Le 10 priorità di protezione e privacy dei dati del 2023

La Giornata mondiale della privacy, che si celebra ogni anno il 28 gennaio, sottolinea l’importanza della protezione dei dati personali nell’era digitale. Nuove normative come il DORA impongono alle organizzazioni di implementare strategie di gestione del rischio e protezione dei dati. La privacy dei dati e la loro protezione sono concetti interconnessi ma distinti.

Per una gestione efficace, le aziende devono considerare dieci aspetti chiave: strategia di data protection, crittografia, autenticazione multi-persona, storage immutabile, sovranità dei dati, data governance, classificazione dei dati, conservazione, test del piano di resilienza e valutazione del rischio. Implementando queste pratiche e aggiornando regolarmente i piani di sicurezza, le organizzazioni possono garantire la conformità alle normative sulla privacy e proteggere efficacemente le informazioni personali dei clienti.

Normative sulla privacy dei dati: DORA e il panorama in evoluzione

Nuove normative, come il DORA (Digital Operational Resiliency ACT), impongono alle organizzazioni di creare piani per la gestione del rischio, la segnalazione degli incidenti e i test di resilienza. Queste normative definiscono policy di gestione dei dati, tra cui crittografia, localizzazione e ciclo di vita. Secondo Gartner, “entro il 2023, il 65% della popolazione mondiale avrà i propri dati personali coperti da diverse normative sulla privacy dei dati, cosa che impone alle aziende la scelta di soluzioni flessibili in grado di adattarsi alla moltitudine di regolamenti.” Navigare in questo ambiente complesso può essere effettivamente molto impegnativo sia per i singoli che per le aziende.

Data privacy vs protezione dei dati: comprendere le differenze chiave

La privacy dei dati è la protezione delle informazioni personali e la possibilità di controllare il modo in cui i dati vengono raccolti, utilizzati e conservati.  D’altra parte, la protezione si riferisce alle misure tecniche e organizzative messe in atto per salvaguardare i dati (compresi quelli personali) da accesso, uso, alterazione o distruzione non autorizzati. Comprende la privacy e altre aree, tra cui backup e ripristino, disaster recovery, sicurezza e molto altro.

Per approfondire questi temi, è comunque utile consultare materiali didattici come per esempio le risposte Test sulla Privacy 2023, che offrono sempre una panoramica aggiornata delle pratiche e delle normative in vigore.

10 argomenti chiave per la gestione della privacy e protezione dei dati

Per affrontare questa complessità, analizziamo i 10 argomenti principali da considerare nella gestione della privacy dei dati e della protezione dei dati.

1. Strategia di data protection: fondamenta per la sicurezza dei dati

Le aziende dovrebbero iniziare a creare o aggiornare un piano di protezione, backup e ripristino dei dati e di disaster recovery come parte di una strategia globale di sicurezza dei dati. Sono numerose le sfaccettature di un piano affidabile e riguardano in particolare la protezione dei dati privati che i clienti hanno condiviso con l’organizzazione.

2. Crittografia: elemento essenziale per la protezione dei dati privati

La crittografia è una funzionalità fondamentale della protezione e della tutela dei dati privati. Quella dei dati a riposo e in transito aiuta a prevenire l’accesso non autorizzato alle informazioni personali, aspetto particolarmente importante per le organizzazioni che gestiscono grandi quantità di dati privati, come i fornitori di servizi sanitari e le istituzioni finanziarie. I dati non risiedono più solo nei data center aziendali, poiché la maggior parte delle aziende dispone di uno o più cloud pubblici in cui sono memorizzati workload e informazioni. L’uso della crittografia, a rafforzare la protezione, aiuta a mitigare il rischio di potenziali attacchi nel corso dell’intera vita dei dati.

3. Autenticazione multi-person: rafforzare la sicurezza dei sistemi

Oltre a proteggere i dati con la crittografia, le aziende devono salvaguardare i propri sistemi da attacchi dannosi. L’utilizzo dell’autenticazione multi-persona (MPA) per i sistemi di protezione dei dati prevede per le attività critiche la necessità di più approvazioni da parte di utenti previamente autorizzati. Spesso trascurato, è uno dei modi più semplici per prevenire operazioni come l’esfiltrazione o l’eliminazione dei dati.

4. Storage immutabile: garantire l’integrità dei dati nel tempo

Lo storage immutabile consente di scrivere dati, privati o di altro tipo, che non possono essere ulteriormente modificati o cancellati, garantendo il mantenimento della loro integrità. I requisiti di storage immutabile stanno rapidamente diventando una componente standard delle normative sulla governance dei dati come GDPR, HIPAA e altre. In combinazione con l’MPA, è possibile creare livelli di archiviazione dei dati altamente sicuri, perfetti per l’archiviazione di quelli riservati e privati.

5. Sovranità dei dati: conformità alle normative regionali

Nello sviluppo di una strategia di protezione dei dati, le organizzazioni devono tenere conto delle normative relative all’archiviazione delle informazioni private, che includono l’ubicazione dello storage e la conformità alle normative sulla sovranità dei dati. Può essere richiesto che un determinato set di dati rimanga anche fisicamente all’interno di una regione specifica, o ne segua regole altrettanto specifiche. Ad esempio, un workload basato su cloud su GCP in Europa o contenente dati di cittadini dell’UE deve essere conforme alle normative dell’UE.

6. Data Governance & Discovery: mappare e gestire i dati aziendali

In una recente indagine, il 57% dei CISO ha ammesso di non sapere dove si trovino alcuni o tutti i propri dati o come siano protetti. Con la continua crescita della quantità di dati privati, il numero di normative si estende in modo esponenziale generando confusione su cosa deve essere protetto e come. Di conseguenza, le aziende devono capire quali dati possiedono, dove si trovano e quali sono a rischio ed è fondamentale essere in grado di stabilire un ordine di priorità in base alle policy, agli obiettivi e alle normative applicabili dell’organizzazione.

7. Classificazione dei dati: prioritizzare la protezione delle informazioni critiche

Sapere quali dati esistono e dove risiedono è solo una parte della soluzione, perché le organizzazioni devono considerare gli stessi dati in termini di importanza relativa, per i clienti o per la stessa azienda. Proteggendo solo i dati on-premise potrebbero sfuggirne alcuni critici che risiedono nella soluzione CRM basata su SaaS. A questo proposito, per la sicurezza dei dati non si può dipendere solo dal fornitore SaaS o di cloud IaaS, che possono fornire alcuni SLA e un determinato livello di ridondanza, ma non possono sostituire completamente un solido piano di protezione. Anche la gestione della classificazione dei dati non è un’operazione puntuale, dato che i dati crescono esponenzialmente ogni anno.

8. Conservazione dei dati: gestire il ciclo di vita delle informazioni

È fondamentale sapere quali dati esistono e quanto sono importanti, ma per quanto tempo questi stessi dati rimangono rilevanti? Per la maggior parte delle organizzazioni è difficile rispondere a questa domanda, che si ripropone ogni anno con l’acquisto di sistemi di archiviazione sempre più grandi per ospitare i dati aziendali. Essere in grado di assegnare una durata di vita prevista può avere un impatto notevole sui profitti dell’azienda e proteggere i dati privati dei clienti. Disporre di sistemi per individuare, classificare e impostare automaticamente la conservazione dei dati ridurrà la probabilità di una loro dispersione, il tempo necessario per recuperare quelli inutilizzati e i costi.

9. Test del piano di resilienza e risposta agli incidenti: preparazione alle minacce

Il test del piano di resilienza, spesso definito runbook, è un’area spesso trascurata di una strategia di protezione dei dati. Creare o aggiornare un piano obsoleto può essere un compito scoraggiante, ma collaborare con fornitori di soluzioni di protezione dei dati con esperienza può ridurre significativamente il tempo necessario per aggiornarlo. La creazione di aggiornamenti con cadenza regolare crea una postura organizzativa pronta ad affrontare le minacce alla sicurezza.

10. Valutazione del rischio: monitoraggio continuo della sicurezza dei dati

Come già per il runbook, sarebbe opportuno collaborare con fornitori strategici per eseguire una valutazione dei rischi su base semestrale o annuale. Le valutazioni programmate possono aiutare a costruire la memoria per una solida mentalità di protezione e privacy dei dati.

Implementando queste azioni e aggiornando regolarmente il piano di resilienza, si potrà avere certezza che le informazioni personali siano sicure e conformi alle più recenti normative sulla privacy.

A cura di Vincenzo Costantino, Senior Director, Sales Engineering South Western Europe di Commvault

Condividi sui Social Network:

Ultimi Articoli