Molte aziende sottovalutano ancora il valore che i dati prodotti e archiviati possono avere. Anche quelle più consapevoli, tuttavia, dovrebbero soffermarsi sul significato reale del termine “valore”. Per semplificare, possiamo dire che i dati aziendali hanno almeno due valenze distinte. Quella più rilevante e a cui molto spesso si fa riferimento è il valore potenziale, ovvero quello che le informazioni potrebbero esprimere se analizzate e sfruttate al meglio. I dati, tuttavia, hanno anche una quotazione operativa, la semplice somma dei costi di raccolta, gestione, archiviazione e rendicontazione. Che, se calcolata nel dettaglio, può facilmente raggiungere cifre così importanti da far ricredere anche il più scettico fra i decisori. La Data Protection si occupa di fare in modo che questo valore non venga perso o degradato e si riferisce sia alla conservazione vera e propria, sia alla protezione da furti e minacce esterne.
Possiamo definire la Data Protection come la disciplina che include processi e strategie implementate per difendere i dati aziendali da accessi, diffusione e utilizzi impropri, così come da alterazione o distruzione. Un campo di azione vasto, che abbraccia sia aspetti strettamente operativi come la gestione dei backup, sia aspetti strategici e di compliance, come la gestione delle normative di settore. Proprio quest’ultimo ambito oggi richiede una particolare attenzione, visto il panorama regolatorio internazionale sempre più attento alla tutela e alla conservazione dei dati, personali e non.
|
144 Paesi al mondo (il 73,8%) hanno una legislazione sulla privacy dei dati |
6,64 miliardi di persone sono protette da normative sulla privacy, pari all’82% della popolazione globale. |
2,1 miliardi di euro: le sanzioni per violazione della privacy erogate dall’UE nel 2023. |
Fonte: UN trade & development.
|
Caratteristica |
Stato della normativa |
|
Regolamento Generale sulla Protezione dei Dati (GDPR) |
In vigore dal maggio 2018 |
|
Digital Markets Act (DMA) |
Pienamente in vigore da marzo 2024 |
|
Digital Services Act (DSA) |
Pienamente in vigore da febbraio 2024 |
|
AI Act dell’Unione Europea |
Approvato a maggio 2024; entrata in vigore con tempistiche di conformità differenziate |
|
Cyber Resilience Act (CRA) |
Entrata in vigore da dicembre 2024 |
|
Network and Information Security 2 (NIS2) |
In vigore dal 16 ottobre 2024 |
Proprio per la sua trasversalità, la data protection richiede un vasto bouquet di professionalità e competenze, che non sempre il mercato offre. Questo costituisce una sfida importante, soprattutto se si considera che praticamente tutti i potenziali clienti, sia nel mondo B2B sia nel mondo B2C, considerano ormai i propri dati un asset da proteggere, e sono più propensi a dare fiducia alle aziende che si dimostrano diligenti in questo senso.
|
Il 91% delle aziende è convinta che i provider che operano a livello globale offrono una migliore protezione dei dati |
Il 90% delle aziende pensa che i dati siano più sicuri se si trovano nello stesso stato o regione geografica |
Il 95% dei clienti non comprerebbe da aziende che non proteggono i dati in modo adeguato |
|
Il 99% dei clienti ritiene importanti le certificazioni esterne nella ricerca di un vendor. |
Il 70% dei dipendenti ritiene che nella propria azienda le skill collegate alla gestione dei dati personali sia carente o assente |
Il 42% dei dipendenti ha l’impressione che la propria azienda sottovaluti il tema della gestione dei dati personali |
Nel mondo IT, come in ogni campo tecnico, risulta particolarmente complesso costruire un set di regole adatto universalmente e trasversalmente a ogni esigenza. Tuttavia, una checklist per la data protection che copra gli aspetti indispensabili e più importanti è un’ottima opportunità di riflessione, una sorta di punto di partenza attraverso il quale le aziende possono avviare una riflessione virtuosa sul proprio livello di maturità in termini di sicurezza e cultura del dato.
Come abbiamo già accennato e come vedremo, infatti, una buona Data Protection Strategy coinvolge temi apparentemente distanti, dall’organizzazione delle risorse alla cybersecurity, che tuttavia quando operano in modo concertato possono condurre a interessanti risultati. Ecco i più importanti accorgimenti tecnici da mettere in campo.
Iniziamo con la pratica di data protection più semplice e, fortunatamente, adottata e riconosciuta. Tuttavia, “avere un backup” non è sufficiente: occorre andare più in profondità e definire, oltre alla frequenza, anche altri parametri fondamentali. Ricordiamo per esempio:
Recovery Time Objective (RTO): il tempo massimo tollerabile per il ripristino dei sistemi dopo un incidente;
Recovery Point Objective (RPO): la finestra temporale massima che l’azienda è disposta a perdere (per esempio trenta minuti o ventiquattro ore) e che stabilisce la frequenza con la quale i dati devono essere consolidati.
Nel definire le modalità di backup, è bene ricordare anche buone pratiche come la regola 3-2-1 che prevede di conservare tre copie dei dati, su due media diversi di cui almeno 1 in posizione decentrata, l’uso di backup air-gapped immutabili per mitigare il rischio legato al ransomware e la definizione di verifiche periodiche dei backup attraverso test di ripristino.
