La metodologia proposta attraverso Risk In Deep si basa essenzialmente su di un modello di valutazione di tipo qualitativo ed è finalizzata ad identificare il livello di Rischio Inerente (o Potenziale), espresso nelle 3 componenti di Riservatezza, Integrità e Disponibilità, che incombe su ciascuna Entity collegata ad un Processo (Dati, Sistemi, Archivi, ecc.). Il rischio Inerente è misurato non considerando le misure di sicurezza in essere.
L’identificazione del Rischio Inerente (Risk Assessment) permette di determinare quali debbano essere i controlli di sicurezza, di tipo logico, fisico ed organizzativo, da adottare per ricondurre il Rischio Inerente ai livelli di Rischio Residuo che il cliente riterrà opportuno accettare (Risk Management).
Calcolo del Rischio Inerente
L’approccio metodologico scelto da Risk In Deep si basa sui principi e linee guida dettati dallo standard ISO 31000 e sull’Information Risk Assessment Methodology 2 (IRAM2), metodologia prodotta dall’Information Security Forum (ISF).
La metodologia consente di valutare il rischio delle diverse entità aziendali che cooperano in un processo di business e permette la gestione ed il monitoraggio nel tempo delle misure di sicurezza necessarie a contenere tale rischio. Questo risultato si ottiene sfruttando la potenza di rappresentazione offerta dai metodi della link analysis. In estrema sintesi gli elementi sono combinati insieme e contribuiscono al Calcolo del Rischio Inerente per ogni entità che partecipa al Trattamento dei dati personali o più in generale al processo di business.
Minacce e Vulnerabilità
Il Rischio Inerente viene valutato anche attraverso le minacce e le vulnerabilità associate a ciascuna tipologia di Entity.
Attributi Entity
ll Rischio Inerente viene valutato attraverso le valorizzazioni assegnate agli attributi di tipo numerico: Ad esempio, Classificazione del Processo, Impatto sui dati e ricadute all’interno di possibili scenari di Rischio (Business, Immagine, Legale, Diritti e Libertà degli interessati, ecc.).
