Classificazione dei dati: Cos’è e come implementarla

La classificazione dei dati è una componente vitale di qualsiasi programma di sicurezza e conformità delle informazioni, specialmente se l’organizzazione memorizza grandi volumi di dati. Fornisce una solida base per la tua strategia di sicurezza dei dati aiutandoti a capire dove memorizzi dati sensibili e regolamentati, sia on premise che nel cloud. Inoltre, la classificazione dei dati migliora la produttività e il processo decisionale degli utenti e riduce i costi di archiviazione e manutenzione consentendo di eliminare i dati non necessari.

In questo articolo imparerai quali vantaggi offre la classificazione dei dati, come implementarla e come scegliere la giusta soluzione software.

• Chiave di Classificazione dei Dati i Termini e le Definizioni
• Scopo di Classificazione dei Dati
• i Vantaggi di Classificazione dei Dati
• Tipi di Classificazione dei Dati
• Esempi di Classificazione dei Dati Categorie
• Classificazione dei Dati di Processo
• Come Selezionare una Classificazione dei Dati Soluzione
• FAQ

Chiave di Classificazione dei Dati i Termini e le Definizioni

classificazione dei Dati è il processo di organizzazione di dati strutturati e non strutturati in categorie definite che rappresentano i diversi tipi di dati. Le classificazioni standard utilizzate nella categorizzazione dei dati includono:

• Pubblico
• Confidenziale
• Sensibile
• Personale

I dati sensibili sono un termine generale che rappresenta i dati limitati all’uso da parte di persone o gruppi specifici. I dati sensibili e riservati sono spesso usati in modo intercambiabile. Esempi di dati sensibili includono proprietà intellettuale e segreti commerciali.

La riclassificazione dei dati è la riclassificazione dei dati per applicare aggiornamenti appropriati, ad esempio, sulla base di modifiche agli obblighi legali o contrattuali, all’utilizzo o al valore dei dati o a nuovi o rivisti mandati normativi.

La codifica o l’etichettatura dei dati aggiunge metadati ai file che indicano i risultati della classificazione.

Scopo della classificazione dei dati

La classificazione dei dati consente di comprendere quali tipi di dati vengono archiviati e dove si trovano. Questa intelligenza:

• Informa i processi di risk management, legal discovery e regulatory compliance
• Aiuta a dare priorità alle misure di sicurezza
• Migliora la produttività degli utenti e il processo decisionale semplificando la ricerca e l’e-discovery
• Riduce i costi di manutenzione e archiviazione dei dati identificando dati duplicati e obsoleti
• Aiuta i team IT a giustificare

Vantaggi della classificazione dei dati

Più in generale, la classificazione dei dati aiuta le organizzazioni a migliorare la sicurezza dei dati e a garantire la conformità alle normative.

Sicurezza dei dati

La classificazione è un modo efficace per proteggere i tuoi dati importanti. Identificando i tipi di dati che memorizzi e individuando dove risiedono i dati sensibili, sei ben posizionato per:

• la Priorità delle misure di sicurezza, regolando i controlli di sicurezza basati su dati di sensibilità
• Capire chi può accedere, modificare o cancellare i dati
• Valutare i rischi, l’impatto di una violazione, ransomware attacco o minaccia,

Conformità alle Normative

Conformità con le normative richiedono alle organizzazioni di proteggere i dati specifici, quali dati del titolare della carta (PCI DSS) o di dati personali di residenti nell’UE (GDPR). La classificazione dei dati consente di identificare i dati soggetti a regolamenti particolari in modo da poter applicare i controlli richiesti e superare gli audit.

Ecco come la classificazione dei dati può aiutarti a soddisfare gli standard di conformità comuni:

• GDPR-La classificazione dei dati ti aiuta a difendere i diritti degli interessati, inclusa la soddisfazione della richiesta di accesso degli interessati recuperando il set di documenti con i dati relativi a un determinato individuo.
• HIPAA — Sapere dove sono memorizzate tutte le cartelle cliniche consente di implementare controlli di sicurezza per una corretta protezione dei dati.
• ISO 27001-La classificazione delle informazioni in base al valore e alla sensibilità consente di soddisfare i requisiti per prevenire la divulgazione o la modifica non autorizzate.
• NIST SP 800-53 — Categorizzare i dati aiuta le agenzie federali a progettare e gestire correttamente i propri sistemi IT.
• PCI DSS — classificazione dei Dati consente di identificare e garantire il consumatore informazioni finanziarie utilizzati per il pagamento con carta di

Tipi di Classificazione dei Dati

• Content-based classificazione analizza e interpreta i file per identificare le informazioni sensibili.
• La classificazione basata sul contesto esamina l’applicazione, la posizione, i tag del creatore e altre variabili come indicatori indiretti di informazioni sensibili.
• La classificazione basata sull’utente dipende dalla selezione manuale di ciascun documento da parte di una persona.

Esempi di categorie di classificazione dei dati

Esempio di uno schema di classificazione di base

Lo schema più semplice è la classificazione a tre livelli:

• Dati pubblici-Dati che possono essere liberamente comunicati al pubblico. Gli esempi includono le informazioni di contatto della tua azienda e la politica sui cookie del browser.
• Dati interni-dati che hanno requisiti di sicurezza bassi ma non sono destinati alla divulgazione al pubblico, come le ricerche di marketing.
• Dati limitati-Dati interni altamente sensibili. La divulgazione potrebbe influire negativamente sulle operazioni e mettere l’organizzazione a rischio finanziario o legale. I dati limitati richiedono il massimo livello di protezione di sicurezza.

