La privacy nella piccola e media impresa – parte seconda: analisi dei rischi e misure di sicurezza
Questo è il secondo di una serie di articoli dedicati agli adempimenti richiesti dalle norme italiane in ambito privacy per le piccole e medie imprese (PMI). L'intera serie si compone di tre parti:
- quadro di riferimento (pubblicato il 7 aprile 2008);
- analisi dei rischi e misure di sicurezza (questo articolo);
- la formazione.
Analisi dei rischi – approccio metodologico
Come è noto, il Documento Programmatico sulla Sicurezza (DPS) deve contenere (regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza", del D. Lgs. n.196) "l’analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l’accesso abusivo e la dispersione". Il Garante stesso, inoltre, ha pubblicato, nel marzo 2004, la "Guida operativa per redigere il Documento programmatico sulla sicurezza" che propone il seguente approccio metodologico:
- individuazione dei principali eventi potenzialmente pregiudizievoli per il trattamento dei dati personali;
- valutazione dei possibili impatti di tali eventi;
- elencazione delle contromisure di sicurezza adottate a fronte dell’analisi eventi / impatti.
Eventi pregiudizievoli
Il Garante propone la seguente lista di eventi potenzialmente dannosi.
Contesto fisico-ambientale
- Ingressi non autorizzati a locali/aree ad accesso ristretto
- sottrazione di strumenti contenenti dati
- eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria
- guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
- errori umani nella gestione della sicurezza fisica
Comportamenti degli operatori
- Sottrazione di credenziali di autenticazione;
- carenza di consapevolezza;
- disattenzione o incuria;
- comportamenti sleali o fraudolenti;
- errore materiale.
Eventi relativi agli strumenti
- Azione di virus informatici o di programmi suscettibili di recare danno;
- spamming o tecniche di sabotaggio;
- malfunzionamento, indisponibilità o degrado degli strumenti;
- accessi esterni non autorizzati;
- intercettazione di informazioni in rete.
Valutazione del rischio
Per valutare il rischio degli eventi potenzialmente pregiudizievoli usiamo una scala di "gravità" molto semplice (che si ispira alla metodologia Mehari http://www.oneitsecurity.it/03/04/2008/mehari-un-approccio-alla-gestione-del-rischio-it/ )
- Livello 4: rischio gravissimo (vitale per l’azienda);
- Livello 3: rischio molto grave;
- Livello 2: rischio importante;
- Livello 1: rischio non significativo.
Ad esempio ipotizziamo di aver valutato gli eventi pregiudizievoli come segue.
|
Ambito |
Evento |
Rischio |
|
Contesto fisico-ambientale |
||
|
Ingressi non autorizzati a locali/aree ad accesso ristretto |
3 |
|
|
sottrazione di strumenti contenenti dati |
2 |
|
|
eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria |
3 |
|
|
guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) |
2 |
|
|
errori umani nella gestione della sicurezza fisica |
2 |
|
|
Comportamenti degli operatori |
||
|
Sottrazione di credenziali di autenticazione; |
4 |
|
|
carenza di consapevolezza; |
2 |
|
|
disattenzione o incuria; |
3 |
|
|
comportamenti sleali o fraudolenti; |
3 |
|
|
errore materiale. |
2 |
|
|
Eventi relativi agli strumenti |
||
|
Azione di virus informatici o di programmi suscettibili di recare danno; |
4 |
|
|
spamming o tecniche di sabotaggio; |
2 |
|
|
malfunzionamento, indisponibilità o degrado degli strumenti; |
3 |
|
|
accessi esterni non autorizzati; |
3 |
|
|
intercettazione di informazioni in rete. |
2 |
Elencazione delle contromisure
Infine per ciascuno dei "possibili rischi" indichiamo le misure di sicurezza adottate (che attenzione non devono essere necessariamente quelle "minime" indicate dal Garante).
|
Ambito |
Evento |
Rischio |
Contromisura |
|
Contesto fisico-ambientale |
|||
|
Ingressi non autorizzati a locali/aree ad accesso ristretto |
3 |
Videosorveglianza alla reception, badge per l’ingresso al piano |
|
|
sottrazione di strumenti contenenti dati |
2 |
Videosorveglianza alla reception, badge per l’ingresso al piano |
|
|
eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria |
3 |
Piano di Disaster Recovery; back-up dei dati in rete |
|
|
guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.) |
2 |
Back-up |
|
|
errori umani nella gestione della sicurezza fisica |
2 |
Formazione |
|
|
Comportamenti degli operatori |
|||
|
Sottrazione di credenziali di autenticazione; |
4 |
Gestione credenziali |
|
|
carenza di consapevolezza; |
2 |
Formazione e sensibilizzazione |
|
|
disattenzione o incuria; |
3 |
Formazione e sensibilizzazione |
|
|
comportamenti sleali o fraudolenti; |
3 |
Controlli automatici e manuali |
|
|
errore materiale. |
2 |
Formazione, sensibilizzazione, controlli automatici e manuali |
|
|
Eventi relativi agli strumenti |
|||
|
Azione di virus informatici o di programmi suscettibili di recare danno; |
4 |
Antivirus, gestione patch |
|
|
spamming o tecniche di sabotaggio; |
2 |
Antivirus, gestione patch |
|
|
malfunzionamento, indisponibilità o degrado degli strumenti; |
3 |
Sistemi ridondanti e ad alta affidabilità |
|
|
accessi esterni non autorizzati; |
3 |
Firewal |
|
|
intercettazione di informazioni in rete. |
2 |
Firewal |
Et voilat! Analisi dei rischi completata.
Nella prossima puntata: la formazione per la privacy nella PMI.
Link
-
"Codice in materia di protezione dei dati personali" (anche noto come decreto legislativo 30 giugno 2003, n. 196 o Testo Unico sulla privacy)
-
Allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza", del D. Lgs. n.196)
-
"Guida operativa per redigere il Documento programmatico sulla sicurezza" pdf (232 K, 17 pp)
Chi è Panfilo Marcelli?
Panfilo Marcelli si occupa di compliance, privacy e sicurezza da oltre vent'anni. Ha lavorato pre primarie aziende nazionali con ruoli direttivi. Email: p.marcelli@mclink.it
Altri articoli di Panfilo Marcelli
- La privacy nella piccola e media impresa – parte prima: il quadro di riferimento
- Cos’è la privacy? (parte prima – le domande più frequenti, parte seconda - il DPS)
- Privacy: 10 errori da evitare nella redazione o aggiornamento del DPS (prima e seconda parte)
- Privacy e Compliance: di cosa occorre tenere conto nell'aggiornamento del DPS, 2-03-2008
- Privacy: le novità normative di cui tener conto nel DPS, 27-02-2008
- Privacy: gli adempimenti per le aziende entro il 31 marzo, 18-02-2008
- Download PDF
- Versione stampabile
- 1268 letture