Cos'è la gestione del livello di sicurezza dei dati (DSPM)?

DSPM fornisce insight e automazione che consentono ai team di sicurezza di affrontare rapidamente i problemi di sicurezza e conformità dei dati e di prevenire le recidive.

Identificato per la prima volta dall'analista di settore Gartner (nel suo Hype Cycle for Data Security del 2022), la DSPM viene talvolta definita sicurezza "data first" perché inverte il modello di protezione adottato da altre tecnologie e pratiche di cybersecurity.

Anziché proteggere i dispositivi, i sistemi e le applicazioni che ospitano, spostano o elaborano i dati, DSPM si concentra sulla protezione diretta dei dati. Detto questo, DSPM integra molte altre soluzioni nello stack tecnologico di sicurezza di un'organizzazione.

La maggior parte delle tecnologie di sicurezza protegge i dati sensibili impedendo l'accesso non autorizzato alla rete o rilevando e bloccando comportamenti sospetti o nocivi da parte di utenti autorizzati e non, application programming interface (API), dispositivi di Internet of Things (IoT) o altro.

Queste tecnologie hanno migliorato la sicurezza dei dati, il rilevamento e la risposta alle minacce. Ma la massiccia adozione di cloud computing, sviluppo agile cloud-native, intelligenza artificiale (AI) e machine learning (ML) ha portato a rischi e vulnerabilità per la sicurezza dei dati che queste tecnologie non sempre risolvono. Queste vulnerabilità possono, a loro volta, esporre le organizzazioni al rischio di violazioni dei dati e di violazioni della conformità normativa.

Il principale tra questi rischi è rappresentato dai shadow data: dati sottoposti a backup, copiati o replicati in uno storage dei dati che non è monitorato, gestito o regolato dagli stessi team di sicurezza, dalle stesse politiche di sicurezza o dagli stessi controlli di sicurezza dei dati originali. Ad esempio, nell'ambito dello sviluppo e dei test iterativi, i team DevOps potrebbero creare decine di nuovi storage dei dati ogni giorno e copiarvi i dati sensibili. Un singolo errore di configurazione potrebbe rendere i dati, in uno o tutti gli archivi, più vulnerabili all'accesso non autorizzato.

Anche la domanda di dati per la modellazione AI o ML contribuisce alla creazione di shadow data, in quanto le organizzazioni ampliano l'accesso ai dati a un maggior numero di utenti che non hanno una comprensione adeguata della sicurezza e della governance dei dati. Inoltre, l'aumento dell'adozione di ambienti multicloud (utilizzo di servizi e applicazioni cloud di più fornitori) e di hybrid cloud (infrastruttura che combina e orchestra ambienti cloud pubblici e privati) distribuisce il rischio.

Secondo il report IBM Cost of a Data Breach 2025, il 72% delle violazioni dei dati riguardava dati memorizzati in ambienti cloud e il 30% dei dati violati era memorizzato in più tipi di ambienti informatici, tra cui cloud privato, cloud pubblico, hybrid cloud e on-premise.

Le soluzioni DSPM individuano i dati sensibili di un'organizzazione, ne valutano il livello di sicurezza, correggono le vulnerabilità in linea con gli obiettivi di sicurezza e i requisiti di conformità dell'organizzazione, e implementano misure di sicurezza e monitoraggio per prevenire recidive relative alle vulnerabilità identificate.

In genere, le soluzioni DSPM sono senza agent (il che significa che non richiedono l'implementazione di un'app software separata per ogni asset o risorsa monitorati e protetti) e forniscono un elevato grado di automazione.

Anche se gli esperti di sicurezza potrebbero dissentire sui dettagli, DSPM è generalmente costituito da quattro componenti chiave:

• Data discovery

• Classificazione dei dati

• Valutazione del rischio e definizione delle priorità

• Correzione e prevenzione

Le funzionalità di data discovery delle soluzioni DSPM eseguono la scansione continua degli asset di dati sensibili ovunque si trovino. Ciò include la scansione attraverso:

• ambienti on-premise e cloud (ad esempio, cloud pubblici, privati e ibridi).

• tutti i provider di cloud, ad esempio Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud e Microsoft Azure, nonché provider di Software-as-a-Service (SaaS) come Salesforce.

• tutti i cloud service, ad esempio Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) e Database-as-a-Service (DBaaS).

• tutti i tipi di dati e storage di dati, ad esempio dati strutturati e non strutturati, storage cloud (archiviazione di file, block storage e object storage) o servizi di storage associati a particolari cloud service, app cloud o provider di cloud service.

In generale, la classificazione dei dati categorizza gli asset di dati in base ad alcuni criteri predefiniti. Nel contesto DSPM, la classificazione dei dati categorizza i dati in base alla loro sensibilità, determinando quanto segue per ogni asset di dati:

• Il livello di sensibilità dei dati—che si tratti di PII, informazioni riservate, relative a segreti commerciali, o altri.
• Chi può e dovrebbe essere autorizzato ad accedere ai dati.
• Come vengono archiviati, gestiti e utilizzati i dati.
• Se i dati sono soggetti a framework normativi, ad esempio l'Health Insurance Portability and Accountability Act (HIPAA), il Payment Card Industry Data Security Standard (PCI DSS), il General Data Privacy Regulation (GDPR) dell'UE, il California Consumer Privacy Act (CCPA) e altre normative sulla protezione/privacy dei dati.