Esempio di uno schema di classificazione governativo

Le agenzie governative usano spesso tre livelli di sensibilità, ma danno loro etichette diverse da quelle sopra elencate: top secret, secret e public. Per strutture di dati più complesse, è possibile aggiungere più livelli. Ecco una strategia a cinque livelli con esempi:

• — Top-secret Cryptologic e comunicazioni intelligence
• Segreto — Selezionare i piani militari
• Confidential — i Dati che indicano la forza delle forze di terra
• Sensibili non classificate — Dati tagged “Solo Per Uso Ufficiale”
• non Classificati — i Dati che possono essere rilasciati pubblicamente con autorizzazione

Esempio di Classificazione Commerciale

in Genere, le organizzazioni che, memorizzare ed elaborare i dati commerciali di utilizzare quattro livelli di classificazione dei dati: tre riservate livelli e un livello pubblico. Alcuni lo espandono in un sistema a cinque livelli con i seguenti livelli:

• Sensibile, proprietà Intellettuale, PHI
• Confidenziale — contratti con i fornitori, dipendente recensioni
• Privato — i nomi dei Clienti o immagini
• Proprietario — processi Organizzativi
• Informazioni Pubbliche che possono essere divulgate a terzi

Classificazione dei Dati di Processo

Efficace di Classificazione delle Informazioni in Cinque Passi

1. Stabilire una classificazione dei dati politica, compresi gli obiettivi, i flussi di dati schema di classificazione, i proprietari dei dati e la manipolazione
2. Individuare i dati sensibili che si store.
3. Applica etichette taggando i dati.
4. Utilizzare i risultati per migliorare la sicurezza e la conformità.
5. I dati sono dinamici e la classificazione è un processo in corso.

Creazione di una politica di classificazione dei dati efficace

Una politica di classificazione dei dati è un documento che include un quadro di classificazione, un elenco di responsabilità per l’identificazione dei dati sensibili e descrizioni dei vari livelli di classificazione dei dati.

Una buona politica di classificazione:

• Utilizza criteri che sono semplici e di evitare ambiguità, ma che sono abbastanza generica da applicare a diversi set di dati e circostanze
• È chiaro e scritto in un linguaggio semplice
• > si Adatta per l’organizzazione di business
• È limitata a 3 o 4 livelli di classificazione
• Contiene un punto di contatto per chiarimenti
• definisce un analisi del programma

Come Selezionare una Classificazione dei Dati Soluzione

Cercare queste caratteristiche:

• Compound term search-Migliora la precisione riducendo al minimo i falsi positivi e falsi negativi.
• Indice: consente di identificare i termini sensibili senza eseguire nuovamente la scansione dei dati.
• Flexible taxonomy manager-Semplifica l’aggiunta e la modifica di termini e regole.
• Flussi di lavoro: esegue automaticamente azioni specifiche quando un documento viene classificato in un determinato modo. Ad esempio, un flusso di lavoro potrebbe spostare i dati sensibili da una condivisione pubblica.
• Ampiezza della copertura: supporta origini dati cloud e on-premise, inclusi dati strutturati e non strutturati.

FAQ

Qual è lo scopo della classificazione dei dati?

Classificazione dei dati ordina i dati in categorie in base al valore e alla sensibilità.

Perché la classificazione dei dati è importante? Quali vantaggi offre?

La classificazione dei dati ti aiuta a dare priorità ai tuoi sforzi di protezione dei dati per migliorare la sicurezza dei dati e la conformità alle normative. Migliora anche la produttività degli utenti e il processo decisionale e riduce i costi consentendo di eliminare i dati non necessari.

Quali sono i livelli di classificazione dei dati comuni?

I dati sono spesso classificati come pubblici, riservati, sensibili o personali.

Quali sono i tipi di classificazione dei dati?

La classificazione può essere basata sul contenuto, basata sul contesto o basata sull’utente (manuale).

Quale software dovrei usare per la classificazione dei dati?

Cerca il software di classificazione dei dati, come quello offerto da Netwrix, che:

• Usa la parola composta di ricerca per assicurare l’accuratezza di classificazione che riduce al minimo i falsi positivi
• Ha un indice in modo che si possono trovare sensibili termini senza ri-eseguire la scansione di archivi di dati
• Include un flessibile tassonomia manager che ti permette di personalizzare i parametri di classificazione
• Offre flussi di lavoro per automatizzare processi come la migrazione di dati sensibili da azioni pubbliche
• Supporta sia on-premise e cloud origini di contenuto, tra strutturati e non strutturati di dati

Che è responsabile per la classificazione dei dati in un organizzazione?

Le organizzazioni designano in genere un responsabile della sicurezza e del rischio, un responsabile della protezione dei dati, un comitato di conformità o un’entità simile.

VP di gestione del prodotto a Netwrix. Il è responsabile della visione e della strategia del prodotto Netwrix. È un esperto riconosciuto in sicurezza delle informazioni e membro ufficiale del Forbes Technology Council. Il ha oltre 15 anni di esperienza nel mercato del software di gestione IT. Nel blog Netwrix, Il si concentra sulle tendenze della sicurezza informatica, sulle strategie e sulla valutazione del rischio.