Le ragioni per classificare le informazioni sono diverse e fondate, nonostante ciò, è ancora una pratica relativamente poco diffusa per motivazioni anche comprensibili, che sono però agevolmente superabili e ben ripagate dai benefici che la Classificazione delle informazioni porta in Azienda:
- conoscere le Informazioni che l’Azienda possiede, dove si trovano e come sono utilizzate,
- quantificare le risorse necessarie per proteggere e conservare in modo efficiente le informazioni dell’Azienda,
- ridurre in modo consistente i rischi di perdita, furto o diffusione non autorizzata delle informazioni critiche.
La Classificazione delle
Informazioni è un processo di categorizzazione coerente in cui si
utilizzano etichette visive, fisiche per i documenti fisici, digitali per
quelli elettronici (anche metadati), in base a specifiche e criteri predefiniti.
La Classificazione delle Informazioni può
derivare da requisiti normativi (es. GDPR, certificazioni come PCI-DSS,
ISO-27001) o dalla necessità di proteggere proprietà intellettuali (come
segreti industriali, progetti di ricerca) oppure, il caso più comune, dalla
necessità di semplificare e rendere efficiente la strategia di sicurezza
dell’Azienda.
La quantità di informazioni che si
producono aumenta del 40% ogni anno: gestirle, conservarle e proteggerle è
costoso e sempre più complesso.
Non tutte le Informazioni sono di
uguale importanza per l’azienda, sia in termini di protezione necessaria che di
conservazione nel tempo.
Le informazioni
importanti devono essere protette e conservate meglio di quelle non importanti, mentre quelle
non più necessarie che generano costi e rischi per l’Azienda devono essere
eliminate in sicurezza e con le opportune modalità.
La Classificazione delle Informazioni risponde a queste necessità.
Per mettere in pratica la Classificazione
delle Informazioni e definire le categorie più idonee ci sono alcune
domande chiave alle quali serve dare una risposta:
- Quali sono i tipi di informazioni presenti? (database, tabelle,
file, mail, immagini, documenti …)
- Dove si trovano le Informazioni? (su dispositivi personali, su
condivisioni di rete, sul database, in cloud, da fornitori)?
- Quali sono le Informazioni critiche per l’Azienda?
- Chi ha accesso a quali informazioni?
- In quali processi, interni ed esterni all’Azienda, sono
utilizzate?
- Per quanto tempo devono essere conservate?
Lo schema di classificazione più
semplice e adottato dalla maggioranza delle aziende prevede 3 categorie:
PUBBLICO: documento per uso pubblico, nessuna restrizione (es. schede prodotto, materiale pubblicitario, offerte di lavoro ecc. )
- Impatti se diffusa impropriamente: nessuno
- Misure di sicurezza: nessuna
INTERNO: documento
per uso interno, non devono essere distribuito esternamente se non in
specifiche condizioni (es. Piani strategici, previsioni di bilancio, progetti
di sviluppo ecc.)
- Impatti se diffusa impropriamente: perdita
vantaggio competitivo, danno reputazionale
- Misure di
sicurezza: training,
crittografia, DLP (data loss prevention), monitoraggio, reporting, audit
RISERVATO: documento ad accesso ristretto, acceduto solo con
autorizzazione, non deve essere distribuito all'esterno salvo condizioni
specificatamente autorizzate (es. dati personali, clienti, dati di pagamento,
dati sensibili database ecc.).
- Impatti se
diffusa impropriamente: sanzioni, perdita di clienti, danno reputazionale
- Misure di sicurezza: training, crittografia, DLP (data loss prevention),
monitoraggio, reporting, audit
Le aziende che operano in situazioni
di criticità elevata è opportuno che automatizzino la Classificazione delle
Informazioni integrandola con i sistemi di sicurezza che notificano e
intervengono quando si verificano situazioni in contrasto con le regole
aziendali (Data Loss Prevention - DLP), come ad esempio tentativi di spedizione per e-mail o copia di
documenti protetti, tentativi di accesso non autorizzati.
La realtà operativa e le esigenze di sicurezza dell’Azienda determinano la scelta del livello adeguato del modello di “Sicurezza
e Controllo dei Dati“ che integra il Programma di Sicurezza delle
Informazioni coordinato dal Fractional CISO.
BASE:
1. DEFINIZIONE
a. Scoperta / Inventario delle Informazioni
b. Classificazione
COMPLETO:
2. ANALISI
a. Estrazione
degli attributi dell’Informazione (metadati)
b. Uso dinamico dei metadati per proteggere l’Informazione
3. PROTEZIONE
a. Controllo dell'accesso all’Informazione
b. Monitoraggio
dell’utilizzo dell’informazione per rilevare eventuali abusi
c. Smaltimento
dei dati quando l’Azienda non ne ha più bisogno
d. "Offuscamento" dell’Informazione con la crittografia per proteggerli in caso di furto.
PUBBLICO: documento per uso pubblico, nessuna restrizione (es. schede prodotto, materiale pubblicitario, offerte di lavoro ecc. )
BASE:
COMPLETO: