Cos'è la sicurezza dei dati?

Il termine "sicurezza dei dati" indica la pratica di proteggere le informazioni digitali da accessi non autorizzati, danneggiamenti o furti durante tutto il loro ciclo di vita. È un concetto che comprende ogni aspetto della sicurezza delle informazioni, da quella fisica dell'hardware e dei dispositivi di archiviazione ai controlli amministrativi e di accesso, fino alla sicurezza logica delle applicazioni software. Include anche policy e procedure organizzative.

Se implementate correttamente, le strategie di sicurezza dei dati proteggono le risorse informatiche di un'organizzazione non solo dalle attività dei criminali informatici, ma anche dalle minacce interne e dagli errori umani, che rimangono al momento tra le principali cause di violazione dei dati. La sicurezza dei dati implica l'impiego di strumenti e tecnologie capaci di migliorare la capacità di un'organizzazione di vedere dove risiedono i dati critici e come vengono utilizzati. Idealmente, questi strumenti devono essere in grado di applicare protezioni come la crittografia, il mascheramento dei dati e la redazione dei file sensibili, e di automatizzare la creazione di report per semplificare gli audit e il rispetto dei requisiti normativi.


Sfide aziendali
La trasformazione digitale sta modificando profondamente ogni aspetto del modo in cui oggi le aziende operano e competono sul mercato. Il volume di dati che queste ultime creano, manipolano e archiviano è in continua crescita e determina una maggiore necessità di governance dei dati. Inoltre, gli ambienti informatici sono più complessi di un tempo e abitualmente comprendono il cloud pubblico, il data center aziendale e numerosi dispositivi periferici, dai sensori dell'Internet of Things (IoT) ai robot, fino ai server remoti. Questa complessità crea una superficie di attacco più ampia e più difficile da monitorare e proteggere.
Allo stesso tempo, sta aumentando la consapevolezza dei consumatori in merito all'importanza della privacy dei dati. Alimentate dalla crescente domanda pubblica di iniziative per la protezione dei dati, di recente sono state emanate numerose normative in materia di privacy, tra cui il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) in Europa e il California Consumer Protection Act (CCPA). Queste norme si aggiungono a disposizioni esistenti, quali l'Health Insurance Portability and Accountability Act (HIPAA), che protegge le cartelle cliniche elettroniche, e il Sarbanes-Oxley Act (SOX), che salvaguarda gli azionisti delle società pubbliche da errori contabili e frodi finanziarie. Con sanzioni massime dell'ordine di milioni di dollari, ogni azienda ha un forte incentivo finanziario a garantire la propria conformità.

Il valore di business dei dati non è mai stato così elevato come oggi. La perdita di segreti commerciali o di proprietà intellettuale può avere un impatto sulle innovazioni e sulla redditività future. Pertanto, l'affidabilità è sempre più importante per i consumatori: ben il 75% ha dichiarato che non acquisterà da aziende di cui non si fida per quanto riguarda la protezione dei propri dati.  

Crittografia
Utilizzando un algoritmo per trasformare i normali caratteri di testo in un formato illeggibile, le chiavi di crittografia criptano i dati in modo che solo gli utenti autorizzati possano leggerli.  Le soluzioni di crittografia dei file e dei database fungono da ultima linea di difesa per i volumi sensibili, oscurandone il contenuto attraverso la crittografia o la tokenizzazione. La maggior parte delle soluzioni include anche funzionalità di gestione delle chiavi di sicurezza.

Cancellazione dei dati
Più sicura del wiping, che è un'eliminazione standard dei dati, la cancellazione dei dati (o data erasure) utilizza un software per sovrascrivere completamente i dati su qualsiasi dispositivo di memorizzazione. Verifica anche che i dati non siano recuperabili.
 
Mascheramento dei dati
Mascherando i dati, le organizzazioni possono consentire ai propri team di sviluppare applicazioni o fare formazione utilizzando dati reali. Ove necessario, maschera infatti le informazioni di identificazione personale (PII, Personally Identifiable Information), in modo che lo sviluppo possa avvenire in ambienti conformi.

