La privacy nella piccola e media impresa – parte seconda: analisi dei rischi e misure di sicurezza

Questo è il secondo di una serie di articoli dedicati agli adempimenti richiesti dalle norme italiane in ambito privacy per le piccole e medie imprese (PMI). L'intera serie si compone di tre parti:

  1. quadro di riferimento (pubblicato il 7 aprile 2008);
  2. analisi dei rischi e misure di sicurezza (questo articolo);
  3. la formazione.

Analisi dei rischi – approccio metodologico

Come è noto, il Documento Programmatico sulla Sicurezza (DPS) deve contenere (regola 19 dell’allegato B, "Disciplinare tecnico in materia di misure minime di sicurezza", del D. Lgs. n.196) "l’analisi dei rischi che incombono sui dati personali e le tutele da adottare per prevenire la loro distruzione, l’accesso abusivo e la dispersione". Il Garante stesso, inoltre, ha pubblicato, nel marzo 2004, la "Guida operativa per redigere il Documento programmatico sulla sicurezza" che propone il seguente approccio metodologico:

  • individuazione dei principali eventi potenzialmente pregiudizievoli per il trattamento dei dati personali;
  • valutazione dei possibili impatti di tali eventi;
  • elencazione delle contromisure di sicurezza adottate a fronte dell’analisi eventi / impatti.

Eventi pregiudizievoli

Il Garante propone la seguente lista di eventi potenzialmente dannosi.

Contesto fisico-ambientale

  • Ingressi non autorizzati a locali/aree ad accesso ristretto
  • sottrazione di strumenti contenenti dati
  • eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria
  • guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
  • errori umani nella gestione della sicurezza fisica

Comportamenti degli operatori

  • Sottrazione di credenziali di autenticazione;
  • carenza di consapevolezza;
  • disattenzione o incuria;
  • comportamenti sleali o fraudolenti;
  • errore materiale.

Eventi relativi agli strumenti

  • Azione di virus informatici o di programmi suscettibili di recare danno;
  • spamming o tecniche di sabotaggio;
  • malfunzionamento, indisponibilità o degrado degli strumenti;
  • accessi esterni non autorizzati;
  • intercettazione di informazioni in rete.

Valutazione del rischio

Per valutare il rischio degli eventi potenzialmente pregiudizievoli usiamo una scala di "gravità" molto semplice (che si ispira alla metodologia Mehari http://www.oneitsecurity.it/03/04/2008/mehari-un-approccio-alla-gestione-del-rischio-it/ )

  • Livello 4: rischio gravissimo (vitale per l’azienda);
  • Livello 3: rischio molto grave;
  • Livello 2: rischio importante;
  • Livello 1: rischio non significativo.

Ad esempio ipotizziamo di aver valutato gli eventi pregiudizievoli come segue.

Ambito

Evento

Rischio

Contesto fisico-ambientale

   
 

Ingressi non autorizzati a locali/aree ad accesso ristretto

3

 

sottrazione di strumenti contenenti dati

2

 

eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria

3

 

guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)

2

 

errori umani nella gestione della sicurezza fisica

2

Comportamenti degli operatori

   
 

Sottrazione di credenziali di autenticazione;

4

 

carenza di consapevolezza;

2

 

disattenzione o incuria;

3

 

comportamenti sleali o fraudolenti;

3

 

errore materiale.

2

Eventi relativi agli strumenti

   
 

Azione di virus informatici o di programmi suscettibili di recare danno;

4

 

spamming o tecniche di sabotaggio;

2

 

malfunzionamento, indisponibilità o degrado degli strumenti;

3

 

accessi esterni non autorizzati;

3

 

intercettazione di informazioni in rete.

2

Elencazione delle contromisure

Infine per ciascuno dei "possibili rischi" indichiamo le misure di sicurezza adottate (che attenzione non devono essere necessariamente quelle "minime" indicate dal Garante).

Ambito

Evento

Rischio

Contromisura

Contesto fisico-ambientale

     
 

Ingressi non autorizzati a locali/aree ad accesso ristretto

3

Videosorveglianza alla reception, badge per l’ingresso al piano

 

sottrazione di strumenti contenenti dati

2

Videosorveglianza alla reception, badge per l’ingresso al piano

 

eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria

3

Piano di Disaster Recovery; back-up dei dati in rete

 

guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)

2

Back-up

 

errori umani nella gestione della sicurezza fisica

2

Formazione

Comportamenti degli operatori

     
 

Sottrazione di credenziali di autenticazione;

4

Gestione credenziali

 

carenza di consapevolezza;

2

Formazione e sensibilizzazione

 

disattenzione o incuria;

3

Formazione e sensibilizzazione

 

comportamenti sleali o fraudolenti;

3

Controlli automatici e manuali

 

errore materiale.

2

Formazione, sensibilizzazione, controlli automatici e manuali

Eventi relativi agli strumenti

     
 

Azione di virus informatici o di programmi suscettibili di recare danno;

4

Antivirus, gestione patch

 

spamming o tecniche di sabotaggio;

2

Antivirus, gestione patch

 

malfunzionamento, indisponibilità o degrado degli strumenti;

3

Sistemi ridondanti e ad alta affidabilità

 

accessi esterni non autorizzati;

3

Firewal

 

intercettazione di informazioni in rete.

2

Firewal

Et voilat! Analisi dei rischi completata.
Nella prossima puntata: la formazione per la privacy nella PMI.

Link

Chi è Panfilo Marcelli?

Panfilo Marcelli si occupa di compliance, privacy e sicurezza da oltre vent'anni. Ha lavorato pre primarie aziende nazionali con ruoli direttivi. Email: p.marcelli@mclink.it

Altri articoli di Panfilo Marcelli

ComplianceNet: