Crea un approccio olistico alla protezione dei dati
Che cos'è un approccio olistico alla protezione dei dati?
Una ricerca di Gartner® prevede che entro il 2024 il 75% della popolazione mondiale avrà i propri dati personali coperti dalle moderne normative sulla privacy.¹ Il compito del leader dei dati è quello di navigare in politiche e tecnologie sempre più complesse, in modo da garantire che i dati sensibili siano accessibili e protetti. La protezione dei dati è il termine generico che comprende la privacy, la conformità, la sicurezza dei dati e l'etica dei dati. L'adozione di un approccio olistico alla protezione dei dati e alla cybersecurity costituisce una salvaguardia contro gli attacchi informatici, compresi i ransomware, e mantiene la conformità normativa per evitare costose multe, fornire un AI responsabile e creare un'esperienza del cliente eccezionale.
Nel 2022, il costo delle violazioni di dati ha raggiunto il massimo storico, con una media di 4,35 milioni di dollari statunitensi.² E questo non tiene conto dei costi nascosti relativi alla reputazione del marchio e alla fedeltà dei clienti. I consumatori vogliono che i loro dati personali siano protetti e i politici hanno risposto con nuove norme sulla riservatezza dei dati. Le organizzazioni impreparate a questa nuova era di esigenze di conformità dei dati potrebbero pagare un caro prezzo. Con l'emergere di nuove normative come il GDPR, il CCPA e l'LGPD, le organizzazioni devono far fronte all'aspettativa ormai diffusa a livello globale di integrare la protezione dei dati olistica nella strategia complessiva per i dati.
Questo approccio non si limita a esaminare come vengono raccolti i dati e a mantenerli conformi e privati, si occupa anche di capire come vengono utilizzati i dati sensibili nel mondo di oggi. Costringe le organizzazioni a porsi domande quali: È etico raccogliere questi dati? Cosa facciamo con queste informazioni? Abbiamo condiviso le nostre intenzioni con le persone da cui abbiamo raccolto questi dati? Per quanto tempo e dove saranno conservati questi dati? Siamo al passo con la gestione del rischio e con i progressi dei malware? Chiunque si occupi della raccolta dati, in particolare i leader di un'organizzazione, prepararsi ad affrontare queste conversazioni.
Una ricerca di Gartner® prevede che entro il 2024 il 75% della popolazione mondiale avrà i propri dati personali coperti dalle moderne normative sulla privacy.¹
Nel 2022, il costo delle violazioni di dati ha raggiunto il massimo storico, con una media di 4,35 milioni di dollari statunitensi.²
Tre pilastri fondamentali, l'etica dei dati, la riservatezza dei dati e la sicurezza dei dati, operano insieme sotto l'ombrello della protezione dei dati per supportare un framework flessibile, realizzato per rispondere a normative e aspettative aziendali in continua evoluzione, scalando l'AI in modo responsabile e sostenendo la fiducia degli utenti.
Pilastro n. 1
I punti di vista culturali della tua organizzazione in materia di protezione dei dati influenzano il modo in cui le politiche di sicurezza e riservatezza dei dati vengono adottate ed eseguite. La Harvard Business School definisce "etica dei dati" gli obblighi morali legati alla raccolta, alla protezione e all'utilizzo di informazioni di identificazione personale, nonché l'impatto che queste azioni hanno.³ Per prendere decisioni oculate in merito ai dati e promuovere un'AI responsabile, considera i seguenti principi di etica dei dati.
L'etica dei dati inizia con sapere chi possiede i dati che si utilizzano. Il fatto che un utente ti fornisca dei dati non significa che siano di tua proprietà. Il consenso è d'obbligo, così come la protezione e il rispetto dei dati. Rispettare l'integrità dei dati significa non abusare mai dei dati e smaltirli non appena non servono più.
In termini di protezione dei dati, trasparenza significa essere chiari con i clienti su come vengono utilizzati i dati. Secondo il Pew Research Center, l'81% delle persone ritiene che i rischi potenziali della raccolta dei dati siano superiori ai benefici.⁴ Per superare questa storica diffidenza è necessario mettere gli utenti in condizione di comprendere gli scopi e il ciclo di vita dei dati dei clienti, in modo che sappiano che la tua organizzazione li utilizzerà in modo corretto e con le migliori intenzioni.
Quando un'azienda raccoglie informazioni, le memorizza e le analizza, tali informazioni non devono essere utilizzate, memorizzate, condivise, mantenute, conservate o smaltite al di fuori degli scopi concordati per cui sono state originariamente ottenute. Ed è in questo contesto che le strategie di riservatezza dei dati entrano nuovamente in gioco per contribuire a rafforzare le politiche di etica e sicurezza dei dati.
Che la tua organizzazione sia un fornitore di soluzioni o un fornitore digitale, fai in modo che il tuo scopo sia sempre chiaro quando utilizzi i dati e l'intelligenza artificiale. L'AI responsabile si assicura che gli utenti comprendano come i dati e la tecnologia lavorano insieme e perché l'AI prende le decisioni che prende. Gli strumenti per aumentare la nostra fiducia nell'AI, come i toolkit esplicativi, le tassonomie delle tecniche dell'AI e le soluzioni di governance dell'AI, aiutano gli utenti a conoscere le tue intenzioni in modo che possano fidarsi della tua tecnologia, dei tuoi processi e dei risultati del loro utilizzo dei dati.
Ebook: Cosa serve per costruire e implementare un framework di governance AI →
Le violazioni dei dati, gli attacchi ransomware e gli errori sono dannosi per i clienti e metteranno a dura prova la loro pazienza, la fedeltà e la fiducia nella tua organizzazione. Poiché questi problemi possono sorgere e sorgeranno, è fondamentale mettere in atto misure di salvaguardia per la gestione del rischio. Uno studio IBM ha rilevato che le aziende che hanno implementato completamente l'AI e l'automazione come parte della loro strategia di sicurezza risparmiano in media 3,05 milioni di dollari in costi di violazione dei dati rispetto a quelle che non l'hanno ancora fatto.
Pilastro n. 2
L'etica dei dati consiste nell'instaurare una cultura aziendale di comportamenti e pratiche di gestione dei dati basati su principi. Idealmente, questa cultura dell'etica e dell'alfabetizzazione dei dati è adottata in tutta la tua organizzazione e si riflette nei prodotti e nelle operazioni. La riservatezza dei dati, invece, consiste nel definire le politiche e le pratiche che attivano questi comportamenti fondati sui principi attraverso le persone, i processi aziendali e la tecnologia, e nel renderli operativi lungo il ciclo di vita dei dati, dalla raccolta al data storage. Questo metodo è l'essenza della creazione e dell'automazione di un solido framework di governance dei dati come parte di un approccio di data fabric.
La governance dei dati aiuta a trovare un equilibrio tra la limitazione dell'accesso ai dati per garantire la privacy e la possibilità di un accesso più ampio ai dati per migliorare l'analisi. Per rendere più agevole alla tua organizzazione l'utilizzo dei dati, proteggendoli al contempo da accessi non autorizzati, dovrai implementare i giusti strumenti di riservatezza dei dati, come i controlli di accesso ai dati. Combina questi elementi con l'AI, come l'anonimizzazione dei dati sensibili, in modo che possano essere utilizzati in modo non identificabile o l'etichettatura dei dati per consentire l'applicazione delle politiche.
Una corretta architettura dei dati, come ad esempio un data fabric, unita a una rigorosa gestione dei dati, garantisce che i dati privati rimangano tali, pur consentendo agli utenti di trarne insight.
"Il framework di protezione dei dati deve essere estremamente elastico e reattivo per poter affrontare le incognite delle modifiche normative, dei dati di terze parti, delle normative AI e degli eventuali prossimi 25 sviluppi", afferma Lee Cox, Vice President, Services, Compliance & Research, Chief Privacy Office di IBM. "La sinergia tra privacy, etica e governance dei dati è molto più ampia di quanto avessimo mai previsto. Ma la tecnologia di cui disponiamo ora ci permette di affidarci con fiducia ai dati su larga scala con molta più efficienza di quanto non avessimo mai fatto prima".
