Privacy by Dadaism: (Indi)gestione del Rischio

 Il risk-based approach, o approccio basato sul rischio, ha generato forse una serie di metodi che si professano (negli intenti) analitici ma da cui (in concreto) non scaturiscono risultati effettivamente fruibili.

Vero è che l'idea di adeguatezza presta il fianco a contenuti decisamente dada, se si prescinde (ad esempio) dai considerando nn. 74 (parametri di efficacia), 75 (modalità di individuazione), 76 (valutazioni oggettive) che richiamano, sostanzialmente, l'esigenza di svolgere un'analisi di contesto e riferirsi alla stessa durante tutto il processo valutativo.

© Succession Marcel Duchamp/ADAGP, Paris and DACS, London 2018

Cosa accade se non si ha contezza di tali indicazioni e comunque si sviluppa e si procede con un metodo? Diciamo che il destino comune è sforzi ed energie spesi per risultati poco fruttuosi...

Ecco alcuni esempi.

Metodo #1: Samarra.

Così come nel noto racconto di Samarra (o Samarcanda) si parla di inevitabilità, quella stessa mistura di fato e destino si riscontra in quelle valutazioni che partono direttamente dal punto di arrivo.

Ad esempio: l'esclusione di rischio elevato. Ancor meglio: l'indicazione di ogni rischio come minimo/irrilevante/trascurabile. O altrimenti, in modo più diffuso: l'indicazione di adeguatezza della (contro)misura predisposta.

Ovviamente viene preservato anche un certo spirito esoterico dal momento che non sono indicati criteri di misurazione (forse noti ai soli iniziati del metodo), né tantomeno si fa riferimento ad alcuna analisi preliminare che riguardi l'individuazione delle minacce o degli asset.

Tutto fa sorgere al lettore un dilemma salomonico: è sorto prima il rischio o la contromisura?

Metodo #2: CTRL+C | CTRL+V

A prima vista, solitamente si parte bene: il contesto è descritto (magari un po' romanzato...), si presentano i criteri di valutazione e molto spesso ci sono ampi elenchi ed allegati. Addirittura manuali. Opere ambiziose.

Leggendoli, si scopre però che l'idea di valutazioni oggettive è resa all'estremo, mediante la medesima valutazione ripetuta e ripetuta per ogni singolo rischio.

Molto spesso, inoltre, si scopre che qualche valutazione prescinde totalmente dal contesto e si riduce ad essere una formula di stile.

Repetita iuvant, ma non in questo caso.

Metodo #3: Occhio non vede...

L'ultimo del podio non segue lo spirito che nega sempre tutto del Mefistofele di Boito (che ci piace ricordare per aver ispirato anche Quel...Diavolo di consenso), bensì nega solo ciò che fornirebbe evidenza di un rischio. Anzi: rifiuta proprio di conoscerne l'esistenza.

Ciò si sostanzia in valutazioni delle sole misure di sicurezza funzionanti (riprendendo così parte del metodo #1), spesso in modo seriale e acritico (prendendo spunto dal metodo #2) e approcciandosi alla accountability come se la stessa potesse essere invocata come safe word in caso di data breach o ispezioni, per cui è sufficiente invocarla a gran voce (nonché, ovviamente, averla scritta almeno un numero significativo di volte in documenti interni debitamente vidimati e timbrati) perché tutto si interrompa. Personalmente: non credo che possa funzionare granché.


Essere GDPReady è...saper valutare i rischi.

Commenti