In questi pochi mesi sto assistendo ad un ritorno dell'idea delle valutazioni del rischio quantitative e su quelle oggettive.
Pierfrancesco Maistrello mi ha ricordato, tra le altre cose, che c'è un Provvedimento del Garante sul data breach:
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9076378.
In un paragrafo, c'è scritto: "VISTI i considerando nn. 75 e 76 del Regolamento che suggeriscono che, di norma, nella valutazione dei rischi si dovrebbero prendere in considerazione tanto la probabilità quanto la gravità dei rischi per i diritti e le libertà degli interessati e che tali rischi dovrebbe essere determinati in base a una valutazione oggettiva".
Io e Pierfrancesco siamo d'accordo nel dire che si possono anche seguire approcci qualitativi (con valori semplici come "alto", "medio" e "basso"), ma i valori assegnati vanno giustificati, dimostrando così l'oggettività della valutazione. Sempre Pierfrancesco mi ricorda che un'ulteriore attività di supporto all'oggettività è la conduzione di un vulnerability assessment.
Delle valutazioni del rischio quantitative ho già scritto in passato e ripeto in sintesi i punti: i dati a disposizione sono troppo pochi e inaffidabili e valutazioni quantitative (se pure fossero possibili) richiederebbero un eccessivo dispendio di energie senza apprezzabili miglioramenti.
PS: più recentemente ho visto anche valutazioni del rischio sulla salute dei lavoratori e anch'esse sono spesso di tipo qualitativo (anche perché diventa difficile assegnare un valore economico alla vita delle persone).
Nessun commento:
Posta un commento