La riservatezza dei dati riguarda innanzitutto la protezione dei dati dei clienti e il mantenimento della fiducia in un contesto normativo in continua evoluzione. Ma nel mercato di oggi, questo è anche un fattore di differenziazione commerciale. "La privacy fa parte di una storia di vantaggio competitivo che tocca le pratiche di tutta la nostra azienda e contribuisce direttamente ai ricavi, in quanto costruiamo la tecnologia che supporta il nostro programma sulla privacy a livello globale", afferma Christina Montgomery, Chief Privacy Officer di IBM.
L'introduzione del Regolamento Generale sulla Protezione dei Dati (GDPR) da parte dell'Unione Europea nel 2018 ha spinto molte organizzazioni, tra cui IBM, ad accelerare lo sviluppo dei propri programmi sulla privacy. Per un'azienda globale, un primo passo logico è quello di armonizzare e consolidare i requisiti legali locali in un framework di compliance globale sulla privacy. Ad esempio, classificando e consolidando i metadati provenienti da migliaia di archivi di dati esistenti in un data fabric centrale, IBM è ora in grado di determinare rapidamente quali tipi di dati personali vengono elaborati in tutta l'azienda, da chi vengono elaborati e dove vengono memorizzati. La presenza di un framework unificato sulla privacy (PDF) fornisce un approccio basato sui metadati e un'unica fonte attendibile di verità che è stata fondamentale per ridurre l'esposizione di IBM al rischio normativo.
Scopri come stare al passo con le normative sulla riservatezza dei dati in continua evoluzione.
Le organizzazioni che si spingono oltre la semplice conformità normativa possono creare fiducia nei clienti e distinguersi dalla concorrenza. Questo approccio olistico e adattivo alla riservatezza dei dati produce anche altri vantaggi:
Comprensione del rischio dei dati
Valutazione dell'uso e del rischio dei dati rispetto alle responsabilità dei clienti e alle normative.
Condivisione sicura dei dati
Protezione dei dati personali con controlli di cybersecurity per fornire esperienze affidabili.
Automatizzazione della risposta agli incidenti
Rispondere in modo efficiente per rimediare ai problemi di rischio e conformità e scalare più facilmente.
Pilastro n. 3
"La tecnologia si evolve, ma anche le minacce crescono esponenzialmente", afferma Mehdi Charafeddine, Distinguished Engineer e Global CTO for Data Platform Services di IBM. "Fortunatamente, esistono modi sempre più sofisticati per applicare la protezione dei dati e supportare la riservatezza dei dati."
Secondo Gartner, la sicurezza dei dati comprende i processi e le metodologie associate che proteggono gli asset di informazioni sensibili, sia in transito che a riposo. Per questo motivo la sicurezza dei dati si basa sugli strumenti e sui software utilizzati per proteggere la riservatezza dei dati, che si tratti di crittografia, autenticazione a più fattori, mascheramento, cancellazione o resilienza dei dati. Ma per stabilire controlli e politiche adeguate è importante tanto avere una cultura organizzativa quanto distribuire le app e gli algoritmi giusti.
Da un punto di vista tecnologico è possibile salvaguardare i dati con l'architettura di data fabric, che protegge i dati sia a livello di "front door", dove gli utenti interagiscono con i dati nel punto dell'applicazione, sia alla fonte o "back door", dove i dati vengono generati e memorizzati, per non parlare di tutto il resto. Questo approccio "front door, back door" è fondamentale per garantire l'adozione di adeguate politiche e controlli di sicurezza dei dati.
Un'altra considerazione è quella di operare in più aree geografiche. A causa dei silo di dati e della mancanza di una governance centrale, spesso non è realistico che i data scientist possano eseguire analisi in tutte le aree geografiche. Con un data fabric non c'è bisogno di "immaginare e simulare i dati e fare i modelli". Con questa moderna architettura dei dati, un'organizzazione può fornire i dati ai data scientist con le giuste regole di governance e di privacy, in modo da farli sentire come se stessero davvero gestendo un'iniziativa trasversale all'organizzazione.
