Dai risultati ottenuti attraverso il modulo di Risk Assessment, sarà possibile determinare, attraverso la libreria di controlli già disponibile nel modulo Risk Management, quali misure di sicurezza sono idonee a contenere il Rischio Inerente precedentemente calcolato.
In questo modo sarà possibile procedere ad un attività di Gap Analysis rispetto alle misure di sicurezza individuate e determinare il Rischio Residuo che incombe sulle Entity.
I livelli di Rischio Residuo e le misure di sicurezza non ancora attuate potranno essere oggetto di una Security Roadmap che costituirà la base per la definizione di una strategia programmatica per la messa in sicurezza dei processi o trattamenti di dati al fine di raggiungere gli obiettivi di sicurezza prefissati dal management.
I controlli
Risk In Deep viene fornito con una libreria di oltre 500 controlli di sicurezza (comunque personalizzabili), in lingua italiana, aggiornati rispetto agli standard ISO 27001, NIST53a, alle normative GDPR ed alle misure minime di sicurezza del vecchio Dlgs 196/03. Il tutto già associato ad un set di minacce predefinite caratterizzate da un livello di copertura rispetto alla Riservatezza, Integrità e Disponibilità.
I controlli di sicurezza sono suddivisi per classi funzionali e possono essere associati alle specifiche tipologie di Entity. Ad esempio, i controlli di carattere procedurale/organizzativo (come politiche, procedure, istruzioni, ecc.) possono essere associate solo alle tipologie di Entity di tipo Personale.
Analogamente le misure di sicurezza fisica (estintori, condizionamento, serrature, ecc.) possono essere associate a tipologie di Entity come locali, armadi, sede ecc.
In questo modo è possibile avere una maggiore accountability sulle diverse entità che cooperano intorno al trattamento dei dati.
Gap Analysis
Attraverso questo modulo sarà possibile raccogliere lo stato di attuazione delle misure di sicurezza che Risk In Deep avrà selezionato a partire dal Rischio Inerente calcolato su ciascun Entity.
Le check list conterranno solo le misure di sicurezza coerenti con la natura della Tipologia di Entity. Ad Esempio, le misure di tipo tecnologiche saranno associate solo alle Entity di tipo sistema, rete, cloud ecc. Mentre quelle di tipo fisico solo ai locali, CED, archivi. Quelle organizzative saranno associate solo alle tipologie di Entity di tipo Unità organizzative, Legal Entity ecc.
La metodologia consente di valutare il rischio delle diverse entità aziendali che cooperano in un processo di business e permette la gestione ed il monitoraggio nel tempo delle misure di sicurezza necessarie a contenere tale rischio. Questo risultato si ottiene sfruttando la potenza di rappresentazione offerta dai metodi della link analysis. In estrema sintesi gli elementi sono combinati insieme e contribuiscono al Calcolo del Rischio Inerente per ogni entità che partecipa al Trattamento dei dati personali o più in generale al processo di business.
Il Rischio Residuo
A valle del completamento della GAP Analysis potrà essere calcolato il Rischio Residuo, definito come la percentuale di mancata o parziale attuazione delle misure di sicurezza identificate per contenere il Rischio Inerente.
Report Profilo di Protezione Entity
Per ogni Entity sarà possibile generare un report che riassume tutti gli elementi caratterizzanti sia la fase di Risk Assessment sia la fase di Risk Management.
