Sulla data classification si fonda ogni strategia di sicurezza sui dati. Essa infatti permette di comprendere quanti e quali siano i dati sensibili e con quale modalità di archiviazione, sia in locale che nel cloud, debbano essere memorizzati. In base al livello di rischio.
L’obiettivo è rispettare la normativa vigente (come assicurare la compliance al GDPR) e garantire l’efficacia operativa della protezione. Ecco come.
Cos’è la data classification
La data classification00 è un processo per organizzare i dati (strutturati e non), ordinarli ed archiviarli.
La classificazione dei dati è imparentata con il data clustering, ma la differenza consiste nel fatto che il clustering dei dati è descrittivo, mentre la classificazione dei dati è predittiva.
Inoltre è una componente cruciale di ogni programma di sicurezza e conformità ai regolamenti sulla tutela dei dati.
A cosa serve
La data classification serve a facilitare l’archiviazione, dunque la ricerca e il recupero dei dati. Serve anche a garantire la tutela di riservatezza, integrità e disponibilità dei dati.
Suddivide i dati in insiemi preconfezionati che li rappresentano, al fine di proteggerli. Dunque, la data classification aiuta scegliere quali siano i controlli di sicurezza adeguati alla salvaguardia, secondo la classificazione con cui sono stati divisi i dati, soprattutto in presenza di big data.
La classificazione di un certo data set, in caso di modifica, permette un’analisi dei controlli di sicurezza per determinare se i controlli esistenti sono ancora in linea con la data classification. In caso di scoperta di divari nei security control, è necessaria una correzione tempestiva, commisurata con il livello di rischio presentato dal gap emerso
Permette anche di distinguere ed eliminare i dati non necessari, migliorare la manutenzione degli archivi digitali dei dati e, dunque, ridurne i costi di gestione.
Destinate alla Data classification, ci sono tecnologie che favoriscono altre soluzioni di data security, come quelle di Data loss prevention (DLP), di encryption e rights management.
La Data loss prevention impedisce la fuoriuscita fraudolenta di dati da email server, siti internet, Pc e device mobili. L’Email encryption e l’Enterprise rights management (ERM) sono invece soluzioni che monitorano l’utilizzo, la circolazione e la compartimentazione di documenti realizzati in un’azienda.
Tipi di data classification
I tre tipi di data classification sono: classificazione basata sui contenuti (content-based classification); basata sul contesto (context-based classification); basata sugli utenti (User-based classification).
La classificazione dei dati rispecchia il livello di rischio informatico che l’organizzazione supporta nel caso in cui la riservatezza, l’integrità o la disponibilità subiscano una compromissione.
A compromettere privacy, integrità e disponibilità potrebbe essere un incidente informatico per dolo (causa di agenti esterni) o per colpa (causato da soggetti interni).
Un documento di policy dell’organizzazione deve includere gli obiettivi di protezione sui dati, esplicitando le proprie intenzioni, i target e l’impostazione alla protezione dei dati aziendali.
Ma le categorie di classificazioni dei dati sono quattro, in base alla classificazione dei dati. Ecco quali.
Come si classificano i dati
I dati sono di tipo: pubblico, riservato, sensibile, personale. Ma in ambito aziendale, i sistemi di gestione della sicurezza delle informazioni suddividono la data classification in quattro categorie: pubblico, a uso interno, riservato, strettamente riservato.
In azienda i dati sensibili comprendono proprietà intellettuale e segreti commerciali. Con il GDPR, dati sensibili si riferiscono strettamente ai dati personali dell’individuo.
Per ogni tipologia di dato, e per ogni tipo di archivio digitale (file system, chiavetta Usb, disco, cloud), occorre determinare tre step: identificare le misure di sicurezza applicate e/o applicabili in base al livello di sensibilità dei dati; verificare le modalità di autorizzazione di accesso, modifica o eliminazione dei dati; valutare i rischi e l’impatto economico del danno aziendale rispetto a una violazione, un attacco di ransomware o altre minacce che possano avere un impatto sui dati.
È necessario effettuare revisioni periodiche dalla classificazione dei dati. L’obiettivo è assicurare che la classificazione dei dati rimanga ancora adeguata dopo un lasso di tempo. Nella rivalutazione bisogna mettere a confronto la categorizzazione dei dati sulla base delle modifiche, degli obblighi legali e di quelli contrattuali. Senza trascurare i cambiamenti nell’utilizzo dei dati o del loro valore per l’azienda.
La revisione delle classi dei dati e della loro riorganizzazione comportano anche una revisione dei controlli di sicurezza. Essi devono essere rivisti per individuare eventuali assenze di protezione e apporre correzioni, oppure ridurre i controlli se non sono più necessari.
Gli strumenti per assicurare la data classification devono presentare le seguenti capacità: estendere la ricerca (frasi, parole composte, termini multipli); indicizzare i dati sensibili; gestire la classificazione dei dati; gestire il processo di classificazione; estendere la copertura delle fonti di dati, spaziando dalle fonti di dati in cloud ai file system locali, dalle sorgenti di dati strutturati a quelli non strutturati.