Sicurezza

I 5 passi per la protezione dei dati

 , , , , , ,

Data is the new oil” è una frase che si è diffusa a partire dal 2017, in seguito a un articolo dell’Economist. Nel 2021 che cosa è cambiato nella gestione e nel trattamento dei dati? Spieghiamolo con 5 facili passi per la protezione dei dati.

Se già prima della pandemia migliaia di dati viaggiavano online, durante e dopo il 2020 abbiamo assistito ad un aumento inimmaginabile del volume dei dati scambiati e soprattutto all’ampliamento dei confini di questi scambi, ben al di là del perimetro aziendale di sicurezza.

Abbiamo affrontato qui il tema della sicurezza degli scambi durante il lavoro da remoto, ora vogliano rivolgere la nostra attenzione ai dati.

Il punto di partenza deve essere una solida “cultura della sicurezza”, intesa come formazione e educazione dei dipendenti al valore dei dati.

A fronte di richieste crescenti di conformità, enti pubblici e aziende private devono farsi trovare preparate. Bisogna infatti considerare che non esiste solo il GDPR ma numerosi altri regolamenti che risultano vincolanti per svariati settori e attività, come per esempio il PCI DSS, che regola le transazioni digitali.

Le prime domande alle quali bisogna rispondere per impostare un piano di protezione efficace sono:

  1. Che cosa si possiede?
  2. Dove lo si custodisce?
  3. Perché lo si possiede?

Stabiliti questi primi punti i 5 passi per la protezione dei dati sono:

  1. Identificare
  2. Scoprire
  3. Classificare
  4. Proteggere
  5. Valutare
  1. Identificare

Bisogna capire di quali dati l’azienda è in possesso: possono essere dati pubblici, dati per soli usi interni oppure dati critici. Identificare i dati significa separare quello che è davvero importante per l’azienda dalle migliaia di dati non essenziali per l’attività. Ogni giorno in ogni ufficio vengono creati file, progetti e piani ma non tutti hanno la stessa importanza: sono dati non strutturati, affidati alla sensibilità del singolo. Una solida cultura di classificazione, un’educazione al trattamento dei dati permetterà all’azienda di gestire, per esempio, i cambi di personale senza impatto per la riservatezza dei dati.

2. Scoprire

Questo passaggio si concentra sul lavoro di ricerca dei dati da proteggere. Cosa è stato archiviato? Dove e da chi? È importante analizzare anche i dati storici, spesse volte nascosti all’attenzione. In questo momento si potrà fare formazione dell’utenza, coinvolgendo attivamente ogni reparto nell’analisi dei dati a disposizione. Server e archivi spesso contengono informazioni importanti però non si può proteggerle o utilizzarle perché nessuno sa che ci sono, aumentando così la vulnerabilità di tutta l’organizzazione.

3. Classificare

La fase di classificazione ha bisogno di un documento scritto, di una policy che venga distribuita a tutti gli interessati. È un passaggio fondamentale per creare la cultura della sicurezza: grazie ad un sistema di etichettatura e definizione dei dati sarà possibile utilizzarli secondo le regole. La creazione di gerarchie permetterà dei controlli più semplici perché non esistono solo dati “sensibili” ma anche dati di diversa importanza.

4. Proteggere

Il GDPR definisce come dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale

Qui sotto alcuni dei più semplici e comuni dati personale che ogni azienda si trova a gestire:

  • nome e cognome
  • indirizzo
  • indirizzo e-mail aziendale
  • numero della carta d’identità
  • localizzazione
  • indirizzo IP
  • dati sanitari

Se pensiamo poi al settore Risorse Umane di una qualsiasi azienda è facile immaginare che la mole di lavoro aumenti. Per la protezione si possono usare strumenti di DLP, che impediscano per esempio il caricamento di file in folder non protetti oppure la SIEM per identificare comportamenti anomali e controllare accessi infine ancora time-stamp e date di scadenza per eliminare i dati non più importanti. Solo così si potrà impostare una sicurezza basata sulle persone.

5. Valutazione

Se la valutazione della sicurezza all’interno è importante, quella per l’esterno è vitale. Bisogna misurare continuamente le proprie prestazioni sul campo della protezione, soprattutto per prepararsi al futuro. In uno scenario che cambia di continuo, dove sempre più sono le attività che diventano digitali, non è più possibile fermarsi. Il monitoraggio della propria “postura di sicurezza” deve essere flessibile e adeguabile alle nuove normative.

Avviso Titus per email

Titus è la soluzione di identificazione e classificazione dei dati che vi permette di creare, archiviare e condividere dati senza interrompere o rallentare le normali attività dei dipendenti. Compatibile con Office 365, G-suite e altre soluzioni in cloud, Titus automatizza i processi di protezione sfruttando algoritmi di intelligenza artificiale, sorvegliando le informazioni più riservate.

Chiamateci per una chiacchierata: valuteremo insieme la soluzione più adatta alle vostre esigenze: 02 8736 6438