13. La Classificazione delle informazioni
La ragione di esistenza del Programma di Sicurezza delle Informazioni è mettere in sicurezza le Informazioni dell’Azienda, ma per proteggere qualcosa è necessario sapere che esiste e cos’è.

Le ragioni per classificare le informazioni sono diverse e fondate, nonostante ciò, è ancora una pratica relativamente poco diffusa per motivazioni anche comprensibili, che sono però agevolmente superabili e ben ripagate dai benefici che la Classificazione delle informazioni porta in Azienda:

 - conoscere le Informazioni che l’Azienda possiede, dove si trovano e come sono utilizzate,

 - quantificare le risorse necessarie per proteggere e conservare in modo efficiente le informazioni dell’Azienda,

 - ridurre in modo consistente i rischi di perdita, furto o diffusione non autorizzata delle informazioni critiche.

 

La Classificazione delle Informazioni è un processo di categorizzazione coerente in cui si utilizzano etichette visive, fisiche per i documenti fisici, digitali per quelli elettronici (anche metadati), in base a specifiche e criteri predefiniti.

La Classificazione delle Informazioni può derivare da requisiti normativi (es. GDPR, certificazioni come PCI-DSS, ISO-27001) o dalla necessità di proteggere proprietà intellettuali (come segreti industriali, progetti di ricerca) oppure, il caso più comune, dalla necessità di semplificare e rendere efficiente la strategia di sicurezza dell’Azienda.

La quantità di informazioni che si producono aumenta del 40% ogni anno: gestirle, conservarle e proteggerle è costoso e sempre più complesso.

Non tutte le Informazioni sono di uguale importanza per l’azienda, sia in termini di protezione necessaria che di conservazione nel tempo.

Le informazioni importanti devono essere protette e conservate meglio di quelle non importanti, mentre quelle non più necessarie che generano costi e rischi per l’Azienda devono essere eliminate in sicurezza e con le opportune modalità.

La Classificazione delle Informazioni risponde a queste necessità.

Per mettere in pratica la Classificazione delle Informazioni e definire le categorie più idonee ci sono alcune domande chiave alle quali serve dare una risposta:

 - Quali sono i tipi di informazioni presenti? (database, tabelle, file, mail, immagini, documenti …)

 - Dove si trovano le Informazioni? (su dispositivi personali, su condivisioni di rete, sul database, in cloud, da fornitori)?

 - Quali sono le Informazioni critiche per l’Azienda?

 - Chi ha accesso a quali informazioni?

 - In quali processi, interni ed esterni all’Azienda, sono utilizzate?

 - Per quanto tempo devono essere conservate?

Lo schema di classificazione più semplice e adottato dalla maggioranza delle aziende prevede 3 categorie:


PUBBLICO
: documento per uso pubblico, nessuna restrizione (es. schede prodotto, materiale pubblicitario, offerte di lavoro ecc. )

 - Impatti se diffusa impropriamente: nessuno

 - Misure di sicurezza: nessuna

INTERNO: documento per uso interno, non devono essere distribuito esternamente se non in specifiche condizioni (es. Piani strategici, previsioni di bilancio, progetti di sviluppo ecc.)

 - Impatti se diffusa impropriamente: perdita vantaggio competitivo, danno reputazionale

 - Misure di sicurezza: training, crittografia, DLP (data loss prevention), monitoraggio, reporting, audit

RISERVATO: documento ad accesso ristretto, acceduto solo con autorizzazione, non deve essere distribuito all'esterno salvo condizioni specificatamente autorizzate (es. dati personali, clienti, dati di pagamento, dati sensibili database ecc.).

 - Impatti se diffusa impropriamente: sanzioni, perdita di clienti, danno reputazionale

 - Misure di sicurezza: training, crittografia, DLP (data loss prevention), monitoraggio, reporting, audit

Le aziende che operano in situazioni di criticità elevata è opportuno che automatizzino la Classificazione delle Informazioni integrandola con i sistemi di sicurezza che notificano e intervengono quando si verificano situazioni in contrasto con le regole aziendali (Data Loss Prevention - DLP), come ad esempio tentativi di spedizione per e-mail o copia di documenti protetti, tentativi di accesso non autorizzati.

La realtà operativa e le esigenze di sicurezza dell’Azienda determinano la scelta del livello adeguato del modello di “Sicurezza e Controllo dei Dati“ che integra il Programma di Sicurezza delle Informazioni coordinato dal Fractional CISO.

BASE:

 1. DEFINIZIONE

           a.   Scoperta / Inventario delle Informazioni

           b.   Classificazione


COMPLETO:

 2. ANALISI

           a.  Estrazione degli attributi dell’Informazione (metadati)

           b.  Uso dinamico dei metadati per proteggere l’Informazione

 3. PROTEZIONE

           a.  Controllo dell'accesso all’Informazione

           b.  Monitoraggio dell’utilizzo dell’informazione per rilevare eventuali abusi

           c.  Smaltimento dei dati quando l’Azienda non ne ha più bisogno

           d.  "Offuscamento" dell’Informazione con la crittografia per proteggerli in caso di furto.