Resilienza dei dati

La resilienza è determinata dalla capacità di un'organizzazione di resistere o riprendersi da qualsiasi tipo di errore o guasto, quali problemi hardware, carenza di energia e altri eventi che influiscono sulla disponibilità dei dati (PDF, 256 KB). La velocità di recupero è fondamentale per ridurre al minimo l'impatto.

Gli strumenti e le tecnologie per la sicurezza dei dati devono affrontare le crescenti sfide legate alla protezione degli attuali ambienti informatici complessi, distribuiti, ibridi e/o multicloud: ad esempio, capire dove risiedono i dati, tenere traccia di chi vi ha accesso e bloccare le attività ad alto rischio e i movimenti di file potenzialmente pericolosi. Questo compito può essere semplificato da una soluzione completa di protezione dei dati che consenta alle aziende di adottare un approccio centralizzato al monitoraggio e all'applicazione dei criteri.

Strumenti di rilevamento e classificazione dei dati
Le informazioni sensibili possono risiedere in repository di dati strutturati e non strutturati, tra cui database, data warehouse, piattaforme di big data e ambienti cloud. Le soluzioni di rilevamento e classificazione dei dati automatizzano il processo di identificazione delle informazioni sensibili, nonché la valutazione e la correzione delle vulnerabilità.

Monitoraggio delle attività legate ai dati e ai file
Gli strumenti di monitoraggio delle attività legate ai file analizzano i modelli di utilizzo dei dati, consentendo ai team addetti alla sicurezza di visualizzare chi accede ai dati, individuare le anomalie e identificare i rischi. È inoltre possibile implementare il blocco dinamico e gli avvisi per i modelli di attività anomali.

Strumenti di valutazione della vulnerabilità e di analisi del rischio
Queste soluzioni facilitano il processo di rilevamento e mitigazione delle vulnerabilità (ad esempio, software non aggiornati, configurazioni errate o password deboli) e possono anche identificare le origini di dati a maggior rischio di esposizione.

Creazione automatizzata di report di conformità
Le soluzioni complete di protezione dei dati con funzionalità automatizzate di creazione di report possono fornire un repository centralizzato per le tracce di controllo, o audit trail, della conformità a livello aziendale.

Una strategia completa di sicurezza dei dati integra persone, processi e tecnologie. Stabilire controlli e politiche adeguati è una questione di cultura organizzativa, oltre che di implementazione del set di strumenti più corretto. Ciò significa rendere la sicurezza delle informazioni una priorità in tutte le aree dell'azienda.

Sicurezza fisica dei server e dei dispositivi degli utenti
Indipendentemente dal fatto che i tuoi dati siano archiviati on-premise, presso un data center aziendale o su un cloud pubblico, devi assicurarti che le strutture siano protette dalle intrusioni e che dispongano di misure antincendio e controlli climatici adeguati. Un cloud provider si assume la responsabilità di queste misure di protezione per tuo conto.

Gestione e controllo degli accessi
In tutto l'ambiente IT è necessario seguire il principio dell'accesso con il minor numero di privilegi ("least-access privilege"). Ciò significa concedere l'accesso al database, alla rete e agli account amministrativi al minor numero possibile di persone e solo a coloro che ne hanno assolutamente bisogno per svolgere il proprio lavoro.

Per saperne di più sulla gestione degli accessi

Sicurezza delle applicazioni e patch
Tutti i software devono essere aggiornati all'ultima versione il prima possibile dopo il rilascio di patch o nuove versioni.

Backup
Il mantenimento di copie di backup utilizzabili e accuratamente testate di tutti i dati critici è una componente fondamentale di qualsiasi solida strategia di sicurezza dei dati. Inoltre, tutti i backup devono essere soggetti agli stessi controlli di sicurezza fisici e logici che regolano l'accesso ai database e ai sistemi principali.

