Che cos'è la Data Classification?

La data classification è un metodo per definire e categorizzare file e altre informazioni aziendali critiche. Viene principalmente utilizzata nelle aziende di grandi dimensioni che si servono della classificazione dei dati per realizzare sistemi di sicurezza conformi alle rigide normative vigenti, ma sono altrettanto utilizzate nelle aziende di dimensioni ridotte.

La data classification aiuta a comprendere il livello di riservatezza delle informazioni aziendali conservate, così da implementare gli opportuni strumenti di sicurezza, nonché il controllo degli accessi, e il monitoraggio della rete.

I dati possono essere classificati in categorie. Per classificare correttamente i vostri dati, vi tornerà utile farvi alcune domande man mano che li esaminate. Potete utilizzare le seguenti domande come guida:

• Conservate dati PII sensibili dei vostri clienti, dipendenti e fornitori?
• Che tipo di dati crea la vostra organizzazione quando genera un nuovo record nel proprio database?
• Quanto è sensibile un dato su una scala numerica da 1 a 10 (considerando 1 come il massimo della criticità)?
• Chi ha bisogno di accedere a questi dati per le normali operazioni lavorative?

Facendovi queste domande, sarete in grado di definire approssimativamente delle categorie per i vostri dati, come ad esempio:

• Molto sensibili. I dati che rientrano in questa categoria devono essere protetti e monitorati contro ogni possibile minaccia. Questo tipo di dati sono spesso regolati dalle normative che richiedono il rigido controllo degli accessi, limitando il numero di utenti che può accedervi.
• Mediamente sensibili. Sono quei file e dati che non possono essere divulgati pubblicamente, tuttavia, in caso di un eventuale data breach, non comporterebbero particolari rischi. Richiedono comunque il controllo degli accessi, come nel caso dei dati molto sensibili, ma l'accesso è consentito ad un maggior numero di utenti.
• Poco sensibili. Questo tipo di dati, sono tipicamente disponibili pubblicamente e non richiedono particolari misure di protezione dei dati per proteggerli dai data breach.

Rispondere alle domande viste sopra, vi permetterà di classificare meglio i vostri dati. La data classification può normalmente essere suddivisa in quattro categorie:

Dati pubblici

Questa tipologia contiene i dati che sono disponibili pubblicamente, a livello locale o sulla rete Internet. Non richiedono particolari misure di sicurezza e la loro eventuale divulgazione non comporterebbe violazioni delle normative.

Dati ad uso interno

Circolari interne, proprietà intellettuale e messaggi email sono solo alcuni esempi di dati il cui accesso va limitato ai soli impiegati interni.

Dati confidenziali

La differenza tra dati per uso interno e dati confidenziali è che questi ultimi richiedono l'autorizzazione per potervi accedere. È possibile concedere l'autorizzazione a specifici dipendenti o autorizzare fornitori esterni.

Dati riservati

I dati riservati si riferiscono solitamente ad informazioni strettamente riservate a cui soltanto specifiche persone possono accedere. La divulgazione di questo tipo di dati può portare irrimediabilmente ad un grave danno per l'azienda, sia in termini finanziari che di immagine.

Quando decidete che è arrivato il momento di classificare i vostri dati per aderire agli standard di conformità, il primo passo è mettere in atto tutte quelle procedure per la localizzazione e la classificazione dei dati, così da scegliere le giuste misure di sicurezza per proteggerli.

L'esecuzione di ogni procedura dipende dagli standard ai quali ci si deve conformare e dall'infrastruttura che dovrà proteggere i dati. I passi da seguire per la classificazione dei dati sono generalmente:

