Esplorare la classificazione dei dati
- 8 minuti
Il furto di dati sensibili, la relativa condivisione accidentale o esposizione in seguito a una violazione rappresenta un rischio importante per un'azienda. I fattori di rischio includono danni d'immagine, impatto finanziario e perdita di vantaggio competitivo. La protezione dei dati e delle informazioni che un'azienda gestisce è una priorità assoluta per tutte le organizzazioni. In alcuni casi, però può essere difficile sapere se le strategie adottate sono davvero efficaci, data la quantità di contenuti che vengono mantenuti.
Oltre al volume, i contenuti di un'organizzazione possono avere un'importanza variabile, da estremamente riservati e di impatto elevato a semplici e temporanei. Possono anche essere soggetti a vari requisiti di conformità alle normative. Può essere estremamente difficile capire a cosa dare priorità e dove applicare i controlli.
Le organizzazioni affrontano questi problemi implementando la classificazione dei dati. La classificazione dei dati è un termine specialistico usato nell'ambito della cybersecurity e della gestione del ciclo di vita dei dati. Descrive il processo di identificazione, categorizzazione e protezione del contenuto in base al livello di riservatezza o di importanza. Nella sua forma più semplice, la classificazione dei dati è un mezzo per proteggere i dati di un'organizzazione da divulgazione, alterazione o distruzione non autorizzate in base al loro livello di riservatezza o all'impatto.
Le organizzazioni classificano i dati in molti modi, ad esempio:
- Etichette di riservatezza
- Etichette di conservazione
- Tipi di informazioni sensibili
- Classificatori sottoponibili a training
Che cos'è un framework di classificazione dei dati?
Le organizzazioni spesso codificano un framework di classificazione dei dati (detto anche "criterio di classificazione dei dati") in una norma formale a livello aziendale. I framework di classificazione dei dati prevedono generalmente da tre o cinque livelli di classificazione. Questi livelli includono in genere tre elementi: un nome, una descrizione ed esempi reali.
Microsoft consiglia un massimo di cinque etichette padre di primo livello, ognuna con un massimo di cinque etichette secondarie (25 in totale) per mantenere gestibile l'interfaccia utente. L'interfaccia utente dispone solitamente i livelli in ordine crescente di riservatezza:
- Pubblico
- Interno
- Riservato
- Estremamente riservato
Esistono anche altre varianti dei nomi di livello, quali:
- Con limitazioni
- Senza restrizioni
- Protetto dal consumatore
Microsoft consiglia di usare nomi esplicativi per le etichette. Dovrebbero anche evidenziare chiaramente il livello di riservatezza relativo. Ad esempio, Riservato e Con limitazioni può lasciare in dubbio gli utenti su quale sia l'etichetta appropriata. Le etichette Riservato ed Estremamente riservato, invece, chiariscono meglio quale sia il contenuto più sensibile.
La tabella seguente mostra un esempio di un livello Estremamente riservato del framework di classificazione dei dati:
| Livello di classificazione | Descrizione | Esempi |
|---|---|---|
| Highly Confidential (Riservatezza elevata) | I dati estremamente riservati sono i tipi di informazioni più sensibili archiviati o gestiti dall'azienda e possono richiedere notifiche legali in caso di violazione o divulgazione di altro tipo. I dati con limitazioni richiedono il massimo livello di controllo e sicurezza. Le organizzazioni devono concedere l'accesso solo se strettamente necessario. |
- Informazioni personali sull'utente - Dati del titolare della carta - Informazioni sanitarie protette (PHI) - Dati del conto bancario |
Consiglio
Il framework di classificazione dei dati aziendali di Microsoft usava originariamente una categoria e un'etichetta denominata "Interno". Durante la fase pilota, tuttavia, si è notato che esistevano motivi legittimi per condividere alcuni documenti esternamente. Di conseguenza, l'etichetta "Interno" è stata sostituita da "Generale".
Un altro componente importante di un framework di classificazione dei dati è rappresentato dai controlli associati a ogni livello. I livelli di classificazione dei dati sono semplicemente etichette (o tag) che indicano il valore o la riservatezza del contenuto. Per proteggere il contenuto, i framework di classificazione dei dati definiscono i controlli che devono essere applicati per ogni livello di classificazione dei dati. Questi controlli possono includere requisiti correlati a:
- Tipo e posizione di archiviazione
- Crittografia
- Controllo di accesso
- Distruzione dei dati
- Prevenzione della perdita dei dati
- Divulgazione pubblica
- Registrazione e tracciamento dell'accesso
- Altri obiettivi di controllo, in base alle esigenze
I controlli di sicurezza di un'organizzazione variano in base al livello di classificazione dei dati. Ad esempio:
- Le misure di protezione definite nel framework di un'organizzazione possono aumentare in misura proporzionale alla sensibilità del contenuto.
- I requisiti di controllo dell'archiviazione dati possono variare a seconda del supporto usato e del livello di classificazione applicato a un determinato contenuto.