Integrare le misure di sicurezza dei dati nella gestione dei dati end-to-end è importante per supportare sia la sicurezza che la privacy, soprattutto per i dati sensibili. Prendiamo ad esempio la ricerca medica in un ospedale. L'ospedale potrebbe collaborare con esperti o data scientist di terze parti che hanno bisogno di lavorare su dati o applicazioni specifiche senza però avere accesso a informazioni regolamentate o di identificazione personale. Le politiche automatizzate sui dati basate sui ruoli possono consentire la collaborazione con diverse parti, proteggendo al contempo i dati dal punto di vista della privacy e della conformità a livello di applicazione. Allo stesso tempo, per un'AI responsabile, questi dati devono essere salvaguardati alla fonte dove vengono memorizzati, ad esempio il database on-premise dove sono stati raccolti per la prima volta. In caso contrario, le informazioni sui pazienti sono ancora vulnerabili se un criminale informatico dovesse infiltrarsi in questi sistemi.
Quando la sicurezza dei dati viene eseguita correttamente, incorpora persone, processi e tecnologie e crea fiducia nell'AI. Esplora le seguenti best practice per rendere la sicurezza delle informazioni una priorità in tutte le aree dell'azienda.
I passi fondamentali per la protezione dei dati sensibili includono l'automazione della visibilità, la contestualizzazione, il controllo dei criteri di accesso e l'implementazione di un monitoraggio continuo per identificare le vulnerabilità e i rischi prima che diventino violazioni.
Sostieni un approccio zero-trust alla gestione dei dati con una suite integrata di funzionalità, che include copie di dati create automaticamente e isolate in sicurezza ed è in grado di affrontare le lacune della cybersecurity in distribuzioni sia on-premise che nel cloud ibrido.
Far fronte al numero crescente di mandati di privacy è già piuttosto complesso. Stare al passo con la produzione di report rappresenta un ulteriore impegno. Semplifica il processo mediante l'automazione, l'analytics e il monitoraggio delle attività.
Una questione di fiducia
Quando le persone capiscono come funziona la tecnologia e sentono quanto è sicura e affidabile, sono molto più inclini a fidarsi di essa. Ad esempio, guardiamo il workflow sviluppato da IBM che prevede con precisione la risposta positiva o negativa dei pazienti a un farmaco per la sindrome dell'intestino irritabile (SII) nel 95% dei casi. Combinando i dati dei pazienti affetti da SII e le tecniche spiegabili dell'AI per studiare le risposte ai farmaci, l'insieme di algoritmi risultanti ha dimostrato che era possibile sbloccare la black box dei dati sulla SII e comprendere, prevedere e spiegare come le persone affette da SII possano rispondere ai diversi farmaci in commercio, nonché a quelli in fase di sviluppo.
Un viaggio continuo per proteggere i dati e le iniziative dell'AI
Un approccio olistico alla protezione dei dati non è un'operazione una tantum. Si tratta di un percorso continuo e iterativo che si evolve con il mutare delle leggi e delle normative, delle esigenze aziendali e delle aspettative dei clienti. Sappi che i tuoi sforzi costanti valgono la pena. La tua strategia dei dati è un elemento di differenziazione competitiva che si colloca al centro di un'organizzazione basata sui dati.
In fondo, la protezione dei dati è una questione di fiducia. Attivando una strategia dei dati etica, sostenibile e adattiva che garantisca la conformità e la sicurezza in un landscape di dati in continua evoluzione, puoi trasformare la tua organizzazione in un leader di mercato.
Scopri come costruire una solida base di dati per scalare e governare l'AI aziendale.
Note a piè di pagina
¹ Gartner Identifies Top Five Trends in Privacy Through 2024 (link esterno a ibm.com), comunicato stampa, Gartner, 31 maggio 2022.
² Report Cost of a Data Breach 2022 (PDF) un report del Ponemon Institute sponsorizzato da IBM® Security, luglio 2022.
³ 5 Principles of Data Ethics for Business, blog Business Insights (link esterno a ibm.com), Harvard Business School Online, 16 marzo 2021.
⁴ Americans and Privacy: Concerned, Confused and Feeling Lack of Control Over Their Personal Information (link esterno a ibm.com), Pew Research Center, 15 novembre 2019.