Report e risk rate
La risposta a tutte le domande incluse in una check list determina la generazione automatica del report finale nel quale sono riportate queste informazioni:
- nome e cognome del compilatore,
- se previsto, la specificazione del perimetro (tutta l’azienda, una funzione o un’unità operativa, ecc) o dell’oggetto (software, dispositivo medico, ecc) dell’analisi,
- le domande poste,
- le risposte date dall’utente,
- il livello di rischio di violazione dei requisiti di sicurezza (riservatezza, integrità, disponibilità) o risk rate.
Il risk rate è automaticamente calcolato in base alle risposte date dall’utente in quanto, ad ogni risposta, è associato un peso su una scala a quattro valori: Null=0, Low=1, Medium=2, High=3.
Il peso, trasparente per il compilatore per non influenzarne le scelte nel rispondere, è stato attribuito dall’auditor nella fase di realizzazione del sistema in base a:
- la riferibilità a best practices applicabili al singolo elemento,
- la specificità del contesto in cui è collocato/agisce l’elemento,
- le competenze acquisite nel tempo,
- l’esperienza lavorativa e professionale.
Il risk rate è espresso in percentuale e rappresentato graficamente con tre colori: Rosso = rischio alto = range 67-99%,Giallo = rischio medio = range 34-66%,Verde = rischio basso = range 1-33%.
Sul concetto di rischio e sui metodi di valutazione
Con il termine rischio si intende la possibilità che si verifichi un evento, che può essere negativo ma anche positivo.
Il rischio è calcolato secondo la formula: R = P x D (Rischio = Probabilità x Danno).
Il rischio è quindi un concetto probabilistico e sono possibili tre diversi metodi di (analisi e) valutazione:
- qualitativo che richiede di esprimere un giudizio sulla situazione che si sta valutando su una scala qualitativa (ad esempio alto, medio, basso; oppure improbabile, poco probabile, probabile, altamente probabile);
- quantitativo nel quale la valutazione è espressa in valori numerici riferiti al valore economico sia dei singoli asset che costituiscono il perimetro di analisi che degli specifici danni (perdite) prodotti dal concretizzarsi dei rischi;
- semi quantitativo nel quale la valutazione è effettuata in termini qualitativi e poi trasformata in valori numerici (pesi) per poterla sottoporre ad algoritmi di calcolo, come se fosse una valutazione quantitativa.
Il sistema digitale ASG© (Analisi dei Sistemi di Gestione) utilizza la valutazione di tipo semi quantitativo.
Perché valutare il rischio
Negli ultimi decenni, in tutte le norme e gli standard si è andato affermando l’approccio funzionale basato sul rischio (risk based approach) per individuare i requisiti da rispettare per il corretto svolgimento delle attività.
Questa modalità da una parte introduce maggiore flessibilità di risposta ai rischi individuati, in base alla loro gravità (case-by-case approach), dall’altra attribuisce la completa responsabilità dei risultati di contrasto ai rischi all’organizzazione che ha effettuato la valutazione.
Infatti, il valore quantitativo o qualitativo del rischio è connesso e relativo ad una situazione concreta e ad una minaccia conosciuta: quindi gli obblighi del Titolare e/o del Responsabile variano nel tempo in relazione allo stato della tecnologia e alle pratiche comuni attuate nel settore in cui operano per il contrasto alle minacce e ai rischi.
Da sottolineare che la misura della responsabilità del Titolare e/o del Responsabile del trattamento è proporzionale al rischio stimato per l’attività da svolgere.
Tanto il Regolamento (UE) 2016/679 sulla data protection che gli standard ISO della famiglia 27000, che le Direttive (UE) come la NIS adottano l’approccio basato sul rischio.