Traffico di rete nella risposta agli incidenti: Implementazioni e Tecnologie
6 novembre 2018
Si fa presto a dire backup. Rispettando i principi del GDPR
9 novembre 2018

Ipotesi per la realizzazione di un modello per l’analisi di efficacia di Sistemi di Sicurezza delle Informazioni

La sicurezza dei dati e delle informazioni, sia nel campo del trattamento di dati personali, che negli altri campi aziendali è ormai un requisito fondamentale e strategico per le organizzazioni. I dati sono la linfa delle organizzazioni e le aziende, come noi, sono perennemente e costantemente connesse.

I dati sono un asset importante e la loro gestione, siano essi di progetto, di business, di ricerca, di produzione o personali, permette alle aziende di vivere.

I dati sono un asset strategico, la gestione dei quali consente un vivere quotidiano tranquillo. Questo vale per tutte le fasi della vita aziendale: progettuale, aziendale, Ricerca e Sviluppo, produttiva e personale.

Comunque a fronte di questa importanza, poche aziende, ad oggi, si sono dotate di adeguati strumenti di controllo e gestionali.

Oltretutto il decreto 679/2016 spinge verso questa direzione.

Per meglio comprendere l’impatto della sicurezza (e la sua gestione) sulla struttura organizzativa, abbiamo analizzato il contenuto di tre normative:

  • ISO 27001;
  • Framework NIST;
  • D.P.R.

Per ognuna abbiamo individuato i punti inerenti la sicurezza, Compliance normativo e Sistema di Gestione. I singoli punti ed articoli sono stati conseguentemente assegnati alle classi sopra individuate.

Se la sicurezza dei dati è così importante, poche sono però le aziende che si sono dotate di un sistema di gestione e controllo.

Anche il regolamento 679/2016 spinge verso questi aspetti.

La sicurezza non è un prodotto ma un processo che si basa su aspetti organizzativi e tecnici.

Come si può notare dal grafico riportato sopra, per la parte compliance e sistema, emergono delle differenze caratteristiche di ciascuna norma.

Ad esempio il GDPR copre molto di più la parte compliance rispetto alle altre due, le quali coprono di più l’area di sistema.

Sono poi stati riportati, nei grafici seguenti, le differenze correlando le tre aree.

Come si può notare la parte del leone per sicurezza e sistema la fanno le norme NIST e 27001, mentre il GDPR per la parte compliance.

Sono stati poi pesati i singoli impatti come riportato nei grafici seguenti.

A questo punto abbiamo cercato di creare un modello matematico – statistico (relativamente al GDPR e ISO 27001) collegando il grado di copertura e l’efficacia di un Sistema di gestione della sicurezza dei dati e delle informazioni, con i rischi derivanti da una non copertura.

Per fare questo abbiamo definito lo specifico peso/impatto degli articoli rispetto alla sicurezza dei dati, alla normativa 27001, al GDPR: il tutto evidenziato nel grafico seguente:

Riportiamo, nella tabella seguente, i capitoli della norma e gli articoli del 2016/679 con i relativi pesi. Per la norma 27001 sono stati pesati anche i sottopunti. Il valore riportato e la media dei singoli pesi.

Sono state individuate quattro aree di copertura:

  • Non implementato = 25%
  • Debolmente implementato = 50%
  • Parzialmente implementato = 75%
  • Completamente implementato = 100%

Individuati i punti, essi sono stati correlati con il grado di copertura e di completamento dei singoli articoli applicando la formula sotto riportata

pi = peso del singolo item

γi = copertura del singolo item

ρi = risultato del singolo item

Ρ =Si ρi =Si γi *pi

Con Ρ il risultato totale dei pesi e copertura.

Utilizzando l’analisi dei rischi precedentemente fatta e calcolando il rischio, definito come:

R = P*G

con p = probabilità e g = gravità dell’evento dannoso.

Questo rischio così calcolato, è stato suddiviso in 4 aree:

  • Rischio ambientale
  • Rischio fisico
  • Rischio Informatico
  • Rischio Organizzativo

che riportano la sommatoria per ciascuna area dei rischi di pertinenza.

A questo punto sono stati abbinati ai punti e agli articoli individuati sopra, i rischi relativi ottenendo, anche in questo caso, una sommatoria generale.

Nel grafico viene riportato l’andamento ottenuto.

Conclusioni

Abbiamo cercato di realizzare un modello di analisi matematico-statistico per verificare la copertura e abbinare i rischi relativi in un sistema di gestione della sicurezza dei dati.

Attraverso un’autovalutazione dell’analisi dei rischi e del grado di copertura di implementazione dell’item/articolo di riferimento, si è potuto ottenere il grafico sopra riportato che individua la posizione dell’organizzazione rispetto ai due valori calcolati.

 

Articolo a cura di Stefano Gorla

Stefano Gorla

Consulente Privacy e Sicurezza dei dati

Attraverso un percorso professionale modulato sulle capacità e competenze professionali e personali, e di coerenza con le esigenze aziendali, sono diventato un esperto nella gestione dei processi di Privacy e sicurezza dei dati in contesti aziendali, istituzionali e dei servizi nelle principali Aree di competenza:

  • Gestione e consulenza per tutti gli aspetti in ambito del trattamento del dato personale (Dlgs 196/03 e Regolamento Europeo GDPR)
  • Gestione e consulenza per tutti gli aspetti in ambito della sicurezza dei dati
  • Gestione e consulenza in merito ai processi aziendali (BPM)
  • Formatore qualificato
  • Autore di articoli e libri sul tema privacy e sicurezza dei dati
  • Relatore a numerosi convegni nazionali e internazionali
  • DPO certificato 001 FAC certifica
  • Socio A.N.F.I Associazione Nazionale Finanzieri
  • Delegato regionale Lombardia ANDIP (Associazione Nazionale per la Difesa della Privacy)
  • Socio EPCE: European Privacy Center
  • Socio CSIG: Centro Studi Informatica Giuridica
  • Socio (ISC)2 Italy chapter
  • Delegato Lombardia ABIRT
  • Socio CSA Italy
  • Referente Privacy SECURTEC
Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy