I dati di un’organizzazione sono una delle sue risorse più preziose e devono essere protetti di conseguenza. Poiché ci sono tanti modi in cui i dati di un’organizzazione potrebbero essere potenzialmente persi o compromessi, è necessario adottare un approccio multiforme per garantire il benessere dei propri dati. Ciò significa concentrarsi su tre aree chiave: protezione dei dati, sicurezza dei dati e riservatezza dei dati.
Data protection – data security – data privacy: quali specificità
Sebbene i termini siano talvolta usati in modo intercambiabile, ci sono molte differenze fondamentali tra protezione dei dati, sicurezza dei dati e riservatezza dei dati.
Data protection
La data protection è il processo di salvaguardia di informazioni importanti da danneggiamento, compromissione o perdita ed è incentrata sul backup e sul ripristino, sebbene siano disponibili numerosi strumenti specifici per la protezione dei dati. In genere, un’organizzazione designerà un responsabile della protezione dei dati che è responsabile dell’identificazione di quelli che devono essere protetti e della progettazione di una serie di criteri per garantire che i dati possano essere ripristinati nel caso in cui vengano eliminati, sovrascritti o danneggiati.
Oltre a garantire il backup dei dati di un’organizzazione, le politiche di protezione dei dati proteggono anche i dati in un modo che siano in linea con gli accordi sul livello di servizio dell’organizzazione, in particolare per quanto riguarda gli obiettivi del punto di ripristino (RPO) e gli obiettivi del tempo di ripristino (RTO).
L’RPO è una metrica che fa riferimento alla frequenza con cui vengono creati i backup. La frequenza di backup determina la quantità di dati che potrebbero essere potenzialmente persi in un evento di perdita di dati. Se un’organizzazione ha un RPO di quattro ore, l’organizzazione potrebbe potenzialmente perdere fino a quattro ore di dati perché tutti i dati che sono stati creati dopo il backup più recente potrebbero potenzialmente andare persi.
L’RTO è una metrica del tempo necessario per ripristinare un backup. Le organizzazioni definiscono un RTO in base al tempo che possono permettersi affinché i sistemi critici non siano disponibili durante un’operazione di ripristino.
Data security
La sicurezza dei dati è la difesa delle informazioni digitali contro minacce interne ed esterne, dannose e accidentali. Sebbene la sicurezza dei dati si concentri specificamente sulla protezione dei dati, incorpora anche la sicurezza dell’infrastruttura: è difficile proteggere adeguatamente i dati se l’infrastruttura sottostante non è sicura.
Le organizzazioni hanno adottato innumerevoli misure di sicurezza e strumenti di protezione dei dati per garantire la sicurezza dei dati. Uno di questi esempi è l’autenticazione a più fattori (MFA), che utilizza almeno due diversi meccanismi per verificare l’identità di un utente prima di concedere l’accesso ai dati. Ad esempio, un sistema MFA potrebbe utilizzare un nome utente e una password tradizionali combinati con un codice che viene inviato allo smartphone dell’utente tramite messaggio di testo.
Data privacy
La privacy dei dati, chiamata anche privacy delle informazioni, è quando un’organizzazione o un individuo deve determinare quali dati in un sistema informatico possono essere condivisi con terze parti.
Ci sono due aspetti principali della data privacy:
- il primo è il controllo degli accessi: una parte importante per garantire la privacy dei dati è determinare chi dovrebbe avere accesso autorizzato ai dati e chi no.
- il secondo aspetto della riservatezza dei dati implica la messa in atto di meccanismi che impediscano l’accesso non autorizzato ai dati. La crittografia dei dati impedisce che i dati vengano letti da chiunque non abbia accesso autorizzato. Esistono anche varie funzionalità di prevenzione della perdita di dati progettate per impedire l’accesso non autorizzato, garantendo in tal modo la privacy dei dati. Tale meccanismo potrebbe essere utilizzato per impedire a un utente di inoltrare un messaggio di posta elettronica contenente informazioni sensibili.
Le differenze chiave
Sebbene esista un certo grado di sovrapposizione tra protezione dei dati, sicurezza dei dati e riservatezza dei dati, ci sono differenze fondamentali tra i tre.
Data protection vs data security
La data protection è molto diversa dalla data security. La seconda è progettata per contrastare un attacco dannoso contro i dati di un’organizzazione e altre risorse IT, mentre la prima è progettata per garantire che i dati possano essere ripristinati se necessario.
La data security viene solitamente implementata attraverso una strategia di difesa in profondità, il che significa che se un utente malintenzionato infrange una delle difese dell’organizzazione, esistono altre barriere per impedire l’accesso ai dati. La data protection può essere considerata l’ultima linea di difesa in questa strategia. Se un attacco ransomware dovesse crittografare con successo i dati di un’organizzazione, è possibile utilizzare un’applicazione di backup per recuperare dall’attacco e recuperare tutti i dati dell’organizzazione.
Data security vs data privacy
Esiste un forte grado di sovrapposizione tra privacy e sicurezza dei dati. Ad esempio, la crittografia aiuta a garantire la privacy dei dati, ma potrebbe anche essere una sicurezza dei dati tool.
La principale differenza tra sicurezza e riservatezza dei dati è che la privacy consiste nel garantire che solo coloro che sono autorizzati ad accedere ai dati possano farlo. La data security riguarda più la protezione da minacce dannose. Se i dati sono crittografati, tali dati sono privati, ma non necessariamente protetti. La crittografia da sola non è sufficiente per impedire a un utente malintenzionato di eliminare i dati o di utilizzare un algoritmo di crittografia diverso per rendere i dati illeggibili.
