La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.
La minaccia “Idiot wind” (così denominata da me, in ricordo di un capolavoro di Bob Dylan) non è considerata da nessuno strumento oggi disponibile per la valutazione del rischio né, probabilmente, mai lo sarà.
La scoperta risale a fine 2019. Si tratta di un caso particolare, che permette di maturare qualche riflessione in merito alla valutazione e al trattamento del rischio.
La scoperta
Il caso riguarda una società, di cui non farò il nome, che produce molti documenti in formato cartaceo. Questi sono quindi raccolti e digitalizzati (acquisizione tramite scansione) e, successivamente, distrutti manualmente.
Un giorno, qualcuno ha aperto la finestra e i documenti in attesa di essere distrutti sono volati via, in strada. Questo evento inaspettato non ha intaccato la disponibilità e l’integrità delle informazioni, poiché i documenti erano già stati acquisiti, ma ne ha minacciato la riservatezza.
È stato in quel momento che è stata scoperta la “banale”, ma non innocua, minaccia del vento, appunto, “Idiot wind” .
La valutazione del rischio tradizionale
Gli approcci tradizionali alla gestione documentale raccomandano il censimento degli asset: in questo caso sarebbe stato necessario considerare i documenti in formato cartaceo. Questo approccio però difficilmente avrebbe permesso di evidenziare la minaccia Idiot wind.
Un approccio più moderno richiede invece di fare attenzione ai processi di gestione delle informazioni. Approccio ancora più efficace prevede un sopralluogo di persona per poter meglio identificare le minacce. In questo caso, si sarebbe potuta rilevare la raccolta dei documenti digitalizzati vicino a una finestra e, quindi, la possibilità che questi potessero volare via.
Ecco perché molti considerano superato l’approccio basato sugli asset, soprattutto se accompagnato dall’uso di un elenco predefinito di minacce: non avrebbe permesso di identificare Idiot Wind.
Un’ulteriore considerazione riguarda il calcolo del livello di rischio, ossia una combinazione tra verosimiglianza e conseguenze. Sicuramente la minaccia sarebbe stata considerata come altamente inverosimile e pertanto il rischio sarebbe stato accettato, dunque ignorato da uno strumento basato su calcolo automatico.
La valutazione del rischio dinamico
Un approccio tradizionale alla valutazione del rischio è tuttavia idoneo per riconoscere e affrontare i rischi più diffusi, ma deve anche essere affiancato da un atteggiamento più dinamico, che permetta di raccogliere e valutare le minacce più specifiche.
Le minacce possono essere identificate da:
- cambiamenti dell’organizzazione, in termini di nuovi clienti, acquisizioni, nuovi fornitori, evoluzioni nella normativa di settore;
- analisi dei processi;
- rilievi di audit interni o esterni;
- segnalazioni dalle parti interessate (p.e. personale interno ed esterno, clienti, fornitori, partner);
- notizie da varie fonti, rapporti specialistici e conferenze, fornitori di servizi e prodotti.
Un’organizzazione deve quindi identificare a chi segnalare le minacce e con quali mezzi. I destinatari devono poi stabilire se il rischio sia significativo o meno e se è necessario progettare, realizzare o modificare misure di sicurezza.
Per tenere traccia di tali segnalazioni e delle valutazioni fatte è opportuno adottare un registro. Vale per tutti gli ambiti: ecco un esempio relativo ad un cantiere presente presso la sede di un’organizzazione.
Il trattamento del rischio
La scoperta di Idiot wind permette di fare riflessioni anche sul trattamento del rischio e formulare delle misure condivise per contrastare la minaccia.
L’ipotesi più accreditata potrebbe essere quella di procedere con la distruzione immediata dei documenti appena acquisiti. Questa è la classica proposta immediata e semplice, ma non sempre applicabile nella realtà. Condizione essenziale per permettere un reale trattamento del rischio è che le proposte siano formulate a seguito di un’attenta analisi del contesto di riferimento.
Forse non è possibile distruggere immediatamente i documenti perché le acquisizioni sono fatte a lotti, che devono essere verificati prima di procedere alla distruzione degli originali. Questa è una pratica molto diffusa tra chi acquisisce i documenti.
Forse la procedura fin lì seguita bilanciava bene le esigenze di qualità ed efficienza e la distruzione documento per documento potrebbe richiedere il presidio costante dello scanner, con un aumento dei costi insostenibile.
Altre ipotesi potrebbero essere: modificare le finestre in modo da impedirne la completa apertura e, quindi, bloccare i documenti volanti, ma questa soluzione potrebbe essere impossibile a causa dell’infrastruttura pre-esistente; spostare la zona di lavoro lontana da correnti d’aria, ma questo deve tenere conto delle esigenze delle altre lavorazioni; usare un contenitore riparato dove depositare i documenti prima e dopo la scansione, ma anche tale da mantenere l’efficacia del processo.
Conclusione
La scoperta dell’attacco Idiot wind ha permesso di evidenziare alcuni limiti degli approcci tradizionali di valutazione del rischio, di sottolineare la necessità di raccogliere informazioni e valutare i casi e di ricordare l’importanza del corretto bilanciamento tra approccio tradizionale e dinamico.. È bene anche prestare attenzione quando si propongono “semplici” azioni di trattamento, perché possono comportare elevate inefficienze.
Di Cesare Gallotti, Esperto in sicurezza, qualità e gestione dei servizi IT – componente del D&L NET.