IT
Big Cover Data Classification per la Cybersecurity
IDEAS

La Data Classification come chiave per un efficace approccio alla Cybersecurity

Proteggere i dati aziendali attraverso la valutazione e classificazione dei dati realmente critici

Identificare i dati critici per definire le soluzioni di Cybersecurity utili per ogni azienda

Il vero valore dei dati aziendali

Quali sono i dati da proteggere e i relativi requisiti di sicurezza da adottare?

Le informazioni e i dati aziendali rappresentano il vero motore del business: per questo motivo devono ricevere un adeguato livello di protezione in linea sia con la loro importanza per l’azienda sia con la criticità in caso di divulgazione, modifica non autorizzata o mancata disponibilità.

A tal fine esistono tipologie di strumenti specifici per la protezione del dato, come gli strumenti di data governance e di data loss prevention. L’implementazione all’interno delle aziende di questi strumenti, molto potenti, presuppone però sempre una consapevolezza su quali siano i dati critici, dove siano collocati, quali flussi seguano all’interno dei processi aziendali.

L’adozione di soluzioni e strumenti per la protezione del dato dovrebbe quindi avvenire solamente dopo che l’azienda ha adeguatamente:

  1. Classificato le informazioni critiche - Data Classification
  2. Etichettato le informazioni secondo lo schema di classificazione stabilito - Labelling
  3. Stabilito i requisiti di sicurezza delle informazioni in base al livello di classificazione assegnato - Security Requirements


Un’adozione di strumenti di protezione del dato senza un adeguato processo di data classification, labeling e security requirements rischierebbe infatti di produrre da un lato troppi falsi positivi o, all’opposto, non rilevare violazioni della sicurezza dei dati.

L’importanza di questo processo è validato anche dalla compliance a standard e da framework per la valutazione di controlli di sicurezza, come la ISO/IEC 27001, il NIST SP 800-53 oppure i CIS Critical Security Controls, che l’azienda ha all’occorrenza deciso di adottare.

Controlli previsti dallo standard ISO/IEC 27001

  • A.8.2.1 Classificazione delle informazioni. Le informazioni devono essere classificate in relazione al loro valore, ai requisiti cogenti e alla criticità in caso di divulgazione o modifica non autorizzate.             
  • A.8.2.2 Etichettatura delle informazioni. Deve essere sviluppato e attuato un appropriato insieme di procedure per l'etichettatura delle informazioni in base allo schema di classificazione adottato dall'organizzazione.
  • A.8.2.3 Trattamento degli asset. Deve essere sviluppato e attuato un insieme di procedure per il trattamento degli asset in base allo schema di classificazione adottato dall'organizzazione.



Il Team di Information Security, Governance&Compliance Advisory di Lutech implementa progetti di Data Classification per aziende di ogni settore. Analizzando il grado di maturità nella gestione dell'information security, Lutech è in grado di definire un piano di misure organizzative, tecnologiche e legali integrate in un sistema avanzato di sicurezza delle informazioni operativo grazie alle migliori tecnologie di mercato.

Contatta il Team Advisory

Quali sono gli step che un’azienda deve seguire per implementare il processo di Data Classification, labelling, security requirements in maniera corretta ed efficace?

Valutare l’impatto sul business: i parametri di valutazione del valore delle informazioni

La prima fase è quella nella quale vengono stabiliti i parametri di valutazione del valore delle informazioni, in termini di impatto sul business rispetto ad eventuali perdite di riservatezza, integrità e disponibilità.

Tale valutazione può essere effettuata in termini quantitativi, ovvero attraverso l’indicazione di valori economici, oppure in termini qualitativi, ovvero rispetto a scale di valori. Per semplificare la valutazione e renderla il più possibile ripetibile è bene descrivere accuratamente i possibili valori assunti dai parametri di valutazione e anche scomporre gli impatti su più direttrici, come ad esempio:

  • impatto operativo
  • impatto legale (Regulatory & Compliance)
  • impatto reputazionale
  • impatto finanziario

Altri impatti di valutazione possono essere costituiti da eventuali requisiti normativi a cui l’azienda deve sottostare: esempi in tal senso sono il Reg. UE 2016/679 (GDPR) e il D.lgs 231/2001, che disciplina la responsabilità amministrativa degli enti.