Data privacy vs data protection
La privacy e la protezione dei dati sono due cose molto diverse. La data privacy consiste nel proteggere i dati da accessi non autorizzati, mentre la data protection implica assicurarsi che un’organizzazione abbia un modo per ripristinare i propri dati a seguito di un evento di perdita di dati.
Nonostante queste differenze, la privacy e la protezione dei dati vengono utilizzate insieme. I nastri di backup sono comunemente crittografati per impedire l’accesso non autorizzato ai dati archiviati sul nastro.
Somiglianze e sovrapposizioni
Come notato in precedenza, esiste un notevole grado di sovrapposizione tra protezione dei dati, sicurezza dei dati e riservatezza dei dati. Ciò è particolarmente vero per quanto riguarda la conformità normativa.
Conformità / normative
Regolamenti come HIPAA, GDPR e Payment Card Industry Data Security Standard cercano di proteggere i dati e di impedire la divulgazione non autorizzata dei dati combinando protezione dei dati, sicurezza dei dati e privacy dei dati in una strategia di gestione dei dati completa.
Il GDPR è un insieme di leggi sulla privacy dei dati emanate dall’UE per garantire la privacy dei consumatori. Queste leggi costringono le organizzazioni a divulgare i loro sforzi di raccolta dei dati e aiutano a garantire la privacy dei consumatori dando ai consumatori il diritto di determinare come possono essere utilizzati i loro dati, imponendo anche sanzioni alle organizzazioni per violazioni dei dati.
Ovviamente, il GDPR non è l’unico regolamento sulla protezione dei dati. Negli Stati Uniti, gli operatori sanitari sono soggetti alle normative HIPAA, che sono anche progettate per garantire la sicurezza e la privacy dei dati sanitari identificabili personalmente.
GDPR, HIPAA e regolamenti simili stabiliscono standard sulla privacy dei dati, delineando i requisiti che le organizzazioni devono mettere in atto per garantire la protezione e la sicurezza dei dati.
Tokenizzazione
Regolamenti come GDPR e HIPAA si concentrano fortemente sulla garanzia della privacy dei dati di identificazione personale. Un modo in cui le organizzazioni si proteggono, contribuendo anche a garantire la privacy dei consumatori, è utilizzando la tokenizzazione.
La tokenizzazione comporta la rimozione di informazioni di identificazione personale dai dati e la sostituzione di tali informazioni con un token di dati. Questo token è solitamente un numero o una stringa casuale di caratteri e serve a separare i dati dal suo oggetto. In questo modo, se i dati fossero trapelati, non ci sarebbe un modo semplice per il destinatario di quei dati di associare un set di dati a un singolo consumatore.
L’approccio di IBM a data protection, security e privacy
Qualche mese fa, IBM ha annunciato di avere integrato funzionalità di data security nel proprio IBM Cloud Pak for Security. Costruita sulla piattaforma Red Hat OpenShift, IBM Cloud Pak for Security è una suite integrata di strumenti e processi di gestione delle minacce che include una piattaforma SIEM (security information and event monitoring), feed di intelligence sulle minacce, analisi del comportamento degli utenti basata sull’intelligenza artificiale ( AI), una piattaforma SOAR (security orchestration, automation and response) e ora un hub per la sicurezza dei dati basato sugli strumenti IBM Guardium esistenti per la protezione dei database.
La soluzione per la protezione dei dati proposta da IBM si articola in 3 parti: Guardium Data Protection, Guardium Insights e Guardium Encryption Portfolio.
Si tratta di soluzioni che: supportano gli utenti nel controllare tutte le attività dei dati tra i vari database, repository di big data, file, distribuzioni cloud, ambienti mainframe; inoltre, consentono la visione di insight chiave sfruttando strumenti di analytics cognitiva e velocizzano le attività attinenti alle procedure di compliance con report e flussi di lavoro precostruiti per GDPR, CCPA, HIPPA, PCI-DSS, SOX e altri.
- IBM Security Guardium Data Protection consente di rilevare e classificare i dati sensibili, tracciare l’accesso, analizzare il rischio, identificare le possibili minacce sia interne sia esterne e semplificare la realizzazione di reporting e auditing condivisibili anche con tool esterni e necessari per essere conformi alle indicazioni legislative sopra riportate.
- IBM Security Guardium Insights, lavorando su Red Hat OpenShiftattinge a varie fonti di dati e perciò migliora la visibilità sulle minacce più nascoste; è in grado di conservare per anni i dati ottenuti e, dotato di algoritmi di machine learning, ha la capacità di compiere analisi approfondite per individuare anomalie.
- IBM Security Guardium Encryption Portfolio sono resi disponibili: avanzati modelli di cifratura per proteggere file, database e container in ambienti ibridi e multicloud; funzionalità utili per il controllo degli accessi ai processi e la multifactor authentication; inoltre, è offerta la possibilità di gestire centralmente le chiavi di cifratura, in modo da diminuire lo sforzo amministrativo legato a questo genere di attività e poter essere certi di risultare conformi alle norme che stabiliscono quali dati devono essere cifrati e chi deve conservare le chiavi di cifratura stesse.
A corredo di tutto questo, i servizi professionali offerti dagli esperti IBM concorrono a innalzare il livello di maturità nell’ambito della sicurezza dei dati sfruttando metodi consolidati e suggerendo best practice.