Le misure di sicurezza, debbono essere adottate, in base ai rischi che possono individuarsi. In concreto gli eventi che possono manifestarsi possono essere compresi in tre categorie:

·         Comportamenti degli operatori: si tratta di rischi connessi al mancato rispetto degli adempimenti e delle prescrizioni stabilite e scritte nelle nomine

·         Eventi relativi agli strumenti: comprendono i rischi propri del sistema informatico utilizzato;

·         Eventi relativi al contesto fisico-ambientale: includono tutti quegli eventi (naturali o artificiali) connessi al contesto in cui si opera  (guasti, eventi distruttivi, ingressi non autorizzati, ecc.).

Alla fase di individuazione dei possibili eventi segue la fase valutativa dei rischi, al fine di verificare:

·         l'efficacia degli strumenti impiegati, che permette di assegnare al rischio un indice di rilevanza e di probabilità con la finalità ultima di individuarne anche le consequenziali azioni correttive;

·         le misure che sono risultate non adeguate.

·         In particolare si è tenuto conto di due indici:

o   probabilità (p) di accadimento, che riguarda la frequenza riscontrata o riscontrabile;

o    rilevanza (m) delle conseguenze, nel caso lo stesso evento si verifichi.

Il Rischio è la risultante della probabilità e della rilevanza di un evento: l'indice R è quindi dato dal prodotto P x M. Secondo i criteri adottati dando a P e a M un valore fra 1 e 4, si ottiene il valore R compreso fra 1 e 16.

Probabilità (P)

·         Bassa             (P=1): Non sono noti episodi

·         Media             (P=2): Sono noti rari episodi

·         Alta                 (P=3): Noto qualche episodio

·         Altissima         (P=4): Noti molti episodi

Rilevanza (M)

·         Bassa                (P=1): Furto o distruzione dei dati

·         Media                (P=2): Utilizzo illegale o alterazione dei dati

·         Alta                   (P=3): Perdita di dati causata da un uso non autorizzato

·         Altissima           (P=4): Perdita dei dati a seguito di diffusione illegale

Il processo di individuazione degli eventi e la successiva valutazione dei rischi eventualmente manifestatisi deve essere ripetuto con cadenza almeno annuale e, comunque, ogni qualvolta si verifichi un evento grave connesso al trattamento o segnalato dall’installatore esterno delle misure minime di sicurezza.

Le misure di sicurezza devono tendere a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. L'adeguatezza delle misure deve essere valutata, secondo le linee guida indicate in questo documento, tenendo conto delle conoscenze acquisite in base al progresso tecnico, alla natura dei dati trattati e alle specifiche caratteristiche del trattamento