La seguente tabella mostra un possibile esempio di parametri qualitativi per la valutazione degli impatti in caso di compromissione della riservatezza.

Security end-to-end con Lutech

Seguiamo il cliente in ogni fase: dalla fase di analisi dei requisiti di business alla progettazione e implementazione di soluzioni integrate di cybersecurity nel multicloud, fino al supporto 24/7 nella gestione operativa grazie al Next Generation Security Operations Center (NG-SOC) di Lutech.

Censimento dei dati e delle informazioni critiche

La tracciatura dei flussi leciti

può avvenire attraverso la predisposizione di una matrice dando quindi una rappresentazione visibile di chi è autorizzato ad accedere ai dati e del tipo di accesso.

Stabiliti i parametri di valutazione, si procede al censimento dei dati e delle informazioni critiche, attraverso questionari e/o interviste rivolti ai responsabili e referenti delle varie aree aziendali.

Punto cruciale di questa fase è la valutazione del valore di dati ed informazioni di competenza per ogni area, partendo dall’individuazione e descrizione dei processi gestiti dall’area aziendale specifica, in modo che l’intervistato individui i dati cruciali di propria competenza.

Durante le interviste vengono raccolte maggiori informazioni possibili anche in termini di formati, repository, flussi dei dati previsti dal processo, anche con integrazioni da parte dell’IT aziendale.

Tracciare i flussi leciti

Un aspetto importante del censimento dei dati e delle informazioni, e propedeutico alla definizione dei requisiti di sicurezza, è la tracciatura dei flussi leciti, ovvero

  • I metodi di accesso ai dati, per tracciare ad esempio, con quale supporto e in che modalità si accede al dato
  • Chi è autorizzato ad accedere ai dati
  • Tipologie di accesso, ovvero i permessi di ogni utente, ad esempio lettura, condivisione, modifica, ecc.

Definire le etichette delle informazioni in base allo schema di classificazione - Labelling

Parallelamente o successivamente al censimento dei dati, è necessario definire delle etichette che rappresentino i diversi livelli di criticità di dati e informazioni, le caratteristiche dei dati ai quali saranno assegnate tali etichette e i requisiti di sicurezza di massima.

Al termine del processo tali etichette andranno riportate sulle versioni sia elettroniche che cartacee di tutti i documenti in cui siano presenti dati con tale criticità.

La tabella seguente mostra un possibile esempio di definizione delle etichette con esempi presi dall’ambito IT:

Correlazione tra applicativi e processi

I processi aziendali e la loro efficienza dipendono sempre più dalle soluzioni IT implementate e l’aspettativa di un servizio sempre disponibile è sempre più alta.

Requisiti di sicurezza delle informazioni in base al livello di classificazione assegnato - Security Requirements

Il criterio per l’associazione di un’etichetta ad una determinata categoria di dati o informazioni tiene conto del loro valore così come concordato dai business owner, sulla base dei parametri di valutazione degli impatti stabiliti precedentemente.

Un possibile criterio di associazione tra label e categorie di dati:

A seconda del valore assegnato ad ogni parametro di valutazione, la tabella contiene un’etichetta; l’etichetta finale potrà essere quella di massima cautela fra tutte quelle ottenute sui vari parametri.

Ad ognuna delle etichette definite dovranno quindi essere assegnate delle regole di protezione da applicare ai possibili metodi e tipi di accesso. La seguente tabella mostra un possibile esempio:

Data Protection: definizione, normativa e strategie di protezione

Scopri di più

Il risultato della Data Classification: tipologie di dati con i relativi criteri di protezione

Il risultato del processo di data classification è quindi costituito da una tabella contenente:

  • l’enumerazione e la caratterizzazione dei dati critici,
  • la label che caratterizza il livello di criticità,
  • i processi legittimi di trattamento,
  • i requisiti di sicurezza e/o le azioni consentite o non consentite.

Le tipologie di strumenti utili per la data protection

Le misure di protezione che le aziende devono predisporre per proteggere i propri dati critici possono essere di diverso tipo, ad es:

  • monitoraggio dei flussi di dati critici all’interno della rete aziendale e del cloud
  • tracking dell’utilizzo di dati critici da parte degli utenti e l’esistenza di dati senza le adeguate protezioni
  • Presenza di dati critici in posizioni non previste (PC degli utenti, cartelle di rete, storage, database, ecc.).

