Che cos’è la classificazione dei dati?

La classificazione dei dati è un processo di gestione con il quale le organizzazioni classificano vari asset di informazioni in base alla sensibilità dei contenuti e alle persone che devono avervi accesso [1]. Per facilitare il processo, le organizzazioni potrebbero applicare delle politiche di sicurezza.

Parte importante del ciclo di gestione delle informazioni, la classificazione dei dati consente alle organizzazioni di accedere alle informazioni e condividerle in maniera rapida e sicura. Una corretta classificazione migliora anche la conformità e aiuta ad aderire a GDPR, HIPAA, FERPA e altre normative sulla sicurezza dei dati.

La classificazione dei dati è importante perché consente alle organizzazioni di gestire i loro dati in maniera efficace e accurata. Gli asset di informazioni possono essere disseminati in vari canali (reti o applicazioni cloud) o posizioni (server di rete, cartelle e dischi rigidi), il che ne complica la visibilità e accessibilità. Le soluzioni di classificazione dei dati aiutano a identificare rapidamente la posizione dei dati sensibili, facilitano la corretta etichettatura dei dati critici e proteggono l’accesso e/o la condivisione di queste informazioni.

Le organizzazioni che classificano i dati migliorano inoltre le credenziali di sicurezza, poiché sono in grado di gestire meglio informazioni preziose e sensibili [2]. Pertanto, la classificazione dei dati consente di ridurre la probabilità di violazione dei dati o altri tipi di attacchi informatici.

Why classify data? In addition to making information easier to locate, it comprises an essential element in cybersecurity best practices. One of the greatest benefits of data classification is that you can tag progressively more sensitive types of data and use the categories to determine automated security responses to attempts to access, transmit or copy data. 

Depending upon the level of risk, this may involve restricting access or simply auditing an interaction so it is available for future review. By ensuring that security teams know where to find sensitive information and by putting rules in place about who is allowed to access it, you can prevent or contain data breaches and keep unauthorized users away from resources they shouldn’t have. Proper data classification practices are necessary for maintaining a strong security posture.
 

In seno alle organizzazioni, di solito la responsabilità per la classificazione dei dati ricade sul Chief Information Officer (CIO) o il Chief Information and Security Officer (CISO). Un CIO o CISO collabora con vari uffici (management, risorse umane, vendite, contabilità ecc.) per assicurare che gli asset di informazioni siano protetti, accessibili e in linea con le leggi e normative locali, nazionali e internazionali. Ma anche laddove sia presente un responsabile per la classificazione dei dati, è bene coinvolgere in questo processo tutte le figure interessate nell’intera organizzazione [4]. In questo modo, infatti, l’adozione dei processi di classificazione dei dati sarà più efficace.

La classificazione dei dati può richiedere una spesa iniziale, ma può offrire un ritorno sull’investimento. Gli Information Officer potrebbero dover migrare i dati dai dischi rigidi al cloud, ad esempio, per migliorare sicurezza, accessibilità e conformità. Tuttavia, dei validi strumenti per la classificazione dei dati possono evitare alle organizzazioni le costose penali comminate in caso di mancata conformità.

Nel settore sanitario, il governo federale degli Stati Uniti può imporre multe da $100 a $50.000 alle organizzazioni che violano le leggi sulla protezione dei dati, fino a un massimo di $1,5 milioni per violazioni ripetute [3].

Ricorda che la classificazione dei dati è un processo continuo che va modificato e ottimizzato accuratamente per adeguarlo alle evoluzioni negli usi e nella sensibilità dei dati nel tempo.

Per migliorare l'efficacia della classificazione dei dati, ti consigliamo di adottare le seguenti misure:

• Identifica la posizione delle risorse di proprietà intellettuale più importanti o dei dati regolamentati (dischi rigidi, database, file di rete, cartelle, applicazioni cloud ecc.)
• Definisci le categorie di dati. Ti consiglio di utilizzare dei criteri semplici, evitando schemi di classificazione complessi o troppo dettagliati [4]
• Identifica i dati di maggior valore e sfrutta i vantaggi della tecnologia, ad esempio gli strumenti di automazione per la classificazione e l'etichettatura dei dati, al fine di tutelare le informazioni sensibili.
• Forma la tua forza lavoro (dipendenti e neoassunti) sulla gestione dei dati sensibili, offrendo strumenti e risorse per una sensibilizzazione costante sulla sicurezza.
• Rispetta leggi e normative locali, statali e internazionali sulla protezione dei dati, tenendoti sempre informato sulle multe previste in caso di mancata conformità.
• Crea una strategia di classificazione dei dati che consenta agli utenti di contribuire e assumersi la responsabilità per la corretta gestione della proprietà intellettuale critica o dei dati regolamentati all’interno dell'organizzazione.

Fonti:

[1] https://doit.missouri.edu/services/it-pro-services/register-it/data-classification/

[2] www.cbronline.com/what-is/data-classification-explained/

[3] www.truevault.com/resources/compliance/how-much-do-hipaa-violations-cost

[4] www.forrester.com/report/Rethinking+Data+Discovery+And+Classification+Strategies/-/E-RES85842

Getting the most out of data classification requires taking proactive measures in several areas. These include:

• Identification – Find where your sensitive data resides, including cloud repositories and physical hard drives, and take any necessary immediate steps to secure them with encryption, physical access controls, etc.
• Organization – Come up with the scheme that you will use to organize data into categories. Don’t get overly elaborate; the fewer categories you use, the more effective your classification activities will be.
• Training – Empower employees to take a role in tagging data and placing it in the proper place based on its category. The more people who have a role in the process, the more stringent your training needs to be to make sure that human error doesn’t compromise your efforts.
• Compliance – Go to the effort of understanding the applicable data security and data privacy regulations for your operations, along with the penalties for noncompliance. See below for more about regulatory compliance.
• Solutions – Locate the data classification solution that best suits your organization. In many cases it can be best to utilize a comprehensive data security platform that can assist with data discovery, classification and prioritization instead of patching together different solutions from various vendors.

If your organization has a global footprint, there are likely multiple regulations dictating how you are expected to care for your data. Take time to understand the requirements of applicable regulations, which may include GDPR, HIPAA or PCI DSS. Especially when it comes to PII and Personal Health Information (PHI), your data classification practices should be drawn up in line with pertinent regulations. These will often impact where sensitive data is stored and how quickly it can be retrieved on demand. A good data classification solution can help you to anticipate your regulatory needs and respond quickly to audits and information requests.

You can increase the accuracy and efficiency of your data classification practices with Forcepoint Data Classification. This solution leverages Machine Learning (ML) and Artificial Intelligence (AI) to more accurately classify unstructured data, all while covering the broadest range of data types in the industry. You can increase the increase the speed and efficiency of data classification to reduce false positives and spend more time on legitimate data security incidents.

And when you integrate Forcepoint Data Classification with Forcepoint Data Loss Prevention (DLP), you can select the requirements and criteria for data classification to easily deploy Forcepoint Data Classification into Forcepoint DLP and Forcepoint ONE integrated DLP policies