Le più recenti normative stabiliscono che la classificazione dei dati deve essere considerata come un elemento del processo di valutazione di rischio dell’impresa. Ma perché viene attribuito alla classificazione un ruolo tanto rilevante?
Essenzialmente perché è fondamentale differenziare le informazioni a basso valore da quelle ad alto valore, definendo gli adeguati controlli di sicurezza per ciascun tipo di dati.
Le informazioni ad alto valore richiedono ovviamente meccanismi più rigorosi di protezione.
In poche parole, il processo di classificazione dei dati dovrebbe includere:
- Inventario degli asset software e hardware
- Topologia della rete
- Processi di business e mappatura del flusso dati
- Mappatura delle operazioni tecnologiche in funzione degli obiettivi strategici aziendali
Da notare come i punti due e tre si occupino specificamente del ruolo della sicurezza e del business quali supporto del business stesso. Detto ciò, come possiamo valutare i processi di business e, di conseguenza, classificare un documento? Questo è quanto ci riproponiamo di scoprire nel seguente articolo.
Per iniziare
In primo luogo è essenziale che abbiate ben chiare le caratteristiche del business, sia che si tratti di semiconduttori, di automobili o di prodotti farmaceutici. All’interno di un progetto di classificazione, questo aspetto rappresenta il punto di partenza. Successivamente, recatevi dai responsabili delle business unit nella vostra azienda e chiedete il loro aiuto al fine di stabilire quali reputino siano i più importanti asset della proprietà intellettuale.
Una volta individuati tali asset, valutate quali sono i processi di business che li generano e sviluppate un semplice organigramma per la loro creazione, distribuzione e conservazione.
Elementi chiave della classificazione di dati
Partiamo dalle basi: cos’è classificazione di dati? La risposta è solo in apparenza semplice perché dipende da un certo numero di fattori. Il primo di questi fattori riguarda la definizione di chi ha accesso ai dati e la definizione dei ruoli delle persone che possono accedere a tali dati.
Per esempio, un documento che riguarda una fusione aziendale o un’acquisizione ha un valore altamente strategico per l’azienda che le regole di accesso ai dati dovrebbero assicurare che soltanto un ristretto numero di quadri possa visualizzare detto documento.
Uno schema della rete, che viene visto da centinaia di persone, probabilmente dovrebbe essere considerato un’informazione riservata, ma con pochissimi controlli. Alcuni documenti possono avere un intrinseco valore monetario, come per esempio una ricerca che contiene una nuova scoperta di innovazione. Molte persone possono accedervi, ma ha un valore monetario dovuto al suo potenziale di vendita. Una volta definiti questi ruoli di accesso, si traducono in linee guida su come rendere sicuri i dati.
Il componente successivo della classificazione è la durata delle conservazione dei dati. Le policy di retention sono basate sulle caratteristiche del settore industriale a cui l’impresa appartiene, associate alle sue regole e ai suoi requisiti legali. Collegata alla retention è la distruzione dei dati quando non sono più necessari e ai metodi di distruzione impiegati per disporre dei dati.
Alcune aziende hanno adottato una policy di default per la distruzione di tutti i media di carta ed elettronici, compresi gli hard drive. Questa policy è basata sui costi collegati, sulla sensibilità dei dati, sulla disponibilità del fornitore incaricato della distruzione e su un profilo di rischio del business.
È inoltre importante determinare se i dati hanno bisogno della crittografia durante il processo di classificazione. Sono i proprietari delle informazioni a dover decidere se i loro dati hanno bisogno della crittografia, sia per la protezione della proprietà intellettuale sia per far fronte alle normative vigenti.
Collegato con la protezione dei dati è il loro uso. Questa funzione della classificazione definisce se i dati sono per un uso interno selezionato, per un ampio uso interno, oppure possono essere resi pubblici.
Definizione delle classificazioni dei dati
Un altro elemento chiave del processo dei classificazione di dati è quello di definire i vari livelli di classificazione di cui necessitate. Non ci sono regole specifiche sui nomi e sui tipi di classificazione. Tuttavia le scelte dovrebbero portare a definire una suddivisione sufficientemente chiara in modo che sia facile decidere come classificare i dati una volta che il processo è in corso.
Alcune aziende definiscono i dati in funzione dei processi di business, limitando l’accesso soltanto a coloro che partecipano a specifici processi. Nonostante questo generi un più ampio numero di classificazioni, è un processo molto legato a un business specifico. Oggi è disponibile una tecnologia che tiene conto della classificazione automatica delle informazioni sia basandosi su un sistema legato al processo di business sia di un sistema in stile militare
Chi decide cosa fare?
La maggior parte delle policy delle organizzazioni prevede che l’autore o il creatore dei contenuti sia colui che decide la più opportuna classificazione dei contenuti stessi. La policy aziendale di classificazione dei dati può fornire dei consigli, ma la definizione finale della classificazione è responsabilità del proprietario dei dati. Quest’ultimo è la persona più qualificata per prendere ogni decisione perché, lui o lei, è a conoscenza dell’importanza dei dati e del loro valore nell’organizzazione.
Inoltre, le imprese dovrebbero accertarsi che ogni repository di dati abbia un proprio supervisore, che tipicamente è un direttore, o almeno un dirigente, il quale ha un interesse nell’assicurare che i dati siano accuratamente resi sicuri. Il supervisore dovrebbe capire l’importanza e il valore delle informazioni per il business, così come le conseguenze di un’eventuale perdita di quei dati. Per questi motivi, in un’azienda ci possono essere diversi supervisori.
Tuttavia, convincere i supervisori ad accettare la responsabilità dei dati può risultare difficoltoso senza il coinvolgimento del top management nell’operazione di classificazione. Se è il gruppo che si occupa della sicurezza delle informazioni a nominare i supervisori senza che il management sia al corrente della cosa, raramente si ha successo. A cause delle sempre più stringenti normative interne, questa attività si è trasformata in un’operazione piuttosto semplice nella maggior parte delle aziende.
Conclusione
Classificare i dati è un processo che richiede tempo, molti passaggi e che ha rilevanti implicazioni legali e di business. Tutto comincia con la definizione della policy di classificazione e con la mappatura dei processi di business nei vostri dati. Una volta fatto ciò, la classificazione più adatta è decisa dall’autore o dal proprietario dei dati. La policy stabilisce per quanto tempo i dati vanno conservati, come vanno distrutti e attraverso quali mezzi.
A causa di queste complessità, la classificazione automatizzata dei dati è un settore in espansione all’interno del campo di sicurezza delle informazioni. Ciò sgrava dall’onere di modificare manualmente ciascun file, ma richiede ancora una conoscenza approfondita del business.