La generazione del report e il risk rate

Report e risk rate

La risposta a tutte le domande incluse in una check list determina la generazione automatica del report finale nel quale sono riportate queste informazioni:

  1. nome e cognome del compilatore,
  2. se previsto, la specificazione del perimetro (tutta l’azienda, una funzione o un’unità operativa, ecc) o dell’oggetto (software, dispositivo medico, ecc) dell’analisi,
  3. le domande poste,
  4. le risposte date dall’utente,
  5. il livello di rischio di violazione dei requisiti di sicurezza (riservatezza, integrità, disponibilità) o risk rate.

Il risk rate è automaticamente calcolato in base alle risposte date dall’utente in quanto, ad ogni risposta, è associato un peso su una scala a quattro valori: Null=0, Low=1, Medium=2, High=3.

Il peso, trasparente per il compilatore per non influenzarne le scelte nel rispondere, è stato attribuito dall’auditor nella fase di realizzazione del sistema in base a:

  • la riferibilità a best practices applicabili al singolo elemento,
  • la specificità del contesto in cui è collocato/agisce l’elemento,
  • le competenze acquisite nel tempo,
  • l’esperienza lavorativa e professionale.

Il risk rate è espresso in percentuale e rappresentato graficamente con tre colori: Rosso = rischio alto = range 67-99%,Giallo = rischio medio = range 34-66%,Verde = rischio basso = range 1-33%.

Sul concetto di rischio e sui metodi di valutazione

Con il termine rischio si intende la possibilità che si verifichi un evento, che può essere negativo ma anche positivo.

Il rischio è calcolato secondo la formula: R = P x D (Rischio = Probabilità x Danno).

Il rischio è quindi un concetto probabilistico e sono possibili tre diversi metodi di (analisi e) valutazione:

  • qualitativo che richiede di esprimere un giudizio sulla situazione che si sta valutando su una scala qualitativa (ad esempio alto, medio, basso; oppure improbabile, poco probabile, probabile, altamente probabile);
  • quantitativo nel quale la valutazione è espressa in valori numerici riferiti al valore economico sia dei singoli asset che costituiscono il perimetro di analisi che degli specifici danni (perdite) prodotti dal concretizzarsi dei rischi;
  • semi quantitativo nel quale la valutazione è effettuata in termini qualitativi e poi trasformata in valori numerici (pesi) per poterla sottoporre ad algoritmi di calcolo, come se fosse una valutazione quantitativa.

Il sistema digitale ASG© (Analisi dei Sistemi di Gestione) utilizza la valutazione di tipo semi quantitativo.

Perché valutare il rischio

Negli ultimi decenni, in tutte le norme e gli standard si è andato affermando l’approccio funzionale basato sul rischio (risk based approach) per individuare i requisiti da rispettare per il corretto svolgimento delle attività.

Questa modalità da una parte introduce maggiore flessibilità di risposta ai rischi individuati, in base alla loro gravità (case-by-case approach), dall’altra attribuisce la completa responsabilità dei risultati di contrasto ai rischi all’organizzazione che ha effettuato la valutazione.

Infatti, il valore quantitativo o qualitativo del rischio è connesso e relativo ad una situazione concreta e ad una minaccia conosciuta: quindi gli obblighi del Titolare e/o del Responsabile variano nel tempo in relazione allo stato della tecnologia e alle pratiche comuni attuate nel settore in cui operano per il contrasto alle minacce e ai rischi.

Da sottolineare che la misura della responsabilità del Titolare e/o del Responsabile del trattamento è proporzionale al rischio stimato per l’attività da svolgere.

Tanto il Regolamento (UE) 2016/679 sulla data protection che gli standard ISO della famiglia 27000, che le Direttive (UE) come la NIS adottano l’approccio basato sul rischio.

Richiedi maggiori informazioni!

Compila correttamente la form e invia subito la tua richiesta.