Come e tecniche per stimare i dati in possesso da un’azienda IT

Come e tecniche per stimare i dati in possesso da un’azienda IT

Quantificare l’informazione

Oltre alla valutazione dell’intera infrastruttura tecnologica (fisica) e quella del software in uso all’interno dell’organizzazione, si devono quantificare i dati in possesso. Fare una stima del valore potenziale delle informazioni che non rientrano nello stato patrimoniale tra le immobilizzazioni immateriali è da considerarsi pratica complessa. I tipi di informazioni sensibili che rientrano in questa categoria sono:

  • dati personali, che identificano le informazioni relative alla persona fisica, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altro dato, ivi compreso un numero di riconoscimento personale;
  • dati medici, cartelle cliniche e altri dati relativi al campo medicosanitario;
  • dati bancari e finanziari, come estremi della carta di credito e coordinate bancarie.

Si tratta quindi di valutare un dato che non è acquistabile sul mercato (legale) ma la cui compromissione causa un danno economico all’organizzazione.

Come e tecniche per stimare i dati in possesso da un'azienda IT

Per quanto riguarda tutte le altre informazioni detenute dall’organizzazione qui non elencate, si ipotizza che il valore dell’informazione sia equivalente al danno a seguito dell’interruzione di esercizio. Nel caso di business interruption il danno è pari al reddito originato dalla gestione caratteristica d’impresa che risulta cessante per il mancato svolgimento.
Seguendo la letteratura, in cui si mettono a confronto i principali calcolatori di costi per data breach, i fattori chiave che li accomunano sono riassumibili nei seguenti punti:

  • numero totale di record;
  • tipo di dato e tipo di business;
  • dimensione dell’organizzazione (totale dipendenti, mercato, sedi principali, etc.)
  • dove risiedono i dati;
  • fattori vari:
  • se si ha subito in precedenza almeno una violazione;
  • complicazioni riguardanti Payment Card Industry;
  • se c’è stato un coinvolgimento in una class action.

Nello specifico, sono stati identificati sedici fattori volti alla determinazione del costo e della probabilità di accadimento:

  1. team specializzato nella risposta agli incidenti;
  2. ampio utilizzo della crittografia;
  3. addestramento dipendenti;
  4. partecipazione nella condivisione delle minacce;
  5. coinvolgimento nel Business Continuity Management (processo orientato all’identificazione dei rischi e all’analisi dei potenziali impatti su un’organizzazione nel suo complesso);
  6. ampio uso DLP (Data Loss Prevention);
  7. la designazione di un chief information security officer (CISO);
  8. coinvolgimento del consiglio;
  9. schema per la classificazione dei dati;
  10. protezione assicurativa;
  11. adozione di una protezione ID;
  12. consulenze;
  13. perdita o furto dei device;
  14. tempestività nella notifica;
  15. ampia migrazione su spazi cloud;
  16. coinvolgimento di terze parti.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: www.vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *