Data Loss Prevention, ovvero DLP. Prevenire la perdita di dati ha un significato molto più profondo presupponendo un governo dei dati forte e chiaro. Un buon programma di DLP dipende da controlli eseguiti tramite determinate tecnologie come, ad esempio, un software di protezione dei dati, o controlli più specifici fatti dai dipendenti. Affidarsi esclusivamente ai controlli tecnici, infatti, serve a poco se i dipendenti di un’azienda non sanno come maneggiare le informazioni sensibili che si trovano a dover gestire.
Una politica di classificazione dei dati è un metodo per garantire che le informazioni sensibili vengano gestite in funzione del rischio che rappresentano per un’azienda. Tutte le informazioni sensibili deveno essere classificate a seconda di un livello di rischio che determini in modo univoco i metodi e i mezzi consentiti per la manipolazione, il livello di crittografia da utilizzare e i requisiti di storage e di trasmissione di tali dati.
Come classificare meglio i dati
Nel mondo business sono comuni tre livelli di classificazione del rischio da imporre alle informazioni sensibili: pubblico, solo per uso commerciale e riservato
Classificazione pubblica
L’etichetta di classificazione pubblica si applica alle informazioni che sono disponibili al pubblico e che sono destinate ad essere distribuite al di fuori dell’azienda. Queste informazioni posso essere divulgate liberamente senza il rischio di subire alcun tipo di danno. Un esempio di queste informazioni sono i comunicati stampa, gli annunci di ricerca di personale e gli opuscoli per la vendita dei prodotti aziendali.
Dati solo per uso commerciale
L’etichetta di classificazione solo per uso commerciale, si adotta per le informazioni che di norma sono utilizzate nelle attività di business, e la divulgazione non autorizzata la modifica o la distruzione non dovrebbero danneggiare seriamente l’azienda, i clienti, i partner commerciali o i dipendenti. Un esempio di queste informazioni che sono utilizzate nelle attività di routine dell’azienda sono gli elenchi degli interni telefonici dei dipendenti o le direttive che riguardano la politica interna di un’azienda.
Dati riservati
L’etichetta di classificazione riservato è da utilizzare su tutte quelle informazioni che riguardano i processi aziendali sensibili, la cui divulgazione non autorizzata, la modifica o la distruzione, possano influire negativamente su un’azienda, i suoi clienti, i dipendenti o i partner commerciali. Esempi di dati sensibili comprendono la proprietà intellettuale, le trattative contrattuali, la maggior parte delle questioni legate al personale dipendente, i dati personali, dati sanitari protetti, numeri di conti bancari e informazioni sulla carte di pagamento di clienti e dipendenti.
Dati segreti
Alcune aziende aggiungono un ulteriore livello di classificazione, utilizzando segreto o altamente confidenziale per etichettare i processi di business e le informazioni estremamente delicate. Questo costituisce una barriera alla divulgazione non autorizzata, alla modifica o alla possibile distruzione di quei dati che potrebbero danneggiare seriamente l’organizzazione, i suoi clienti, dipendenti o partner commerciali. Esempi di queste informazioni classificate come segrete sono spesso utilizzate dalle organizzazioni sanitarie a riguardo delle cartelle cliniche relative alla salute mentale, alle malattie sessualmente trasmissibili, il test HIV e all’abuso di sostanze stupefacenti. Esempi di altre aziende che utilizzano la classificazione segreto sono quelle che hanno documenti per fusioni societarie, piani strategici e contenziosi.
Per classificare è necessario saper distinguere
Può essere molto utile, per un’azienda, fare le dovute distinzioni tra i dati sensibili dei clienti e dei dipendenti rispetto alle informazioni sensibili che si utilizzano solo per i processi di business aziendali. Nel primo caso si potranno etichettare le informazioni come personali riservate mentre nel secondo caso queste informazioni possono essere etichettate come commerciali riservate. Per questo motivo, invece di sviluppare una rigida e unica politica della classificazione dei dati, è buona cosa spezzettare in più livelli le informazioni, decidendo per ognuna anche quali procedure attuare per il trattamento e la divulgazione a seconda del livello di rischio che hanno per l’azienda. Ulteriori indicazioni di riferimento sulle best practice del data management vengono dall’International Organization for Standardization (ISO) e l’International Electrotechnical Commission (IEC) hanno pubblicato il documento ISO/IEC 27002:2013 8.2.1 che frornisce ulteriori indicazioni per la gestione delle informazioni sensibili. Anche la NIST ha pubblicato lo special NIST 800-60 volumi 1 and 2, e la Guide for Mapping Types of Information and Information Systems to Security Categories.