Le imprese e altre organizzazioni stanno iniziando a capire quali implicazioni comporta la violazioni di dati esistenti e futuri, della privacy e delle leggi che riguardano la sicurezza.
Come conseguenza, i security manager hanno avviato un crescente numero di progetti incentrati sulla tecnologia e volti a rispettare gli obblighi in materia di protezione dati.
E se specifiche disposizioni legislative e regolamenti possono differire per ogni particolare settore industriale, ciò che non cambia è che sono tutti focalizzati sulla protezione e il corretto trattamento dei dati.
Vanno quindi risolte due questioni fondamentali:
1. Dove sono i dati?
2. Come vengono utilizzati i dati?
Quando si affrontano le disposizioni legislative e i regolamenti, nonché gli standard internazionali di protezione dei dati e gli obblighi contrattuali nel rapporto con cliente o partner, rispondere a queste domande può aiutare le aziende a misurare il divario tra il punto in cui sono e quello dove invece dovrebbero essere.
Comprendere “dove sono i dati” e “come vengono utilizzati” aiuterà un’organizzazione a definire una base di partenza per capire dove i controlli non funzionano in modo efficace o forse non esistono neppure.
Rispondere a queste importanti domande può contribuire a individuare o prevenire le perdite di dati e l’accesso non autorizzato e la manipolazione delle informazioni, come pure il mancato rispetto di disposizioni legislative, dei regolamenti e degli obblighi contrattuali.
Analisi dei processi di business
Per rispondere a queste domande, provate a seguire i dati attraverso l’organizzazione ed esaminate la loro presenza nei processi di business.
Per esempio, prendete il processo di gestione degli ordini in qualsiasi organizzazione che abbia un rapporto diretto con i consumatori. Utilizzando dei questionari, si potrebbero chiedere al responsabile del processo di business informazioni più specifiche in relazione a elementi secondari di processo all’interno del ciclo di gestione, come la creazione e il mantenimento del profilo di un cliente (tra le informazioni personali potrebbero esserci nomi, indirizzi di casa e indirizzi di e-mail). Dopo un confronto sulla procedura specifica, è utile realizzare un diagramma del processo aziendale per documentare i risultati dell’incontro con il responsabile di divisione.
Dagli elementi di dati che identificano il cliente, è possibile valutare come è stato strutturato l’ordine delle informazioni. Continuando con l’esempio precedente, sentendo gli addetti al servizio clienti potete stabilire come vengono raccolte le informazioni sul comportamento di acquisto come parte del processo di gestione degli ordini. In tali attività, vengono aggiunti al profilo del cliente sia i dati strutturati, come la data di nascita del cliente, e i dati non strutturati, come i motivi di un acquisto specifico da parte del cliente.
Queste particolari informazioni, se aggregate, sono potenzialmente in grado di aumentare il livello di identificabilità della persona, a seconda delle disposizioni legali dell’area geografica in cui vengono raccolti i dati e dove essi risiedono.
Analisi dell’infrastruttura
Alla domanda “dove sono i dati?” si può anche rispondere mediante l’esame e la documentazione inerenti i vari elementi di dati dell’infrastruttura, compresi gli archivi dei file,i computer desktop e i database.
Assumendo che siano stati identificati gli elementi di dati in gioco – come nome, indirizzo e codice fiscale -, ci sono due metodi per determinare dove risiedono tali dati all’interno di un’organizzazione.
- In primo luogo, organizzate un incontro con i responsabili delle infrastrutture e le parti interessate, come gli amministratori dei database, gli amministratori di sistema e i gestori di rete. Queste sessioni di domande e risposte dovrebbero rivelare quali database e sistemi contengono gli elementi di dati, dimostrare come l’informazione si sposta da un sistema/database al successivo e spiegare quale identità tecnica e meccanismo di access management sono usati per proteggere tali elementi di dati. Allo stesso modo dell’analisi del processo di business, create un diagramma di flusso che documenti le informazioni raccolte.
- Il secondo e sempre più diffuso metodo fa capo alle tecnologie per l’individuazione automatica dei dati. Questi strumenti effettuano la scansione di una rete e di un database, analizzano le condivisioni dei file e i computer desktop, alla ricerca di specifici elementi di dati definiti da un utente. Alcuni prodotti sono anche in grado di costruire una mappa della rete, che mostra la posizione di tutti gli elementi dei dati interessati.
In conclusione
Rispondendo alle domande poste sopra, si accelera lo sviluppo di una strategia e di un programma per la protezione dati. Conoscere la posizione delle informazioni e il modo in cui sono gestite permette a un’organizzazione di identificare il proprio grado di conformità con le leggi, i regolamenti e/o gli obblighi contrattuali, che richiedono un’immediata e tattica risposta.