La compilazione di tutte le domande incluse in una check list determina la generazione automatica delreport finale nel quale sono riportate queste informazioni:
- nome e cognome del compilatore,
- se previsto, la specificazione del perimetro (tutta l’azienda, una funzione o un’unità operativa, ecc) o dell’oggetto (software, dispositivo medico, ecc) dell’analisi,
- le domande poste,
- le risposte date dall’utente,
- il livello di rischio di violazione dei requisiti di sicurezza (riservatezza, integrità, disponibilità) o risk rate.
Il risk rate è automaticamente calcolato in base alle risposte date dall’utente in quanto, ad ogni risposta, è associato un peso su una scala a quattro valori:
1 = Low | 2 = Medium | 3 = High | 0 = Null
Il peso, attribuito dall’auditor nella fase di realizzazione del sistema, è trasparente per il compilatore per non influenzare la scelta della risposta.
Il risk rate è espresso in % nel range di valori da 1 a 99 (1-33, 34-66, 67-99) e rappresentato graficamente con i colori:
Rosso = rischio alto 
Giallo = rischio medio 
Verde = rischio basso.
Perché parlare di Risk rate?
LA CORNICE NORMATIVA
Il Regolamento (UE) 2016/679 è caratterizzato da un approccio funzionale il cosiddetto case-by-case approach
Il nuovo approccio introduce maggiore flessibilità di risposta e completa responsabilità dei risultati, determinando che:
- il valore quantitativo o qualitativo del rischio è connesso e relativo ad una situazione concreta o minaccia conosciuta;
- gli obblighi del Titolare e/o del Responsabile variano nel tempo in relazione allo stato della tecnologia e alle pratiche comuni attuate nel settore in cui operano;
- la misura della responsabilità del Titolare e/o del Responsabile del trattamento è proporzionale al rischio stimato per l’attività da svolgere.
In particolare, nel ‘considerando 76’ si trova il riferimento più preciso: “La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.”
IL CONCETTO DI “RISCHIO”
In ambito security e privacy, il rischio è valutato stimando gli effetti (il danno o impatto) di un evento negativo (il concretizzarsi di una minaccia) in base alla probabilità che accada.
Il rischio è quindi un concetto probabilistico e sono possibili tre diversi metodi di (analisi e) valutazione:
- qualitativo che richiede di esprimere un giudizio sulla situazione che si sta valutando su una scala qualitativa (ad esempio alto, medio, basso; oppure improbabile, poco probabile, probabile, altamente probabile);
- quantitativo nel quale la valutazione è espressa in valori numerici riferiti al valore economico sia dei singoli asset che costituiscono il perimetro di analisi che degli specifici danni (perdite) prodotti dal concretizzarsi dei rischi;
- semi quantitativo nel quale la valutazione è effettuata in termini qualitativi e poi trasformata in valori numerici (pesi) per poterla sottoporre ad algoritmi di calcolo, come se fosse una valutazione quantitativa.
L’ATTRIBUZIONE DEI PESI
Questa operazione, che è discriminante per trasformare un metodo di valutazione qualitativo in semi quantitativo, è compiuta dall’auditor in base a:
- la riferibilità a best practices applicabili al singolo elemento,
- la specificità del contesto in cui è collocato/agisce l’elemento,
- le competenze acquisite nel tempo,
- l’esperienza lavorativa e professionale.
LA NOSTRA SOLUZIONE
Al termine dell’attività di autovalutazione tramite le check list ASG679© la valutazione del rischio risulterà di tipo semi quantitativo.