La Data Classification è il processo di organizzazione dei dati (strutturati e non strutturati) in categorie predefinite che li rappresentano, affinché possano essere protetti in modo efficiente ed efficace. In altre parole, la Data Classification aiuta a determinare e a distinguere i dati che sono soggetti ad elaborazione digitale.
La Data Classification rappresenta la base di ogni strategia di sicurezza sui dati perché abilita la comprensione di quanti e quali siano i dati sensibili e di quale debba essere la modalità di archiviazione, sia in locale sia nel cloud, per mantenere l’aderenza alla compliance normativa e anche l’efficacia operativa della protezione. Un processo di Data Classification consente anche di eliminare i dati non necessari, ottimizzare la manutenzione degli archivi digitali dei dati e, in questo modo, diminuirne i costi di gestione.
Quali sono gli obiettivi della Data Classification
L’obiettivo della sicurezza delle informazioni è solitamente legato alla protezione di Riservatezza, Integrità e Disponibilità (RID) dei dati. La classificazione dei dati riflette il livello di rischio informatico che l’organizzazione deve sopportare se la riservatezza, l’integrità o la disponibilità sono compromesse da un incidente informatico che può avvenire sia da parte di soggetti esterni (per dolo) sia da soggetti interni (per colpa) all’organizzazione stessa.
Gli obiettivi di protezione sui dati possono essere inseriti in un documento di policy dell’azienda che esplicita le sue intenzioni, gli obiettivi e l’impostazione alla protezione dei dati aziendali.
La Data Classification consente di scegliere quali siano i controlli di sicurezza appropriati per la salvaguardia, secondo la classificazione con cui sono stati divisi i dati, soprattutto se una organizzazione archivia grandi volumi di dati. La Data Classification è quindi una componente vitale di qualsiasi programma di sicurezza e conformità ai regolamenti sulla protezione delle informazioni.
Come distinguere i dati nella Data Classification
Tutti i dati aziendali dovrebbero essere classificati, ovvero divisi in gruppi. La classificazione standard utilizzata nella categorizzazione dei dati è formata da dati di tipo: Pubblico, Riservato, Sensibile, Personale. Molto spesso in ambito aziendale nei sistemi di gestione della sicurezza delle informazioni si trovano le categorie: Pubblico, Ad uso interno, Riservato, Strettamente riservato. I dati sensibili per le aziende sono quelli usati da persone o gruppi specifici. I dati sensibili e riservati sono spesso usati in modo intercambiabile. Esempi di dati sensibili includono proprietà intellettuale e segreti commerciali. Con la normativa del GDPR l’accezione “dati sensibili” è invece strettamente connessa al concetto di “dati personali” dell’individuo.
È molto importante rivalutare periodicamente la classificazione dei dati per garantire che la classificazione assegnata sia ancora adeguata dopo un certo tempo. Nella rivalutazione è necessario effettuare il confronto della categorizzazione dei dati in base alle modifiche, agli obblighi legali e contrattuali, nonché ai cambiamenti nell’uso dei dati o del loro valore per l’organizzazione.
In funzione della revisione delle classi dei dati e della loro riorganizzazione, anche i controlli di sicurezza devono essere rivisti per verificare eventuali lacune di protezione e correggerle, oppure diminuire i controlli se non sono più necessari.
Come garantire la Data security in base alla Data Classification
Se il primo passo per attuare la protezione dei dati consiste nella Data Classification, il secondo riguarda l’analisi del “luogo digitale” dove i dati sono custoditi per capire se sia adeguato o se da cambiare. Questo significa che per ogni tipo di dato, e per ogni tipo di archivio digitale (file system, disco, chiavetta, area in cloud), è necessario effettuare tre passi:
- individuare le misure di sicurezza applicate e/o applicabili in base al livello di sensibilità dei dati;
- effettuare verifiche sulle modalità di autorizzazione di accesso, modifica o eliminazione dei dati;
- valutare i rischi e l’impatto economico del danno aziendale rispetto a una violazione, un attacco di ransomware o altre minacce che possano impattare i dati.
Per rendere più efficiente il processo di Data Classification e la sua implementazione è necessario individuare tool con alcune capacità essenziali:
- capacità estese di ricerca (frasi, termini composti, parole multiple);
- indicizzazione dei dati sensibili;
- gestione della classificazione dei dati;
- gestione del processo di classificazione;
- ampia copertura delle sorgenti di dati, che significa considerare fonti di dati in cloud, da file system locali a fonti di dati strutturati o non strutturati.