• Fare una stima del rischio. La stima del rischio permette di determinare la sensibilità dei dati e identifica in che modo i sistemi di difesa a protezione della rete potrebbero essere violati da eventuali attacchi.
• Sviluppare politiche e standard di classificazione. Se creerete ulteriori dati in futuro, una policy di classificazione permetterà di semplificare l'intero processo per chi si dovrà occupare di questo compito, minimizzando allo stesso tempo gli errori.
• Categorizzare i dati. Con una valutazione del rischio e delle policy ben definite: categorizzate i vostri dati in base al loro livello di riservatezza, definite chi può accedervi e le eventuali sanzioni previste nel caso tali dati venissero divulgati pubblicamente.
• Identificare i dispositivi in cui vengono conservati i dati. Per poter adottare le opportune misure di sicurezza, è necessario innanzitutto sapere dove sono fisicamente conservati i vostri dati. Ciò vi permetterà di scegliere i sistemi adatti a proteggerli.
• Identificare e classificare i dati. Una volta identificati i dati, sarete in grado di classificarli. Esistono molti software di terze parti in grado di aiutarvi in questa operazione.
• Implementare meccanismi di controllo. Sarà necessario implementare sistemi che richiedano l'autenticazione e l'autorizzazione a qualsiasi utente o risorsa che necessiti di accedere ai dati. L'accesso ai dati dovrebbe seguire il principio del cosiddetto “need-to-know”, ossia in base alla necessità; ciò significa che si concederà l'accesso all'utente soltanto nel caso in cui i dati richiesti siano necessari per poter svolgere il proprio lavoro.
• Monitorare l'accesso e i dati. Monitorare i dati è un requisito richiesto dalle normative in tema di privacy dei dati. Senza il monitoraggio, i cybercriminali potrebbero andare avanti per mesi ad esfiltrare dati da una rete compromessa. Degli adeguati sistemi di monitoraggio saranno in grado di rilevare le anomalie e ridurre il tempo necessario per identificare, mitigare e risolvere eventuali falle nella rete aziendale.

Una delle fasi più complicate nella classificazione dei dati è la valutazione dei rischi. Gli standard di conformità regolano la maggior parte dei dati sensibili, imponendo alle aziende di aderire alle normative vigenti sulla conservazione dei dati all'interno di file e database.

Ecco alcuni esempi di come è possibile categorizzare i dati in base alla loro riservatezza.

• Molto sensibili. Supponete che la vostra azienda raccolga numeri di carte di credito dai clienti in fase di acquisto dei vostri prodotti o servizi. L'accesso a tali dati dovrà essere rigidamente controllato e monitorato. Inoltre, questi dati dovranno essere salvati o trasmessi in forma crittografata. Un eventuale data breach causerebbe un grave danno sia per l'azienda che per i clienti, perciò tali dati vanno classificati come molto sensibili e andrebbero applicati rigidi controlli di sicurezza.
• Mediamente sensibili. Per ognuno dei vostri fornitori avrete da qualche parte un contratto firmato che avete stipulato nel momento in cui è iniziato il vostro rapporto commerciale. Se tali dati venissero compromessi e divulgati pubblicamente, non arrecherebbero danni ai vostri clienti, ma restano comunque informazioni che rivelano dei dettagli riguardo alla vostra attività. Questo tipo di dati possono essere considerati mediamente sensibili.
• Poco sensibili. Dati normalmente destinati al pubblico possono essere considerati poco sensibili. Ad esempio i contenuti legati al marketing destinato al vostro sito non necessitano di rigorosi controlli dal momento che sono pubblicamente disponibili e, anzi, sono stati creati appositamente per essere divulgati.

Stabilire un livello di riservatezza per i dati, permette di orientare in che modo andranno processate e protette tali informazioni. Non basta sapere che i vostri dati sono importanti; per poterli proteggere al meglio è necessario effettuare la valutazione dei rischi ad essi associati. Il processo di classificazione dei dati aiuta a scoprire potenziali minacce e mettere in campo le misure di sicurezza più adatte a proteggere la vostra azienda.

Le direttive di conformità vi aiuteranno già a determinare i controlli di sicurezza più appropriati, ma assegnare livelli di riservatezza e categorizzare i dati, vi permetterà di definire le opportune regole di accesso da adottare per le informazioni critiche. In questo modo sarete in grado di monitorare i vostri dati per identificare tempestivamente eventuali data breach, e per essere conformi alle normative. In molti casi, le aziende si appoggiano a collaboratori esterni per la data classification al fine di massimizzare l'efficacia delle misure di sicurezza da adottare per difendere i propri dati.