Perchè è importante avere una corretta classificazione dei dati?

Le organizzazioni hanno risorse limitate per investire nella salvaguardia dei propri dati. Sapere esattamente quali dati necessitano di protezione ti aiuterà a stabilire le priorità e sviluppare un piano strutturato in modo da poter allocare il budget e le altre risorse in modo mirato, riducendo al minimo i costi di sicurezza e conformità. Ma qual è il punto migliore da cui iniziare? La classificazione dei dati fornisce una solida base per una strategia di sicurezza poiché consente di identificare le aree a rischio nella rete IT, sia in sede che nel cloud.

Definizione di classificazione dei dati

La classificazione dei dati è il processo di organizzazione dei dati secondo categorie concordate. La classificazione pianificata in modo accurato consente un uso e una protezione più efficiente dei dati critici all'interno dell'organizzazione e contribuisce alla gestione dei rischi, all’audit legale e ai processi di conformità.

Per anni, la classificazione dei dati era puramente un processo guidato dall'utente, ma oggi le organizzazioni hanno opzioni per automatizzare la classificazione. Per i nuovi dati creati dagli utenti, le organizzazioni possono stabilire processi che consentono agli utenti di classificare i documenti che creano, inviano o modificano. Se lo si desidera, i vecchi dati possono essere gradualmente archiviati senza essere classificati. In alternativa, le organizzazioni possono classificare i loro dati arretrati utilizzando tecniche di data discovery (rilevamento dei dati).

Il rilevamento dei dati è il processo di scansione delle repository contenenti dati e la generazione di repor sui risultati. Il rilevamento dei dati può servire a molti scopi, come la ricerca di contenuti aziendali, la governance dei dati e l'analisi e visualizzazione dei dati. Ma quando viene combinato con la classificazione dei dati, diventa il processo di identificazione delle risorse che potrebbero contenere informazioni sensibili, in modo da poter prendere decisioni mirate su come proteggere adeguatamente tali dati.

Benefici della classificazione dei dati

La classificazione dei dati consente di migliorare sia la sicurezza dei dati che la conformità alle normative:

  • Sicurezza dei dati sensibili — Per salvaguardare adeguatamente i dati aziendali e dei clienti, prima di tutto, è necessario conoscere e comprendere i dati. Nello specifico, dovresti essere in grado di rispondere alle seguenti domande:
    • Quali dati sensibili stai trattando (IP, PHI, PII, card data, etc.)?
    • Dove vengono archiviati questi dati?
    • Chi può accedere, modificare o cancellare questi dati?
    • In che modo influirà sulla tua azienda se questi dati trapelano, vengono distrutti o vengono modificati senza permesso?

Avere risposte a queste domande, insieme alle informazioni sul panorama delle minacce, consente di proteggere i dati sensibili valutando i livelli di rischio, dando priorità ai vostri sforzi e pianificando e implementando misure appropriate di protezione dei dati e di rilevamento delle minacce.

  • Conformità con i mandati normativi — Gli standard di conformità richiedono alle organizzazioni di proteggere dati specifici, come le informazioni sui titolari di carta (PCI DSS), i registri sanitari (HIPAA), i dati finanziari (SOX) o i dati personali dei residenti nell'UE (GDPR). Il rilevamento e la classificazione dei dati consentono di determinare la posizione in cui si trovano questi tipi di dati e di assicurarsi che siano disponibili controlli di sicurezza appropriati affinchè i dati siano rintracciabili e ricercabili, come richiesto dalle normative. Concentrando i tuoi sforzi di conformità sui dati che rientrano nelle normative a cui sei soggetto, aumenti le possibilità di superare gli audit e di mantenere una conformità quotidiana.

Linee guida per la classificazione dei dati

Non esiste un unico approccio per la classificazione dei dati. Tuttavia, il processo di classificazione può essere suddiviso in quattro passaggi chiave, che possono essere personalizzati per soddisfare le esigenze specifiche della tua organizzazione mentre sviluppi la tua strategia di protezione dei dati.

