La scelta delle misure di sicurezza più adatte ai beni che si vuole proteggere non può che basarsi su una preliminare analisi delle minacce, delle potenziali vulnerabilità, dei costi/benefici delle azioni possibili. Tutto ciò è ancor più vero quando si parla di sicurezza delle informazioni; anzi l’analisi dei rischi che incombono sui “trattamenti di dati personali” è un obbligo in azienda quando si redige, o aggiorna, il “Documento Programmatico sulla Sicurezza” relativo alla privacy. Per l’analisi dei rischi informatici esistono però molti standard ed approcci metodologici.
Ecco dunque una breve lista di letture sull’argomento: come al solito si tratta di documenti in Italiano, gratuiti e scritti da esperti del settore.
Per iniziare, per chi avesse bisogno di una vista d’insieme rapida e completa sull’argomento, consiglio le slide (pdf) della relazione dal titolo “Risk Management” di Alessandro Sinibaldi (qui una sua intervista). La presentazione è divisa in due parti: nella prima sono presentati i concetti fondamentali di questa disciplina, nella seconda sono descritte le principali metodologie (Mehari, Octave, Cramm, Coras, Ebios) che si possono applicare.
Per approfondire l’argomento (ma sempre con taglio divulgativo) due Ebook a cura di ISCOM l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione: Linee guida sulla sicurezza delle reti, dall’analisi del rischio alle strategie di protezione e Risk analysis approfondimenti.
Il primo volume (più teorico) traccia una completa ricognizione dello stato dell’arte dell’analisi dei rischi mentre il secondo fornisce esempi di applicazioni pratiche in ambito business in particolare per liberi professionisti, studi professionali, piccole e medie imprese.
Per chi vuole affrontare la tematica specifica dell’analisi dei rischi nell’ambito della redazione del Documento Programmatico sulla Sicurezza> (specie in ambito PA) una lettura obbligata è la omonima presentazione dell’ing. Gianfranco Pontevolpe del CNIPA (Centro Nazionale per l’Informatica nella Pubblica Amministrazione) lo stesso a cui si deve il corso online sulla sicurezza informatica,
Infine ricordo che la “Guida operativa per redigere il Documento programmatico sulla sicurezza” (pdf), fornita dal Garante della Privacy, contiene un paragrafo dedicato proprio all’analisi dei rischi che incombono sui dati, paragrafo che contiene un primo elenco degli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali.