Per creare un inventario completo e preciso di dati, il primo passo che un’azienda deve compiere è classificare le informazioni in suo possesso. I dati (in tutte le loro diverse forme) rappresentano un bene prezioso e tangibile per ogni business e, pertanto, vanno tutelati con il giusto livello di protezione.
In quest’ottica, un unico standard uniforme in tutte le attività di un’impresa non rappresenta la soluzione ottimale: è opportuno applicare diversi livelli di sicurezza in base alla tipologia (e quindi al valore) delle informazioni da proteggere.
Il primo passo da compiere è quindi creare processi utili a classificare i propri dati e determinarne il valore: ci si può basare, per esempio, sul livello di sensibilità (in base al pericolo di perdita o divulgazione) o sull’importanza che il loro utilizzo riveste all’interno delle attività aziendali. Occorre anche valutare eventuali conformità normative o giuridiche relative a particolari tipologie di dati sensibili, come quelli legati alle carte di pagamento o alla salute dell’utente. Così come è importante considerare la necessità di proteggere i dati in caso di migrazione, come può capitare quando un utente migra da un sistema operativo a un altro.
Come si classificano i dati?
Esistono diversi parametri da utilizzare per classificare i dati. Il criterio più comunemente usato nel settore privato, per esempio, è il valore delle informazioni. Più un’informazione è preziosa per un’azienda, più ha bisogno di essere protetta. Anche il fattore temporale è da tenere in considerazione e permette di valutare il declassamento di determinati dati: l’importanza di un’informazione, infatti, può diminuire nel tempo. Un altro criterio utile a valutare il declassamento è il ciclo ti vita: i dati di un’azienda possono diventare obsoleti per una moltitudine di ragioni, dall’aggiornamento con nuove informazioni a modifiche sostanziali interne all’azienda. In generale, nella comunicazione intraziendale e interaziendale è necessario tenere conto di tutta una serie di variabili per ottimizzare la gestione dei dati. Non a caso si parla sempre più spesso di Big Data Management, dove gli esperti sottolineano la necessità di ottimizzare una volta per tutte la governance, predisponendo non soltanto una risoluzione gestionale incentrata sui dati strutturati, ma anche e una volta per tutte quella dei dati semistrutturati e destrutturati. Perché non si può fare smart working senza una buona gestione del dato.
Realizzare un sistema di classificazione in 8 passi
Dopo aver fatto tutte le dovute considerazioni, occorre passare all’azione e mettere in atto un concreto sistema di classificazione. I passi per realizzarlo, in ordine di priorità, possono essere:
- Identificare un amministratore
- Determinare il modo in cui le informazioni saranno classificate ed etichettate
- Classificare i dati in base al proprietario, con revisione da parte di un supervisore
- Segnalare eventuali eccezioni alla policy di classificazione
- Specificare i controlli applicati a ciascun livello di classificazione
- Chiarire le procedure di declassificazione
- Segnalare il trasferimento della custodia dei dati a un altro soggetto
- Creare un programma di sensibilizzazione aziendale relativo al controllo delle classificazioni