Step#1. Stabilire una politica di classificazione dei dati. Innanzitutto, è necessario definire una politica di classificazione dei dati e comunicarla a tutti i dipendenti che lavorano con dei dati sensibili. La politica dovrebbe essere breve e semplice e includere i seguenti elementi di base:

  • Obiettivi – Le ragioni per cui la classificazione dei dati è stata messa in atto e gli obiettivi che la società si aspetta di ottenere da essa
  • Workflow – Come sarà organizzato il processo di classificazione dei dati e come inciderà sui dipendenti che utilizzano diverse categorie di dati sensibili
  • Schema di classificazione dei dati – Le categorie in cui verranno classificati i dati
  • Data owner – I ruoli e le responsabilità delle unità aziendali, compreso il modo in cui dovrebbero classificare i dati sensibili e concedere loro l'accesso
  • Istruzioni per l’uso – Standard di sicurezza che specificano le pratiche di gestione appropriate per ciascuna categoria di dati, come il modo in cui deve essere memorizzato il dato, quali diritti di accesso dovrebbero essere assegnati, come possono essere condivisi, quando deve essere crittografato e termini e processi di conservazione. Poiché queste linee guida possono cambiare, è meglio mantenerle come documento separato.

Step #2. Scopri i dati sensibili. Una volta stabilito il criterio, è ora di decidere se è necessario il rilevamento dei dati. Se si sceglie di classificare solo nuovi dati, alcuni dati business-critical o sensibili già esistenti potrebbero non essere sufficientemente protetti. Se tale rischio è inaccettabile, è necessario investire denaro, tempo e sforzi per eseguire il rilevamento dei dati e applicare i criteri di classificazione ai dati esistenti.

È possibile automatizzare la rilevazione dei dati utilizzando applicazioni progettate per identificare sistemi e risorse, come database o condivisioni di file, che potrebbero contenere informazioni riservate. Alcuni strumenti riportano anche il volume e la categoria potenziale dei dati.

Step #3. Applica etichette. Come passaggio facoltativo, puoi assegnare a ciascuna risorsa di dati sensibili un'etichetta per migliorare l'applicazione dei criteri di classificazione dei dati. L'etichettatura può essere automatizzata in base al proprio schema di classificazione dei dati o eseguita manualmente dai proprietari dei dati.

Step #4. Utilizzare i risultati per migliorare la sicurezza e la conformità. Una volta che si conoscono i dati sensibili che si hanno e le relative posizioni di archiviazione, è possibile rivedere le politiche e le procedure di sicurezza per valutare se tutti i dati sono protetti da misure adeguate al rischio. Classificando tutti i tuoi dati sensibili, puoi dare priorità ai tuoi sforzi, controllare i costi e migliorare i processi di gestione dei dati.

Step #5. Ripeti. I dati sono dinamici: i file vengono creati, copiati, spostati e cancellati ogni giorno. Pertanto, la classificazione dei dati dovrebbe essere un processo continuo all'interno dell'organizzazione. Una corretta amministrazione del processo di classificazione dei dati contribuirà a garantire che tutti i dati sensibili siano protetti.

Esempi di categorie di classificazione dei dati

Non esiste un modo "giusto" per progettare il modello di classificazione dei dati e definire le categorie di dati. Ad esempio, le agenzie governative degli Stati Uniti definiscono spesso tre tipi di dati: pubblico, segreto e top secret. La NATO ha usato uno schema a cinque livelli per il Progetto Manhattan. Un'opzione è iniziare con un semplice tipo di classificazione dei dati a tre livelli:

  • Dati pubblici — Può essere liberamente divulgato (e.g., contatti del servizio clienti)
  • Dati interni — Ha bassi requisiti di sicurezza ma non è destinato alla divulgazione pubblica (e.g., organigrammi)
  • Dati riservati — Dati interni altamente sensibili la cui divulgazione potrebbe influire negativamente sulle operazioni e mettere l'organizzazione a rischio finanziario o legale (ad es. Informazioni personali su clienti, pazienti e dipendenti, dati di autenticazione come accessi e password).

L'organizzazione può utilizzare queste tre categorie per definire un modello iniziale di classificazione dei dati e in seguito aggiungere livelli più granulari in base al contenuto dei dati (PII, PHI, ecc.), Alla pertinenza rispetto gli standard di conformità o alle specifiche aziendali e ad altri criteri.

Come puoi vedere, la classificazione dei dati non è una bacchetta magica che protegge i dati o garantisce la conformità ai requisiti normativi di per sé. Piuttosto, aiuta le organizzazioni a migliorare la propria sicurezza concentrando la propria attenzione, la forza lavoro e le risorse finanziarie sui dati più importanti per il business. Una volta individuati i rischi prioritari, è necessario comprendere come garantire un'adeguata protezione dei dati e la conformità costante alle politiche e ai regolamenti di sicurezza.