Obiettivi:
Data Security racchiude la pianificazione, lo sviluppo e l’esecuzione delle politiche e procedure di sicurezza delle informazioni. Le specifiche della data security differiscono a seconda dell’industria e della nazione, ma in ogni caso lo scopo delle pratiche di data security rimane sempre lo stesso: proteggere gli asset di dati e informazioni in ottemperanza alle leggi sulla privacy e la riservatezza, alle clausole contrattuali e alle esigenze del business.
Queste esigenze possono nascere da:
- Stakeholder
- Legislazione
- Aspetti legati ai dati di business
- Necessità legittime di accesso ai dati
- Obblighi contrattuali
Politiche e procedure efficaci sulla sicurezza dei dati assicurano che le persone corrette possano utilizzare e aggiornare i dati nel modo corretto e che di contro tutti gli accessi non consentiti siano impediti.
Non esiste un unico modo per implementate la Data Security che soddisfi tutti i necessari requisiti riguardo alla privacy e alla confidenzialità: le normative infatti si concentrano sui fini della sicurezza, non sui mezzi per ottenerla. Così ogni organizzazione deve progettare i suoi propri controlli, dimostrare che questi soddisfino o siano migliorativi rispetto a quanto le norme richiedono, documentare l’implementazione di quei controlli e infine monitorare e misurare la loro efficacia nel tempo. Come in altre Knowledge Area, le attività comprendono l’identificazione dei requisiti, la definizione dello stato attuale al fine di identificare gap e rischi, realizzare e mettere in atto strumenti e processi, verificare le misure di sicurezza adottate così da assicurare l’efficacia.
Attività svolte dal nostro Team:
Identificare i Requisiti della Data Security
Prima di tutto è importante distinguere tra requisiti di business, normative imposte dal legislatore esterno e le regole imposte dall’applicazione di uno specifico software. Mentre i sistemi applicativi servono come mezzi per far rispettare le regole e le procedure aziendali, è comune che questi stessi sistemi abbiano i loro propri requisiti di sicurezza che si aggiungono a quelli necessari ai processi di business e che stanno diventando sempre più comuni grazie a sistemi pronti per essere utilizzati. È tuttavia necessario sottolineare come questi siano di supporto agli standard organizzativi di sicurezza dei dati.
Definire le Politiche di Data Security
Le organizzazioni devono creare le politiche di Data Security in base ai requisiti sia di business che normativi. Una politica è la dichiarazione di un determinato percorso e di una descrizione di alto livello dei comportamenti ritenuti consoni per raggiungere determinati obiettivi. Le politiche di Data Security descrivono i comportamenti che sono i migliori attuabili per un’organizzazione che desidera proteggere i propri dati. Le politiche devono avere un impatto misurabile, quindi devono essere verificabili e effettivamente verificate.
Le politiche aziendali spesso hanno risvolti legali. Un giudice potrebbe considerare una politica messa in atto per soddisfare un requisito di legge come uno sforzo interno all’organizzazione per essere conforme a quella norma; quindi la mancata conformità con una politica aziendale, a seguito di una violazione dei dati, può avere delle implicazioni legali.
Definire le politiche di sicurezza necessita della collaborazione tra gli amministratori della sicurezza IT, dei responsabili dell’architettura dei sistemi di sicurezza, dei comitati di Data Governance, dei Data Steward, dei gruppi di audit sia interni che esterni, del dipartimento legale. I Data Steward devono anche collaborare con i Privacy Officer (definiti da alcune leggi, specialmente americane, Sarbanes-Oxley supervisors, HIPAA Officers) e con i manager aziendali per sviluppare categorie di Metadati per fini regolatori e applicare tali classificazioni di sicurezza in modo consistente con le definizioni date. Tutte le azioni volte a garantire le conformità normative e regolatorie devono essere fra loro coordinate così da ridurre i costi ed evitare istruzioni e procedure confuse.
Definire gli Standard della Data Security
Le politiche mirano a dare delle linee guida ai comportamenti, ma non definiscono ogni possibile situazione. Gli standard integrano le politiche e forniscono ulteriori dettagli su come soddisfare gli intendimenti definiti nelle politiche. Ad esempio la politica può indicare che le password debbano seguire le linee guida delle password robuste; gli standard che definiscono una password sicura sono dettagliati separatamente. La tecnologia infine rafforza le politiche impedendo che gli utenti creino password che non rispettano gli standard delle password sicure.