La tabella seguente mostra un esempio di controlli di classificazione dei dati per un tipo di archiviazione specifico.
| Tipo di archiviazione | Riservato | Interno | Senza restrizioni |
|---|---|---|---|
| Archivio rimovibile | Non consentito | Non consentito a meno che non sia crittografato | Nessun controllo richiesto |
Applicare correttamente il giusto livello di classificazione dei dati può essere un compito complesso in situazioni reali. E può risultare eccessivo per gli utenti finali. Il processo non termina dopo che un'organizzazione crea un criterio o uno standard che definisce i livelli obbligatori di classificazione dei dati. Anzi, è importante aiutare gli utenti finali ad applicare concretamente questo framework nel loro lavoro quotidiano. Qui entrano in gioco le regole o linee guida per la gestione della classificazione dei dati.
Le linee guida per la gestione della classificazione dei dati consentono agli utenti finali di ottenere indicazioni specifiche su come gestire in modo appropriato ogni livello di dati per i diversi supporti di archiviazione in tutto il loro ciclo di vita. Queste linee guida aiutano anche gli utenti finali ad applicare correttamente le regole nella pratica. Ad esempio, quando si condividono documenti, si inviano messaggi di posta elettronica o si collabora con piattaforme e organizzazioni diverse.
I clienti Microsoft indicano che circa il 50% di un progetto di protezione delle informazioni si snoda a livello aziendale anziché tecnico. Di conseguenza, la formazione degli utenti finali e la comunicazione sono fondamentali per il successo.
Creare un framework di classificazione dei dati ben progettato
Quando sviluppano, aggiornano o perfezionano i framework di classificazione dei dati, è bene che le organizzazioni tengano in considerazione queste procedure consigliate:
Non può pensare di passare da 0 a 100 in 1 giorno. È consigliabile seguire un approccio graduale. Le funzionalità critiche per l'organizzazione devono avere la massima priorità e devono essere mappate rispetto a una sequenza temporale. Si completa il primo passaggio, ci si assicura che produca il risultato sperato per poi passare alla fase successiva, applicando le lezioni apprese. È importante ricordare che la progettazione del framework di classificazione dei dati non elimina l'esposizione dell'organizzazione ai rischi. Si può quindi iniziare con pochi livelli di classificazione ed espandere la struttura in un secondo momento in base alle esigenze.
Non si scrive solo per professionisti della cybersecurity. I framework di classificazione dei dati sono destinati a un ampio pubblico. Può includere i normali membri del personale, i team legali e di conformità e il team IT. È importante scrivere definizioni chiare e facilmente comprensibili per i livelli di classificazione dei dati. Fornire esempi reali laddove possibile. Cercare di evitare i tecnicismi e valutare la creazione di un glossario per gli acronimi e i termini molto tecnici.
Implementare i framework di classificazione dei dati. Le organizzazioni non possono limitarsi a progettare framework di classificazione dei dati. Per avere successo, devono anche implementarli. Questo è particolarmente importante quando si definiscono i requisiti di controllo per ogni livello di classificazione dei dati. Assicurarsi di definire chiaramente i requisiti. È inoltre consigliabile prevedere e risolvere eventuali ambiguità che possono verificarsi durante l'implementazione. Ad esempio, se è presente un controllo che riguarda le informazioni personali dei clienti, assicurarsi di specificare esattamente il significato di quel controllo, come il numero di previdenza sociale o il numero di passaporto.
Andare a livello granulare solo se necessario. I framework di classificazione dei dati contengono in genere da 3 a 5 livelli di classificazione dei dati. Ma il fatto che si possano includere cinque livelli non significa che si debba farlo. Per decidere il numero di livelli di classificazione necessari, si devono considerare i seguenti criteri:
- Il settore e gli obblighi normativi associati (i settori altamente regolamentati tendono ad avere bisogno di più livelli di classificazione).
- Il carico di lavoro operativo richiesto per mantenere un framework più complesso.
- Gli utenti e la loro capacità di adeguarsi all'aumento della complessità e delle sfumature associato alla presenza di più livelli di classificazione.
- Esperienza utente e accessibilità quando si cerca di applicare la classificazione manuale in più tipi di dispositivo.
Coinvolgere le persone giuste. Avere uno stakeholder senior è fondamentale per il successo. Molti progetti faticano ad avviarsi o si prolungano più del previsto senza l'appoggio del senior management. I team IT sono in genere i proprietari dei framework di classificazione dei dati. Tuttavia, possono avere implicazioni legali, di conformità, di privacy e di gestione delle modifiche. Un'organizzazione deve assicurarsi che il framework creato consenta di proteggere la propria attività. A tal fine, deve coinvolgere gli stakeholder in materia di privacy e di diritto nello sviluppo dei suoi criteri. Ad esempio, il Chief Privacy Officer e l'Office of General Counsel della società. Se l'organizzazione dispone di una divisione Conformità, di professionisti della gestione del ciclo di vita dei dati o di un team di gestione dei record, anche questi possono offrire un input prezioso. In fase di implementazione del framework nell'azienda, anche il reparto Comunicazioni svolge un ruolo chiave per la messaggistica interna e l'adozione.
