Me gustaría abstraer la calificación de 'impacto' para los usuarios de este sistema de clasificación. El sistema resultante debe ser claro, simple y no ambiguo. También debe dar como resultado una salida auditable (algo que alguien más puede verificar).
Lo he hecho reduciendo la complejidad del análisis a los datos y los sistemas de datos con los que interactúa la función. Utilice su clasificación de datos existente y su modelo de riesgo de datos para definir las características de los distintos tipos de datos que tiene (personal, financiero, tarjeta de pago, salud, confidencial, etc.) y defina qué protecciones deben tener esos datos (cifrados, ciertos niveles de acceso, etc.). Probablemente ya tenga un cierto nivel de comprensión de los impactos de los diversos datos que tiene, así que simplemente pídalo prestado en lugar de reinventar la rueda.
Luego, puede clasificar el nivel de protección / riesgo de los datos que toca la característica, ya sea directamente o por medio de llamadas a otras características / sistemas.
Ejemplo:
The data the feature processes has:
* names or personal identifiers
* payment card data, bank details
* health information
* internal financial information
* internal configuration
* passwords, crypto keys
* ...
The feature interacts with:
* users
* Database A
* Database B
* 3rd party service C
* payment processors
* external researchers
* ...
El resultado es simple: el desarrollador verifica las características de los datos que procesa la nueva característica y los sistemas con los que interactúa, y su lista de verificación debe devolver la clasificación de la característica. Los auditores / pares solo necesitan revisar que los datos de hecho tienen esas características de datos.
En definitiva, el sistema resultante es rápido, simple y fácil de entender. Lo que lo hace funcionar es todo el trabajo realizado anteriormente para identificar los riesgos y las protecciones requeridas por ciertos tipos de datos (ya sea por las clasificaciones internas de riesgo, leyes, regulaciones, etc.)
Si aún no tiene una clasificación de datos y un entendimiento del riesgo de datos, en realidad sería más sencillo crear eso primero, en lugar de reinventar esa rueda cada vez que tenga una nueva función para evaluar. También facilitaría la actualización de este sistema de clasificación cuando las cosas cambian, como las leyes o la tolerancia al riesgo de la empresa (¡tres aplausos para la abstracción y la encapsulación!)
Una ventaja añadida al enfoque de inventario de características de datos: si una regulación cambia, usted tiene un inventario de características de datos previamente creado, de modo que sepa el flujo de esos datos en sus sistemas. Es como un diagrama de flujo de datos orgánico y actualizado.