Le pratiche incluse in questa voce riguardano direttamente l’identità digitale e la sicurezza perimetrale. Partiamo da un principio chiaro e riconosciuto: nessun permesso deve essere dato per scontato. Il modello Zero Trust, che ormai è uno standard de facto, implica la continua richiesta e verifica delle autorizzazioni, anche agli utenti interni. In quest’ottica, l’autenticazione multi-fattore, MFA, basata su almeno due criteri (2FA), deve essere sempre attiva per tutti gli account, senza distinzioni di privilegi o frequenza d’uso.
Inoltre, è indispensabile garantire che i dati siano cifrati in modo sicuro, sia quando sono conservati su dischi, server o supporti, stato che si definisce convenzionalmente data at rest, sia durante la trasmissione, data in transit. Oltre a essere un requisito espresso in normative come GDPR, la crittografia riduce esponenzialmente i rischi legati a intercettazioni, furti o accessi non autorizzati ai dati. Le chiavi crittografiche devono essere gestite con molta attenzione, per esempio attraverso rotazione periodica, accesso limitato e archiviazione sicura.
Una volta che i dati sono protetti e intrinsecamente sicuri, la Data Protection deve occuparsi anche della visibilità lungo la filiera del dato, sia per capirne l’uso, sia per l’identificazione di eventuali anomalie. Le soluzioni di Data Loss Prevention servono a questo: monitorare i dati sensibili a livello di endpoint, rete e cloud, ed eventualmente intervenire per bloccare azioni non autorizzate come copie, trasferimenti o condivisioni.
Un buon sistema DLP deve integrare funzionalità di monitoraggio dei comportamenti degli utenti, capaci di rilevare utilizzi anomali. Per esempio, se un utente improvvisamente inizia a scaricare un volume elevato di file in orari insoliti, il sistema dovrebbe segnalarlo o intervenire direttamente. Microsoft Purview, per esempio, consente di configurare regole di prevenzione su endpoint e ambienti cloud, generando avvisi o bloccando operazioni a rischio.
Più i dati si trovano in ambienti distribuiti, più è indispensabile una visione di insieme chiara: dalle responsabilità di gestione alla tipologia di dati archiviati fino alle potenziali vulnerabilità note, tutto deve essere opportunamente registrato, catalogato e gestito da policy specifiche che includano protezione dei dati, configurazione sicura dei servizi, e gestione centralizzata delle identità.
Una buona strategia di Data Protection deve tenere conto anche delle procedure di ripristino. I dati devono poter essere recuperati sia dai sistemi locali sia da quelli in cloud. Adottare backup distribuiti, documentare le modalità di ripristino, testare scenari di failover realistici sono alcune delle attività che andrebbero considerate. Non dimentichiamo l’observability: log, metriche e allarmi devono essere raccolti e aggregati, indipendentemente da dove si trovano i sistemi.
Per avere una vera osservabilità sul dato, fondamentale per una protezione davvero efficace, dobbiamo sapere chi ha operato, quando e con quali privilegi. La gestione dei log è indispensabile per l’auditability. Le piattaforme SIEM (Security Information and Event Management) permettono di correlare eventi da più fonti e rilevare comportamenti sospetti, anche complessi.
Il logging è anche un adempimento: normative come NIS2 e GDPR richiedono capacità di audit e risposta agli incidenti. Microsoft Purview Compliance Manager, per esempio, mette a disposizione funzionalità dedicate, per aggregare log e verificare lo stato della conformità, anche attraverso simulazioni e audit periodici.
Esiste un termine che spiega perfettamente lo stato in cui versano la maggior parte dei team di sicurezza IT: alert fatigue. Un sovraccarico di avvisi, notifiche e informazioni da gestire che spesso si scontra con risorse limitate. L’automazione può essere di grande aiuto. Per esempio, i sistemi basati su AI possono filtrare segnali irrilevanti, individuare schemi di comportamento anomali e suggerire o eseguire in modo supervisionato azioni correttive.
Strumenti SOAR (Security Orchestration, Automation, and Response) permettono di definire schemi di risposta automatica, chiamati playbook: per esempio isolare una macchina sospetta, avviare una scansione, notificare l’incidente.
Ora che è chiaro quanto mettere al sicuro i dati sia importante ma complesso, è importante sottolineare i principali vantaggi che la data protection offre. In termini generali, possiamo identificare tre macroaree:
conformità normativa,
efficienza,
fiducia da parte di clienti e fornitori.
Ciascuna di queste ha anche importanti risvolti economici, per esempio la riduzione del rischio di sanzioni, una maggiore propensione all’acquisto e il contenimento dei costi.
Ci sono pochi casi in cui il termine approccio olistico calza meglio che nella data protection, in cui bisogna tenere conto sia di aspetti squisitamente tecnici, anche di basso livello, fino all’osservabilità lungo tutta la filiera del dato. Coordinare e gestire tutte queste attività richiede un importante cambio di cultura. Una sfida che, tuttavia, si concretizza in vantaggi strategici e operativi che vanno ben oltre la mera salvaguardia del dato.