Compliance normativa

Data classification: cos’è e a cosa serve

Permette di semplificare l’archiviazione, dunque la ricerca e il recupero dei dati. All’insegna della tutela di riservatezza, integrità e disponibilità dei dati. Ecco come

Pubblicato il 28 Ott 2022

Data classification: cos'è e a cosa serve

Sulla data classification si fonda ogni strategia di sicurezza sui dati. Essa infatti permette di comprendere quanti e quali siano i dati sensibili e con quale modalità di archiviazione, sia in locale che nel cloud, debbano essere memorizzati. In base al livello di rischio.

L’obiettivo è rispettare la normativa vigente (come assicurare la compliance al GDPR) e garantire l’efficacia operativa della protezione. Ecco come. 

Data classification: cos'è e a cosa serve

Cos’è la data classification

La data classification00 è un processo per organizzare i dati (strutturati e non), ordinarli ed archiviarli.

La classificazione dei dati è imparentata con il data clustering, ma la differenza consiste nel fatto che il clustering dei dati è descrittivo, mentre la classificazione dei dati è predittiva.

Inoltre è una componente cruciale di ogni programma di sicurezza e conformità ai regolamenti sulla tutela dei dati.

The Basics of Data Classification

The Basics of Data Classification

Guarda questo video su YouTube

A cosa serve

La data classification serve a facilitare l’archiviazione, dunque la ricerca e il recupero dei dati. Serve anche a garantire la tutela di riservatezza, integrità e disponibilità dei dati.

Suddivide i dati in insiemi preconfezionati che li rappresentano, al fine di proteggerli. Dunque, la data classification aiuta scegliere quali siano i controlli di sicurezza adeguati alla salvaguardia, secondo la classificazione con cui sono stati divisi i dati, soprattutto in presenza di big data.

La classificazione di un certo data set, in caso di modifica, permette un’analisi dei controlli di sicurezza per determinare se i controlli esistenti sono ancora in linea con la data classification. In caso di scoperta di divari nei security control, è necessaria una correzione tempestiva, commisurata con il livello di rischio presentato dal gap emerso

Permette anche di distinguere ed eliminare i dati non necessari, migliorare la manutenzione degli archivi digitali dei dati e, dunque, ridurne i costi di gestione.

Destinate alla Data classification, ci sono tecnologie che favoriscono altre soluzioni di data security, come quelle di Data loss prevention (DLP), di encryption e rights management.

La Data loss prevention impedisce la fuoriuscita fraudolenta di dati da email server, siti internet, Pc e device mobili. L’Email encryption e l’Enterprise rights management (ERM) sono invece soluzioni che monitorano l’utilizzo, la circolazione e la compartimentazione di documenti realizzati in un’azienda.

Data classification: cos'è e a cosa serve

Tipi di data classification

I tre tipi di data classification sono: classificazione basata sui contenuti (content-based classification); basata sul contesto (context-based classification); basata sugli utenti (User-based classification).

La classificazione dei dati rispecchia il livello di rischio informatico che l’organizzazione supporta nel caso in cui la riservatezza, l’integrità o la disponibilità subiscano una compromissione.

A compromettere privacy, integrità e disponibilità potrebbe essere un incidente informatico per dolo (causa di agenti esterni) o per colpa (causato da soggetti interni).

Un documento di policy dell’organizzazione deve includere gli obiettivi di protezione sui dati, esplicitando le proprie intenzioni, i target e l’impostazione alla protezione dei dati aziendali.

Ma le categorie di classificazioni dei dati sono quattro, in base alla classificazione dei dati. Ecco quali.

Data classification: cos'è e a cosa serve

Come si classificano i dati

I dati sono di tipo: pubblico, riservato, sensibile, personale. Ma in ambito aziendale, i sistemi di gestione della sicurezza delle informazioni suddividono la data classification in quattro categorie: pubblico, a uso interno, riservato, strettamente riservato.

In azienda i dati sensibili comprendono proprietà intellettuale e segreti commerciali. Con il GDPR, dati sensibili si riferiscono strettamente ai dati personali dell’individuo.

Per ogni tipologia di dato, e per ogni tipo di archivio digitale (file system, chiavetta Usb, disco, cloud), occorre determinare tre step: identificare le misure di sicurezza applicate e/o applicabili in base al livello di sensibilità dei dati; verificare le modalità di autorizzazione di accesso, modifica o eliminazione dei dati; valutare i rischi e l’impatto economico del danno aziendale rispetto a una violazione, un attacco di ransomware o altre minacce che possano avere un impatto sui dati.

È necessario effettuare revisioni periodiche dalla classificazione dei dati. L’obiettivo è assicurare che la classificazione dei dati rimanga ancora adeguata dopo un lasso di tempo. Nella rivalutazione bisogna mettere a confronto la categorizzazione dei dati sulla base delle modifiche, degli obblighi legali e di quelli contrattuali. Senza trascurare i cambiamenti nell’utilizzo dei dati o del loro valore per l’azienda.

La revisione delle classi dei dati e della loro riorganizzazione comportano anche una revisione dei controlli di sicurezza. Essi devono essere rivisti per individuare eventuali assenze di protezione e apporre correzioni, oppure ridurre i controlli se non sono più necessari.

Gli strumenti per assicurare la data classification devono presentare le seguenti capacità: estendere la ricerca (frasi, parole composte, termini multipli); indicizzare i dati sensibili; gestire la classificazione dei dati; gestire il processo di classificazione; estendere la copertura delle fonti di dati, spaziando dalle fonti di dati in cloud ai file system locali, dalle sorgenti di dati strutturati a quelli non strutturati.

Data classification: cos'è e a cosa serve

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 5