Bilanciare sicurezza e praticità. Un errore comune è quello di creare un framework di classificazione dei dati sicuro ma eccessivamente restrittivo. Sebbene le organizzazioni definiscano framework di questo tipo tenendo conto della sicurezza, spesso hanno difficoltà a implementarli. Se gli utenti devono seguire procedure complesse, rigide e lunghe per applicare il framework nella loro vita quotidiana, c'è sempre il rischio che non credano più nel suo valore. Quando si verifica questo scenario, gli utenti in genere smettono di seguire le procedure. Questo rischio esiste a tutti i livelli dell'organizzazione, compresi i dirigenti di livello esecutivo (C-suite). Un buon equilibrio tra sicurezza e praticità, insieme a strumenti facili da usare, porta di solito a un'adozione e a un utilizzo più ampi da parte degli utenti. Se ci sono delle lacune nel framework, non occorre aspettare che sia tutto perfetto per iniziare l'implementazione. È preferibile valutare il rischio o la lacuna, creare un piano di mitigazione e continuare a procedere. La protezione delle informazioni è un percorso. Non è qualcosa che si attiva da un giorno all'altro. Pianificare, implementare alcune funzionalità, verificare il successo e passare all'obiettivo successivo man mano che gli strumenti evolvono e gli utenti acquisiscono maturità ed esperienza.
Inoltre, occorre tenere presente che un framework di classificazione dei dati si occupa solo di ciò che l'organizzazione dovrebbe fare per proteggere i dati sensibili. I framework di classificazione dei dati di solito includono regole o linee guida per la gestione della classificazione dei dati che definiscono come mettere in atto questi criteri da una prospettiva tecnica e tecnologica.
Punti critici nella creazione di un framework di classificazione dei dati
Le attività di classificazione dei dati sono, per loro natura, di ampia portata. Riguardano quasi tutte le funzioni all'interno di un'azienda. A causa di questa ampiezza di ambito e della complessità della gestione dei contenuti negli ambienti digitali moderni, le aziende spesso hanno difficoltà a capire:
- Da dove iniziare.
- Come gestire un'implementazione corretta.
- Come misurare il progresso.
Le organizzazioni si trovano spesso di fronte a criticità comuni quando si occupano di:
- Progettare un framework di classificazione dei dati affidabile e facilmente comprensibile. In questo modo, le organizzazioni devono determinare i livelli di classificazione e i controlli di sicurezza associati.
- Sviluppare un piano di implementazione. Deve confermare la soluzione tecnologica appropriata, allineare il piano ai processi aziendali esistenti e identificare l'effetto sul personale.
- Configurare un framework di classificazione dei dati all'interno della soluzione tecnologica scelta.
- Affrontare eventuali lacune tra le capacità tecnologiche dello strumento e il framework stesso.
- Definire una struttura di governance. Questa struttura deve supervisionare la manutenzione e l’integrità continuativa delle attività di classificazione dei dati.
- Identificare specifici indicatori di prestazioni chiave (KPI) per monitorare e misurare i progressi.
- Aumentare la consapevolezza e la comprensione dei criteri di classificazione dei dati, del perché sono importanti e di come rispettarli.
- Conformarsi alle revisioni interne riguardanti la perdita di dati e i controlli di cybersecurity.
- Formare e coinvolgere gli utenti. Gli utenti devono diventare consapevoli della necessità di una corretta classificazione nel loro lavoro quotidiano. Devono anche imparare quando applicare le giuste misure di classificazione.
Governance e manutenzione
Dopo che un'organizzazione ha sviluppato e implementato il proprio framework di classificazione dei dati, la governance e la manutenzione continua sono fondamentali per il suo successo. Oltre a tenere traccia dei propri utenti che impiegano le etichette di riservatezza nella pratica, le organizzazioni devono aggiornare i propri requisiti di controllo in base all'evoluzione delle normative, alle pratiche leader in materia di cybersecurity e alla natura dei contenuti che gestiscono.
Le attività di governance e manutenzione possono includere:
- Creare un organo di governance dedicato alla classificazione dei dati o aggiungere una responsabilità di classificazione dei dati allo statuto di un organo di sicurezza delle informazioni esistente.
- Definire ruoli e responsabilità per gli utenti che supervisionano la classificazione dei dati.
- Stabilire KPI per monitorare e misurare i progressi.
- Seguire le principali procedure di cybersecurity e le modifiche normative.
- Sviluppare procedure operative standard. Queste procedure devono supportare e applicare un framework di classificazione dei dati.
Verifica delle conoscenze
Scegliere la risposta migliore per ognuna delle domande seguenti.