Come e tecniche per stimare i dati in possesso da un’azienda IT
Quantificare l’informazione
Oltre alla valutazione dell’intera infrastruttura tecnologica (fisica) e quella del software in uso all’interno dell’organizzazione, si devono quantificare i dati in possesso. Fare una stima del valore potenziale delle informazioni che non rientrano nello stato patrimoniale tra le immobilizzazioni immateriali è da considerarsi pratica complessa. I tipi di informazioni sensibili che rientrano in questa categoria sono:
- dati personali, che identificano le informazioni relative alla persona fisica, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altro dato, ivi compreso un numero di riconoscimento personale;
- dati medici, cartelle cliniche e altri dati relativi al campo medicosanitario;
- dati bancari e finanziari, come estremi della carta di credito e coordinate bancarie.
Si tratta quindi di valutare un dato che non è acquistabile sul mercato (legale) ma la cui compromissione causa un danno economico all’organizzazione.
Per quanto riguarda tutte le altre informazioni detenute dall’organizzazione qui non elencate, si ipotizza che il valore dell’informazione sia equivalente al danno a seguito dell’interruzione di esercizio. Nel caso di business interruption il danno è pari al reddito originato dalla gestione caratteristica d’impresa che risulta cessante per il mancato svolgimento.
Seguendo la letteratura, in cui si mettono a confronto i principali calcolatori di costi per data breach, i fattori chiave che li accomunano sono riassumibili nei seguenti punti:
- numero totale di record;
- tipo di dato e tipo di business;
- dimensione dell’organizzazione (totale dipendenti, mercato, sedi principali, etc.)
- dove risiedono i dati;
- fattori vari:
- se si ha subito in precedenza almeno una violazione;
- complicazioni riguardanti Payment Card Industry;
- se c’è stato un coinvolgimento in una class action.
Nello specifico, sono stati identificati sedici fattori volti alla determinazione del costo e della probabilità di accadimento:
- team specializzato nella risposta agli incidenti;
- ampio utilizzo della crittografia;
- addestramento dipendenti;
- partecipazione nella condivisione delle minacce;
- coinvolgimento nel Business Continuity Management (processo orientato all’identificazione dei rischi e all’analisi dei potenziali impatti su un’organizzazione nel suo complesso);
- ampio uso DLP (Data Loss Prevention);
- la designazione di un chief information security officer (CISO);
- coinvolgimento del consiglio;
- schema per la classificazione dei dati;
- protezione assicurativa;
- adozione di una protezione ID;
- consulenze;
- perdita o furto dei device;
- tempestività nella notifica;
- ampia migrazione su spazi cloud;
- coinvolgimento di terze parti.