In questa sezione si descrivono i principali eventi potenzialmente dannosi per la sicurezza dei dati valuntandone le possibili consequenze e la gravita nel contesto fisico-ambientale e in relazione agli strumenti utilizzati.
Elenco degli eventi: individuare ed elencare gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. In particolare, si può prendere in considerazione la lista esemplificativa dei seguenti eventi:
1) comportamenti degli operatori: tutti quegli eventi che possono essere causati dal comportamento poco attento degli incaricati, ed in particolare
- sottrazione di credenziali di autenticazione
- carenza di consapevolezza, disattenzione o incuria
- comportamenti sleali o fraudolenti
- errore materiale
2) eventi relativi agli strumenti: eventi relativi alla tipologia di strumenti utilizzati nel trattamento dei dat
- azione di virus informatici o di programmi suscettibili di recare danno
- spamming o tecniche di sabotaggio
- malfunzionamento, indisponibilità o degrado degli strumenti
- accessi esterni non autorizzati
- intercettazione di informazioni in rete
3) eventi relativi al contesto fisico-ambientale nel quale la strumentazione per il trattamento dei dati è conser
- ingressi non autorizzati a locali/aree ad accesso ristretto
- sottrazione di strumenti contenenti dati
eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria
guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)
errori umani nella gestione della sicurezza fisica
E' possibile, per ulteriori dettagli, rinviare a documenti analoghi già redatti in tema di piani di sicurezza e gestione del rischio, come ad es.: Business Continuity Plan, Disaster Recovery Plan, ecc. (si tenga però presente che le analisi alla base di questi altri documenti possono avere una natura ben diversa).
Impatto sulla sicurezza: descrivere le principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento, e valutare la loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell'evento (anche in termini sintetici: es., alta/media/bassa). In questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da contrastare.
L'analisi dei rischi può essere condotta utilizzando metodi di complessità diversa: l'approccio qui descritto è volto solo a consentire una prima riflessione in contesti che per dimensioni ridotte o per altre analoghe ragioni, non ritengano di dover procedere ad una analisi più strutturata.
In relazione a ciascun evento individuato come un fattore di rischio è necessario descrivere le principali conseguenze per la sicurezza dei dati e fornire breve descrizione.