Il processo di valutazione del rischio è composto da tre fasi: l’identificazione, l’analisi e la ponderazione. Il trattamento del rischio è un passo successivo. Affinché una valutazione del rischio, nel suo complesso, possa essere considerata di buona qualità, deve possedere diverse caratteristiche; tra queste la “ripetibilità”, ovvero garantire che la valutazione, effettuate da soggetti diversi e/o in tempi diversi, (purché in relazione al medesimo contesto), dia risultati simili e confrontabili.
Questo concetto è chiaramente esplicitato dalla ISO/IEC 27001:2013 (ma è mantenuto anche nella ISO/IEC 27001:2022 di prossima pubblicazione); al requisito 6.1.2 “Valutazione del rischio relativo alla sicurezza delle informazioni”, infatti, recita: “…assicuri che ripetute valutazioni del rischio relativo alla sicurezza delle informazioni producano risultati coerenti, validi e confrontabili tra loro…”.
L’esigenza della ripetibilità si estende ovviamente alla valutazione del rischio, come richiesta dal GDPR, ed è ritenuta particolarmente importante in sede di audit e di ispezione da parte del Garante.
La valutazione del rischio dovrebbe essere eseguita regolarmente, almeno una volta all’anno o ogni volta che si evidenziano cambiamenti significativi circa il contesto nel quale opera l’organizzazione; il panorama delle minacce è infatti destinato a cambiare costantemente, a seguiti di fattori interni ed esterni.
Inoltre, ripetere la valutazione del rischio porta ad affinare la metodologia, fermo restando che non esiste la “soluzione perfetta”; si può comunque determinare se le misure messe in campo sono efficienti o devono essere ripensate, così come si può valutare la validità dell’approccio.
In questo articolo si affrontano due aspetti della questione:
– perché la ripetibilità è una caratteristica importante della valutazione del rischio;
– come rendere ripetibile una valutazione del rischio.
Perché la ripetibilità è una caratteristica importante della valutazione del rischio – I risultati della valutazione del rischio sono utili nella misura in cui il titolare è sicuro che il team di valutazione o il singolo valutatore, che identificano, analizzano e valutano il rischio, abbiano ricevuto le stesse informazioni dei team coinvolti in valutazioni precedenti. In altri termini le valutazioni devono essere il più possibile oggettive.
Ciò permetterà non solo di dare il giusto valore al lavoro svolto, ma di poter presentare, sia in fase di audit che di ispezione, un elaborato che, sia pure non perfetto, risulti significativo in quanto risultato di un processo strutturato e coerente nel tempo. Ciò permetterà di dare maggiore valore alle scelte effettuate, le quali, sia pure potendosi rivelare migliorabili, possano dimostrare un approccio coerente con le esigenze del titolare e degli organi di controllo e di ispezione.
Inoltre, sarà possibile motivare le decisioni alla base di alcune scelte di investimento, in particolare in ambito tecnologico, o di altre scelte effettuate. Anche nell’ipotesi in cui le opzioni adottate si rilevassero inadeguate, tale documentazione permetterebbe, anche a distanza di tempo, di oggettivare il percorso seguito, a dimostrazione che si è comunque adottato un approccio coerente con il set di informazioni a disposizione al momento della scelta.
Come rendere ripetibile una valutazione del rischio – Per rendere coerenti tra loro successive valutazioni del rischio relative al medesimo contesto, è necessario che le informazioni rimangano coerenti, nelle valutazioni che via via si succedono. Inoltre, il team di valutazione deve seguire le linee guida stabilite, che definiscono l’approccio e gli strumenti per il calcolo della probabilità di rischio e dei fattori che intervengono a determinare tale valore.
Per rendere ripetibile una valutazione del rischio è opportuno osservare le seguenti linee guida:
– definire una metodologia anche sotto forma di procedura (peraltro espressamente richiesta dalla ISO/IEC 27001 e conseguentemente anche dalla ISO/IEC 27701:2019;
– coinvolgere nel/nei team più persone in rappresentanza delle varie parti interessate, come funzioni interne, clienti, fornitori, agenti, partner, ecc.;
– se si opera con più team questi devono essere omogenei nella composizione;
– definire criteri chiari ed univoci per l’attribuzione dei valori di gravità, di probabilità ed eventualmente anche di rilevabilità;
– documentare le scelte all’origine dei valori assegnati e descrivere le motivazioni con un adeguato grado di dettaglio; ciò permette di ricostruire la “storia” che ha portato alle scelte effettuate; questo è utile anche in fase di aggiornamento del documento, per risalire, a distanza di tempo, alle motivazioni poste alla base di una scelta;
– documentare il processo che ha portato a privilegiare l’introduzione di alcune misure rispetto ad altre, (o ad eliminare misure precedentemente previste), dato che le organizzazioni operano con risorse limitate.
Tra le tecniche utilizzabili una risulta particolarmente utile, anche se dispendiosa in termini di risorse impiegate, motivo per cui potrebbe essere utilizzata limitatamente ad alcuni ambiti di indagine che risultino particolarmente critici. Si tratta di organizzare due team di lavoro, formati da risorse diverse, ma in possesso dello stesso patrimonio di conoscenze dell’organizzazione.
Ad ogni team, guidato da un facilitatore, vengono fornite le medesime informazioni relative al contesto e viene chiesto di produrre la valutazione del rischio. Nell’ambito della protezione dei dati personali i team potrebbero essere formati da rappresentati dell’ufficio privacy, dell’area ICT, delle risorse umane, degli approvvigionamenti, del facility. Inoltre, potrebbe essere opportuno o addirittura necessario coinvolgere rappresentanti del business, del commerciale, del marketing, ecc.
Disponendo, ogni team, delle medesime informazioni e avendo un background simile, i risultati prodotti dovrebbero risultare coerenti tra loro. Se così fosse, si potrebbe affermare che la valutazione del rischio è ripetibile e questa ne è la prova migliore. In caso di risultati non omogenei, (anche in misura significativa), il facilitatore designato deve procedere con una negoziazione volta far convergere i risultati dei due gruppi verso una soluzione che soddisfi entrambi. Anche in questo modo, sia pure attraverso un processo di negoziazione, che peraltro ha il vantaggio di far prendere ulteriore consapevolezza ad entrambi i gruppi circa le soluzioni adottate, si evidenzia la ripetibilità del processo di valutazione.
Conclusioni – Una valutazione del rischio ben documentata e quindi ripetibile va a vantaggio dell’organizzazione e delle parti interessate; obbliga i responsabili a decidere sulla base di valori oggettivi, a non procrastinare le scelte sine die, e a non nascondere scelte sbagliate dietro scuse come quella di non avere informazioni sufficienti. In sintesi, come scrive Cesare Gallotti in: Sicurezza delle informazioni – versione aggiornata a gennaio 2022: “..la necessità di documentare le proprie scelte rende più prudenti”.
