La generazione del report e il risk rate

Report e risk rate

La risposta a tutte le domande incluse in una check list determina la generazione automatica del report finale nel quale sono riportate queste informazioni:

  • nome e cognome del compilatore,
  • se previsto, la specificazione del perimetro (tutta l’azienda, una funzione o un’unità operativa, ecc) o dell’oggetto (software, dispositivo medico, ecc) dell’analisi,
  • le domande poste,
  • le risposte date dall’utente,
  • il livello di rischio di violazione dei requisiti di sicurezza (riservatezza, integrità, disponibilità) o risk rate.

Il risk rate è calcolato automaticamente dal sistema in base alle risposte date dall’utente: ad ogni risposta, infatti, è associato un peso che contraddistingue l’importanza del contenuto della domanda, secondo questa casistica:

  • quando l’utente non ha risposto alla domanda, il peso associato è zero (Null=0);
  • quando l’utente risponde NO, ad esempio, a fronte di una misura richiesta, a seconda dell’importanza della misura, il sistema prende in considerazioni alternativamente i valori positivi che aumentano il valore del rischio: Low=1, Medium=2, High=3;
  • alle possibili risposte che non sono state scelte dall’utente sono associati dei valori negativi che vanno a diminuire il valore del rischio: -1,15 se il corrispondente peso è 3, -0,75 se il corrispondente peso è 2, -0,40 oppure -0,20 se il corrispondente peso è 1.

Il peso, trasparente per il compilatore per non influenzarne le scelte nel rispondere, è stato attribuito dall’auditor nella fase di realizzazione del sistema in base a: A) la riferibilità a best practices applicabili al singolo elemento, B) la specificità del contesto in cui è collocato/agisce l’elemento, C) le competenze acquisite nel tempo, D) l’esperienza lavorativa e professionale.

Il risk rate è espresso in percentuale e rappresentato graficamente con tre colori:

  • Rosso = rischio alto = range 67-99%,
  • Giallo = rischio medio = range 34-66%,
  • Verde = rischio basso = range 1-33%.

Sul concetto di rischio e sui metodi di valutazione

Con il termine rischio si intende la possibilità che si verifichi un evento, che può essere negativo ma anche positivo.

Il rischio è calcolato secondo la formula: R = P x D (Rischio = Probabilità x Danno): è quindi un concetto probabilistico, con valore matematico che oscilla tra 01, e 0,99.

Sono possibili tre diversi metodi di (analisi e) valutazione:

  • qualitativo che richiede di esprimere un giudizio sulla situazione che si sta valutando su una scala qualitativa (ad esempio alto, medio, basso; oppure improbabile, poco probabile, probabile, altamente probabile);
  • quantitativo nel quale la valutazione è espressa in valori numerici riferiti al valore economico sia dei singoli asset che costituiscono il perimetro di analisi che degli specifici danni (perdite) prodotti dal concretizzarsi dei rischi;
  • semi quantitativo nel quale la valutazione è effettuata in termini qualitativi e poi trasformata in valori numerici (pesi) per poterla sottoporre ad algoritmi di calcolo, come se fosse una valutazione quantitativa.

Il sistema digitale ASG© (Analisi dei Sistemi di Gestione) utilizza la valutazione di tipo semi quantitativo.

Perché valutare il rischio

Negli ultimi decenni, in tutte le norme e gli standard si è andato affermando l’approccio funzionale basato sul rischio (risk based approach) per individuare i requisiti da rispettare per il corretto svolgimento delle attività.

Questa modalità da una parte introduce maggiore flessibilità di risposta ai rischi individuati, in base alla loro gravità (case-by-case approach), dall’altra attribuisce la completa responsabilità dei risultati di contrasto ai rischi all’organizzazione che ha effettuato la valutazione.

Infatti, il valore quantitativo o qualitativo del rischio è connesso e relativo ad una situazione concreta e ad una minaccia conosciuta: quindi gli obblighi del Titolare e/o del Responsabile variano nel tempo in relazione allo stato della tecnologia e alle pratiche comuni attuate nel settore in cui operano per il contrasto alle minacce e ai rischi.

Da sottolineare che la misura della responsabilità del Titolare e/o del Responsabile del trattamento è proporzionale al rischio stimato per l’attività da svolgere.

Tanto il Regolamento (UE) 2016/679 sulla data protection che gli standard ISO della famiglia 27000, che le Direttive (UE) come le due europee NIS adottano l’approccio basato sul rischio.

Richiedi maggiori informazioni!

Compila correttamente la form e invia subito la tua richiesta.