Nell’attuale economia digitale, i dati rappresentano la nuova moneta, con un valore che cresce non solo per le organizzazioni, ma anche per i loro clienti e i cybercriminali. La digitalizzazione e la consumerizzazione in corso ricevono anche una maggiore attenzione da parte delle autorità di regolamentazione, che spingono per una più accentuata protezione della privacy. Poiché la salvaguardia dei dati è una preoccupazione per i CISO e i consigli di amministrazione di tutto il mondo, la creazione di un solido programma di governance è ormai una priorità assoluta.
Il mondo è cambiato. Governance e protezione dei dati devono evolversi in modo corrispondente. Nel vecchio mondo, la protezione delle informazioni era semplice, poiché esse risiedevano nei data center controllati solo da noi. In questo nuovo mondo “ovunque e dovunque”, in cui possono trovarsi nei cloud pubblici, nelle applicazioni SaaS, nei database on premise o in qualsiasi altro luogo, la visibilità dei dati stessi crea nuovi problemi.
Affrontare rischi aziendali sempre più estesi
Una forza lavoro sempre più decentralizzata amplifica anche i rischi incentrati sulle persone, rendendo la protezione dei dati molto più difficile. Secondo il report Cost of a Data Breach di IBM Security, nel 2022 il costo medio di una violazione ha raggiunto il massimo storico di 4,35 milioni di dollari. E il lavoro a distanza è in parte responsabile dell’aumento dei costi, secondo lo stesso report che ha rilevato una “forte correlazione” tra il lavoro da remoto e il costo delle violazioni che sono costate in media 1 milione di dollari in più.
Le informazioni di identificazione personale (PII) di clienti e dipendenti sono i due tipi di record più costosi compromessi in una violazione dei dati. Si tratta di informazioni preziose per i cybercriminali, per furti finanziari, frodi e altri crimini informatici, il che significa che le minacce continueranno a prendere di mira questo tipo di dati e che le autorità di regolamentazione continueranno ad aumentare la pressione sulle organizzazioni affinché li proteggano meglio.
Lo stesso regime normativo in continua espansione è un fattore che fa aumentare i costi delle violazioni e la necessità di una migliore governance. Negli Stati Uniti, ad esempio, già 39 Stati hanno preso in considerazione leggi sulla privacy dei consumatori dal 2018 e cinque le hanno promulgate, secondo l’International Association of Privacy Professionals (IAPP).
Un efficace programma di governance dei dati deve riconoscere questo ambiente in continua evoluzione e considerarne le implicazioni, rispondendo a domande fondamentali quali: dove sono archiviati, sono presenti dati protetti o regolamentati, come vengono utilizzati (e chi vi ha accesso) e come vengono protetti?
I passaggi da considerare per la creazione di un programma di data governance
Per molte organizzazioni, la sfida principale è capire dove risiedono tutti i loro dati e come ottenere visibilità sull’intero ecosistema. La conservazione dei dati è un’altra area di dibattito normativo, soprattutto perché ogni regolamentazione presenta requisiti diversi. L’adozione di un approccio graduale e stratificato alla governance dei dati aiuterà ad affrontare queste sfide e a rispondere alle domande principali che stiamo considerando.
Un approccio a più livelli consente di passare dallo sviluppo e dalla definizione del programma di governance dei dati alla sua manutenzione e ottimizzazione. La prima fase di questo approccio, la Discovery, prevede la definizione del controllo iniziale in cui si procede alla qualificazione delle leggi e delle normative applicabili all’organizzazione, alla definizione della strategia di protezione dei dati in base ai loro cicli di vita, all’identificazione degli utenti più a rischio, alla scoperta dell’impronta digitale, alla creazione di un inventario globale e all’indicizzazione dei dati.
Nella seconda fase (Detection), si sviluppano le capacità di controllo acquisendo un contesto per tutte le attività, gli intenti e gli accessi degli utenti; si identificano gli account compromessi e gli utenti vittime di phishing; si classificano i dati sensibili o regolamentati. Inoltre, si adottano misure per tracciare gli incidenti e raccogliere e acquisire dati da tutte le fonti.
Infine, l’ultima fase (Enforcement) riguarda l’aumento delle capacità di controllo esteso, come la rimozione dei dati da luoghi non attendibili, la disponibilità di una piattaforma di scambio con l’esterno sicura e conforme, l’applicazione delle protezioni dei confini dei dati, l’implementazione di una supervisione completa della conformità e così via.
Scomponendo questi aspetti in passaggi più piccoli e concreti, è possibile creare un approccio programmatico che aiuterà a proteggere i dati in base ai rischi più elevati e garantirà un miglior ritorno sugli investimenti. Ma è fondamentale valutare costantemente l’efficacia del programma e ottimizzarlo, perché ogni ambiente è dinamico per natura e le tattiche delle minacce cambiano costantemente.
Attenzione alle minacce che richiedono un intervento umano
Anche se il panorama aziendale cambia rapidamente, le persone restano al centro della protezione dei dati. Secondo il Data Breach Investigations Report di Verizon, l’elemento umano gioca un ruolo nell’82% delle violazioni di dati. Dal phishing, al furto di credenziali, all’errore umano, sono i dipendenti e gli altri insider a rappresentare il rischio più elevato.
I cybercriminali continueranno a trovare modi creativi per rubare e monetizzare i dati. La protezione in un ambiente di minacce incentrato sulle persone richiede controlli di governance dei dati incentrati sulle persone. Creando un solido framework di questo genere per il programma di governance dei dati, sarà possibile prepararsi meglio ad affrontare le prossime sfide e a proteggere la valuta più preziosa di cui si dispone.
A cura di Lucia Milică, Global Resident CISO, Proofpoint
https://www.ictsecuritymagazine.com/articoli/come-costruire-un-solido-programma-di-governance-dei-dati/