DSPM identifica e assegna la priorità alle vulnerabilità associate ad ogni asset di dati. In primo luogo, DSPM cerca le seguenti vulnerabilità:

Errori di configurazione
Gli errori di configurazione sono impostazioni di sicurezza di un'applicazione o di un sistema mancanti o incomplete che rendono i dati di un'organizzazione vulnerabili all'accesso non autorizzato. Il risultato più comune di un errore di configurazione è lo storage di dati nel cloud non protetto, ma un'errata configurazione può anche creare vulnerabilità come patch di sicurezza non applicate e una mancata crittografia dei dati. L'errore di configurazione è ampiamente considerato come il rischio più comune per la sicurezza dei dati nel cloud ed è una causa frequente di perdita o fuga di dati.

Overentitlement (o overprovisioning)
L'overentitlement consiste nel concedere agli utenti più privilegi o autorizzazioni di accesso ai dati di quelli necessari per svolgere il loro lavoro. L'overentitlement può essere il risultato di un errore di configurazione, ma può verificarsi anche quando le autorizzazioni vengono intenzionalmente aumentate in modo improprio o incauto (o doloso, da parte dell'attore di una minaccia), o quando le autorizzazioni pensate per essere temporanee non vengono revocate quando non più necessarie.

Problemi di flusso dei dati e data lineage
L'analisi del flusso di dati tiene traccia di tutti i luoghi in cui sono stati i dati e di chi ha avuto accesso in ciascun luogo. In combinazione con le informazioni sulle vulnerabilità dell’infrastruttura, l’analisi del flusso di dati può rivelare potenziali percorsi di attacco ai dati sensibili.

Violazioni di politiche di sicurezza e normative
Le soluzioni DSPM associano le impostazioni esistenti di sicurezza dei dati alle politiche di sicurezza dei dati dell'organizzazione e ai requisiti di sicurezza dei dati imposti da eventuali framework normativi a cui l'organizzazione è soggetta, per identificare dove i dati sono protetti in modo inadeguato e dove l'organizzazione corre rischi di non conformità.

Le soluzioni DSPM forniscono report e dashboard in tempo reale che danno priorità alle vulnerabilità in base alla gravità, in modo che i team di sicurezza e gestione del rischio possano concentrarsi sulla correzione dei problemi più critici. Molte soluzioni DSPM forniscono anche istruzioni di correzione dettagliate o playbook di risposta agli incidenti per risolvere potenziali rischi o minacce in corso alla sicurezza dei dati.

Alcune soluzioni DSPM automatizzano le modifiche alle configurazioni delle applicazioni o del sistema, ai controlli di accesso e alle impostazioni del software di sicurezza per una migliore protezione dalla potenziale esposizione dei dati. Altre possono essere integrate con i workflow dei DevOps per correggere potenziali rischi per la sicurezza nelle prime fasi del ciclo di sviluppo delle applicazioni.

Tutte le soluzioni DSPM monitorano continuamente l'ambiente alla ricerca di nuovi asset di dati e li verificano costantemente per individuare potenziali rischi per la sicurezza.

La gestione del livello di sicurezza del cloud (CSPM) è la tecnologia di cybersecurity che automatizza e unifica l'identificazione e la correzione di errori di configurazione e rischi per la sicurezza in ambienti e servizi di hybrid cloud e multicloud.

La CSPM è simile alla DSPM, ma le due soluzioni coprono diverse aree di interesse. La CSPM si concentra sulla ricerca e la correzione delle vulnerabilità a livello di infrastruttura cloud e in particolare nelle unità di calcolo (come macchine virtuali o container) e nelle implementazioni PaaS. La DSPM si concentra sull'individuazione e sulla correzione delle vulnerabilità a livello dei dati.

Più le organizzazioni espandono l'adozione del cloud, più è probabile che abbiano bisogno di entrambi: CSPM per limitare o impedire l'accesso non autorizzato agli asset dell'infrastruttura cloud e DSPM per limitare o impedire l'accesso non autorizzato ai dati contenuti negli asset.

DSPM può essere integrato con altri strumenti di sicurezza aziendale per migliorare il livello di sicurezza dei dati di un'organizzazione, in particolare, e le sue capacità di rilevamento, prevenzione e risposta alle minacce, in generale.

La gestione delle identità e degli accessi (IAM) gestisce le identità degli utenti e le autorizzazioni di accesso per garantire che solo gli utenti e i dispositivi autorizzati possano accedere alle risorse di cui hanno bisogno, per i motivi giusti, al momento giusto. Integrando DSPM e IAM, i team di sicurezza possono automatizzare le modifiche di accesso alle autorizzazioni e proteggere meglio i dati sensibili dell'organizzazione.

La funzione di rilevamento e risposta degli endpoint (EDR) utilizza i real-time analytics e l'automazione basata sull'AI per monitorare e proteggere gli endpoint e prevenire le minacce informatiche che riescono a oltrepassare il software antivirus e altre tradizionali tecnologie di endpoint security. Integrare DSPM e EDR può aiutare a garantire la coerenza all'interno di un'organizzazione tra endpoint security, sicurezza dei dati e politiche di conformità.

Le soluzioni di gestione delle informazioni e degli eventi di sicurezza (SIEM) raccolgono dati di log relativi alla sicurezza e altre informazioni provenienti da tutta l'azienda, per poi correlarli e analizzarli per aiutare i team addetti alla sicurezza a rilevare le minacce e a semplificare o automatizzare la risposta agli incidenti. La DSPM può importare dati SIEM per ottenere ulteriore contesto e insight relativi al livello di sicurezza degli asset di dati.

Le strategie e gli strumenti di prevenzione della perdita di dati (DLP) aiutano le organizzazioni a prevenire fughe, esfiltrazioni (furti) e perdite di dati, monitorando i dati in tutta la rete e applicando politiche di sicurezza granulari. L'integrazione di DSPM e DLP può arricchire l'analisi del flusso di dati DSPM per identificare più accuratamente i rischi per la sicurezza dei dati e i percorsi di attacco ai dati sensibili.