minacce derivanti dai processi e dalle procedure correlate, le minacce derivanti dalle risorse umane coinvolte e le minacce derivanti dalla scala di elaborazione. Per ogni minaccia identificata, la probabilità può essere classificata come l'impatto sul business: Bassa, Media o Alta.

Fase 4: valutazione del rischio

Una volta identificate tutte le operazioni di elaborazione dei dati (e i dati elaborati), determinato il potenziale impatto aziendale di una violazione o di una compromissione e individuate le possibili minacce e la probabilità e la frequenza di accadimento, è possibile valutare il rischio associato a ciascuna operazione e determinare i controlli di protezione e i processi organizzativi adeguati.

In base alla valutazione del rischio, è necessario implementare controlli organizzativi e di processo per proteggere adeguatamente l'azienda e le operazioni di elaborazione dei dati, utilizzando un approccio basato sul rischio.

Esplorare i controlli organizzativi e di processo

Un approccio efficace basato sulla prevenzione non richiede solo soluzioni tecniche. È necessario stabilire controlli amministrativi e organizzativi per garantire che i controlli tecnici siano distribuiti, configurati e gestiti correttamente a sostegno di una strategia di gestione della sicurezza coesa.

Alcuni esempi di controlli organizzativi sono:

• Dati personali privati e sensibili: Utilizzare con discrezione controlli tecnici come la crittografia e il software DLP.
• Documentazione e verifica dei dati: Documentare perché i dati vengono raccolti, come vengono utilizzati e come vengono protetti.
• Politiche di sicurezza: Definire chiaramente i ruoli e le responsabilità individuali relativi alla protezione dei dati personali.
• Risorse umane: Assicurarsi che i dati personali raccolti dalle risorse umane siano adeguatamente protetti.
• Utilizzo di un modello di maturità della sicurezza: Determinare le capacità di sicurezza in aree specifiche e identificare eventuali lacune tra il livello attuale e quello necessario.
• Formazione e test dei dipendenti: Fornire una formazione sulla consapevolezza della sicurezza e sottoporre i dipendenti a test per rafforzare l'apprendimento.
• Implementare la protezione dei dati per progettazione e per impostazione predefinita: implementare misure per ridurre al minimo la raccolta, l'elaborazione e l'archiviazione dei dati personali.