Posto che non esistono soluzioni che da sole soddisfino tutti i requisiti sopra elencati, vediamo infine brevemente le caratteristiche di alcune tipologie di strumenti che possono essere adottati per la protezione dei dati.

Cifratura dei dati, Data Loss Prevention e strumenti di data governance

  • Cifratura dei dati. Si tratta di una misura di protezione molto popolare, è esplicitamente citata nell’art. 32 del GDPR ed è molto efficace in termini di salvaguardia della riservatezza e dell’integrità, soprattutto in caso di accesso diretto ai supporti di memorizzazione del dato e applicabile sia a dati strutturati che non strutturati.
    Un utilizzo interessante della cifratura in termini di protezione dei dati contenuti all’interno di documenti non strutturato è all’interno di strumenti di Digital Right Management (DRM). In questo caso la protezione è all’interno del documento stesso ed è possibile delimitare il campo di azione di ogni utente autorizzato a trattare il documento.
  • Data Loss Prevention (DLP). Si tratta di una categoria di soluzioni che mira a tutelare la riservatezza del dato. Permette di monitorare i canali attraverso i quali i dati possono essere trasferiti (email, web, storage USB, stampa, ecc.) e rilevare e bloccare le operazioni non consentite, avvertendo l’utente e/o il responsabile dell’avvenuta violazione. Attraverso strumenti di DLP è inoltre possibile, definendo opportuni “pattern”, riconoscere la presenza di dati critici anche in posizioni o formati diversi rispetto al normale flusso.
  • Strumenti di data governance. Si tratta di una categoria di soluzioni che permette di governare i dati critici permettendo il costante monitoraggio delle posizioni di tali dati e le misure di protezione implementate, l’utilizzo dei dati ed eventuali operazioni anomale rispetto al normale utilizzo. Alcune di queste soluzioni forniscono anche suggerimenti per migliorare la sicurezza dei dati.

I punti deboli sono la difficoltà nella gestione delle chiavi e il termine del controllo sui dati una volta che i dati siano resi disponibili a qualcuno autorizzato all’utilizzo. 

Tutte le tipologie descritte hanno un notevole impatto sulle modalità di lavoro del personale dell’azienda: la loro implementazione deve essere affiancata da un adeguato percorso di change management, che preveda il coinvolgimento di tutti i dipendenti, mettendolo a conoscenza degli obiettivi del cambiamento e formandolo sull’impatto delle nuove tecnologie sul loro lavoro, a garanzia della sicurezza di tutta l’azienda.

Il processo di data classification, labelling and security requirements si rende necessario per implementare efficacemente misure e strumenti di data protection e di Cybersecurity.

Oltre a ciò, questo processo potrebbe essere utile per individuare possibili falle nei processi di business e renderli più sicuri, al di là dell’implementazione di tali strumenti. Ed è proprio in quest’ottica che Lutech adotta un approccio olistico e multidisciplinare in grado di rinforzare tutte le componenti di difesa in modo congiunto.

L’engagement di tutti i dipendenti,

insieme al coinvolgimento diretto dei responsabili delle varie aree nella fase di censimento, è un presupposto fondamentale per la riuscita di un progetto di Data Protection

Contatta il team Advisory di Lutech

Ti invitiamo a prendere visione dell' informativa marketing.

Inserire un valore
Inserire un valore
Inserire un'email valida
Inserire un numero di telefono valido
Inserire un valore
Inserire un valore
Inserire un valore

Cliccando sul pulsante “Conferma” dichiaro di aver letto e compreso l'informativa marketing

Acconsento a ricevere comunicazioni commerciali e promozionali relative a servizi e prodotti nonché messaggi informativi relativi alle attività di marketing, così come esplicitato nella suddetta Informativa

Per favore, seleziona la casella.

Si è verificato un errore, si prega di riprovare più tardi

Grazie per il tuo interesse


Abbiamo ricevuto la tua richiesta di contatto, ti contatteremo a breve per approfondire le tue esigenze di business.
 

ideas

Vision & Trends sulla Digital Transformation

TECHNOLOGY, DIGITAL, PRODUCTS

Lutech end-to-end solutions