La Data Classification come chiave per un efficace approccio alla Cybersecurity

Le informazioni e i dati aziendali rappresentano il vero motore del business: per questo motivo devono ricevere un adeguato livello di protezione in linea sia con la loro importanza per l’azienda sia con la criticità in caso di divulgazione, modifica non autorizzata o mancata disponibilità.

A tal fine esistono tipologie di strumenti specifici per la protezione del dato, come gli strumenti di data governance e di data loss prevention. L’implementazione all’interno delle aziende di questi strumenti, molto potenti, presuppone però sempre una consapevolezza su quali siano i dati critici, dove siano collocati, quali flussi seguano all’interno dei processi aziendali.

L’adozione di soluzioni e strumenti per la protezione del dato dovrebbe quindi avvenire solamente dopo che l’azienda ha adeguatamente:

1. Classificato le informazioni critiche - Data Classification
2. Etichettato le informazioni secondo lo schema di classificazione stabilito - Labelling
3. Stabilito i requisiti di sicurezza delle informazioni in base al livello di classificazione assegnato - Security Requirements

Un’adozione di strumenti di protezione del dato senza un adeguato processo di data classification, labeling e security requirements rischierebbe infatti di produrre da un lato troppi falsi positivi o, all’opposto, non rilevare violazioni della sicurezza dei dati.

L’importanza di questo processo è validato anche dalla compliance a standard e da framework per la valutazione di controlli di sicurezza, come la ISO/IEC 27001, il NIST SP 800-53 oppure i CIS Critical Security Controls, che l’azienda ha all’occorrenza deciso di adottare.

Il Team di Information Security, Governance&Compliance Advisory di Lutech implementa progetti di Data Classification per aziende di ogni settore. Analizzando il grado di maturità nella gestione dell'information security, Lutech è in grado di definire un piano di misure organizzative, tecnologiche e legali integrate in un sistema avanzato di sicurezza delle informazioni operativo grazie alle migliori tecnologie di mercato.

Contatta il Team Advisory

Quali sono gli step che un’azienda deve seguire per implementare il processo di Data Classification, labelling, security requirements in maniera corretta ed efficace?

Valutare l’impatto sul business: i parametri di valutazione del valore delle informazioni

La prima fase è quella nella quale vengono stabiliti i parametri di valutazione del valore delle informazioni, in termini di impatto sul business rispetto ad eventuali perdite di riservatezza, integrità e disponibilità.

Tale valutazione può essere effettuata in termini quantitativi, ovvero attraverso l’indicazione di valori economici, oppure in termini qualitativi, ovvero rispetto a scale di valori. Per semplificare la valutazione e renderla il più possibile ripetibile è bene descrivere accuratamente i possibili valori assunti dai parametri di valutazione e anche scomporre gli impatti su più direttrici, come ad esempio:

• impatto operativo
• impatto legale (Regulatory & Compliance)
• impatto reputazionale
• impatto finanziario

Altri impatti di valutazione possono essere costituiti da eventuali requisiti normativi a cui l’azienda deve sottostare: esempi in tal senso sono il Reg. UE 2016/679 (GDPR) e il D.lgs 231/2001, che disciplina la responsabilità amministrativa degli enti.

La seguente tabella mostra un possibile esempio di parametri qualitativi per la valutazione degli impatti in caso di compromissione della riservatezza.

Stabiliti i parametri di valutazione, si procede al censimento dei dati e delle informazioni critiche, attraverso questionari e/o interviste rivolti ai responsabili e referenti delle varie aree aziendali.

Punto cruciale di questa fase è la valutazione del valore di dati ed informazioni di competenza per ogni area, partendo dall’individuazione e descrizione dei processi gestiti dall’area aziendale specifica, in modo che l’intervistato individui i dati cruciali di propria competenza.

Durante le interviste vengono raccolte maggiori informazioni possibili anche in termini di formati, repository, flussi dei dati previsti dal processo, anche con integrazioni da parte dell’IT aziendale.

Parallelamente o successivamente al censimento dei dati, è necessario definire delle etichette che rappresentino i diversi livelli di criticità di dati e informazioni, le caratteristiche dei dati ai quali saranno assegnate tali etichette e i requisiti di sicurezza di massima.

Al termine del processo tali etichette andranno riportate sulle versioni sia elettroniche che cartacee di tutti i documenti in cui siano presenti dati con tale criticità.

La tabella seguente mostra un possibile esempio di definizione delle etichette con esempi presi dall’ambito IT:

Il criterio per l’associazione di un’etichetta ad una determinata categoria di dati o informazioni tiene conto del loro valore così come concordato dai business owner, sulla base dei parametri di valutazione degli impatti stabiliti precedentemente.

Un possibile criterio di associazione tra label e categorie di dati:

A seconda del valore assegnato ad ogni parametro di valutazione, la tabella contiene un’etichetta; l’etichetta finale potrà essere quella di massima cautela fra tutte quelle ottenute sui vari parametri.

Ad ognuna delle etichette definite dovranno quindi essere assegnate delle regole di protezione da applicare ai possibili metodi e tipi di accesso. La seguente tabella mostra un possibile esempio:

Il risultato della Data Classification: tipologie di dati con i relativi criteri di protezione

Il risultato del processo di data classification è quindi costituito da una tabella contenente:

• l’enumerazione e la caratterizzazione dei dati critici,
• la label che caratterizza il livello di criticità,
• i processi legittimi di trattamento,
• i requisiti di sicurezza e/o le azioni consentite o non consentite.

Le tipologie di strumenti utili per la data protection

Le misure di protezione che le aziende devono predisporre per proteggere i propri dati critici possono essere di diverso tipo, ad es:

• monitoraggio dei flussi di dati critici all’interno della rete aziendale e del cloud
• tracking dell’utilizzo di dati critici da parte degli utenti e l’esistenza di dati senza le adeguate protezioni
• Presenza di dati critici in posizioni non previste (PC degli utenti, cartelle di rete, storage, database, ecc.).
• …

Posto che non esistono soluzioni che da sole soddisfino tutti i requisiti sopra elencati, vediamo infine brevemente le caratteristiche di alcune tipologie di strumenti che possono essere adottati per la protezione dei dati.

Tutte le tipologie descritte hanno un notevole impatto sulle modalità di lavoro del personale dell’azienda: la loro implementazione deve essere affiancata da un adeguato percorso di change management, che preveda il coinvolgimento di tutti i dipendenti, mettendolo a conoscenza degli obiettivi del cambiamento e formandolo sull’impatto delle nuove tecnologie sul loro lavoro, a garanzia della sicurezza di tutta l’azienda.

Il processo di data classification, labelling and security requirements si rende necessario per implementare efficacemente misure e strumenti di data protection e di Cybersecurity.

Oltre a ciò, questo processo potrebbe essere utile per individuare possibili falle nei processi di business e renderli più sicuri, al di là dell’implementazione di tali strumenti. Ed è proprio in quest’ottica che Lutech adotta un approccio olistico e multidisciplinare in grado di rinforzare tutte le componenti di difesa in modo congiunto.