Scopri di più su backup e ripristino dei dati

Formazione dei dipendenti
Formare i dipendenti sull'importanza delle best practice in materia di sicurezza e password e insegnare loro a riconoscere gli attacchi di social engineering li trasforma in un "firewall umano" che può svolgere un ruolo fondamentale nella salvaguardia dei tuoi dati.

Monitoraggio e controlli della sicurezza della rete e degli endpoint
L'implementazione di una suite completa di strumenti e piattaforme per la gestione, il rilevamento e la risposta alle minacce nell'ambiente on-premise e nelle piattaforme cloud può mitigare i rischi e ridurre le probabilità di violazioni.

AI
L'AI amplifica le capacità di un sistema di sicurezza dei dati, perché può elaborare grandi quantità di dati. Il cognitive computing, un sottoinsieme dell'AI, svolge gli stessi compiti dei sistemi AI, ma lo fa simulando i processi di pensiero umani. Per quanto riguarda la sicurezza dei dati, ciò consente di prendere decisioni rapide nei momenti critici.

Per saperne di più sull'AI per la sicurezza informatica
 
Sicurezza multicloud
La definizione di sicurezza dei dati si è ampliata con l'aumento delle funzionalità del cloud. Oggi le aziende hanno bisogno di soluzioni più complesse, poiché devono proteggere non solo i dati, ma anche le applicazioni e i processi aziendali proprietari in esecuzione su cloud pubblici e privati.

Scopri di più sulla sicurezza del cloud

Quantum
La quantistica è una tecnologia rivoluzionaria che promette uno stravolgimento esponenziale di molte tecnologie tradizionali. Gli algoritmi di crittografia diventeranno molto più sfaccettati, sempre più complessi e molto più sicuri.

Ottenere una sicurezza dei dati di livello enterprise
La chiave per applicare una strategia efficace di sicurezza dei dati è l'adozione di un approccio basato sul rischio per proteggere i dati in tutta l'azienda. All'inizio del processo di sviluppo della strategia, tenendo conto degli obiettivi aziendali e dei requisiti normativi, le parti interessate devono identificare una o due origini di dati contenenti le informazioni più sensibili da cui iniziare. Dopo aver stabilito delle politiche chiare e rigorose di protezione di queste origini limitate, è possibile estendere le best practice al resto delle risorse digitali dell'azienda in base alle priorità. L'implementazione di funzionalità automatizzate di monitoraggio e protezione dei dati può rendere le best practice molto più facilmente scalabili.

Sicurezza dei dati e cloud
La protezione delle infrastrutture basate sul cloud richiede un approccio diverso rispetto al modello tradizionale che prevede la collocazione delle difese sul perimetro della rete. Servono strumenti completi per il rilevamento e la classificazione dei dati nel cloud, oltre al monitoraggio continuo delle attività e alla gestione dei rischi. Gli strumenti di monitoraggio del cloud possono inserirsi tra le soluzioni database-as-a-service (DBaaS) di un cloud provider e monitorare i dati in transito o reindirizzarne il traffico alla piattaforma di sicurezza esistente. In questo modo è possibile applicare i criteri in modo uniforme, indipendentemente dal luogo in cui risiedono i dati.

Sicurezza dei dati e BYOD
L'uso di personal computer, tablet e dispositivi mobili negli ambienti informatici aziendali è in aumento, nonostante le fondate preoccupazioni dei responsabili della sicurezza sui rischi che questa pratica può comportare. Un modo per migliorare la sicurezza del cosiddetto fenomeno del "bring your own device" (BYOD) consiste nel richiedere ai dipendenti che si servono di dispositivi personali di installare un software di sicurezza per accedere alle reti aziendali, aumentando così il controllo centralizzato e la visibilità sull'accesso e sul movimento dei dati. Un'altra strategia consiste nello sviluppare una mentalità aziendale orientata alla sicurezza, incoraggiando i dipendenti a utilizzare password forti, autenticazione a più fattori, aggiornamenti regolari del software, backup dei dispositivi e crittografia dei dati, e insegnando loro il valore di tali azioni.