Governance dei dati: come garantire sicurezza e compliance

I dati che le aziende producono sono sempre più numerosi e rilevanti per il business. In alcuni ambiti, come quello finanziario, assicurativo e dei servizi, è noto già da tempo, ma è un fatto applicabile a qualsiasi settore. Le telemetrie dei macchinari o delle movimentazioni di magazzino, per esempio, possono avere una valenza strategica uguale o superiore alla profilazione dei clienti.

Tutto dipende da come le aziende si sono organizzate per metterli a valore, ma una cosa è certa: i dati aziendali, di qualsiasi tipo, sono da considerare a tutti gli effetti un asset, anche quando non fanno parte delle attività core dell’impresa. Anche in questo caso, è sufficiente ragionare secondo paradigmi già noti. Pensiamo alle proprietà immobiliari di un’industria: siamo parimenti di fronte a qualcosa che non fa parte delle attività primarie, ma che costituisce ugualmente una risorsa.

Ma come trasformare le informazioni in valore? Il primo passaggio è senza dubbio quello di disporre di una buona governance dei dati, sia perché si tratta di un obbligo normativo sempre più diffuso sia, e soprattutto, perché ne rende più semplice l’organizzazione e la gestione, prerequisiti fondamentali per poterne estrarre valore.

Governance dei dati, buone ragioni oltre agli aspetti normativi

Stabilire una strategia di data governance, quindi, è prima di tutto un modo per creare nuove opportunità. Eliminare ridondanze, garantire l’accesso alla conoscenza nel rispetto di ruoli e permessi, ma anche sapere quali dati poter utilizzare e in che modo per abilitare analisi avanzate sono tutte facilitazioni che aprono la strada a quelle che vengono definite strategie data driven.

Oltre a questo aspetto, un asset rigorosamente organizzato è senza dubbio più facile da proteggere: una classificazione accurata, l’assegnazione corretta delle responsabilità e l’adozione di policy chiare migliorano significativamente la sicurezza e la resilienza dell’intero ecosistema digitale.

Infine, la governance dei dati è richiesta, implicitamente o esplicitamente, da un numero sempre crescente di adempimenti normativi. Citiamo per esempio il Data Governance Act, in vigore dal 2022, che punta a costruire una strategia europea per i dati, attraverso una regolamentazione che prevede indicazioni specifiche per la condivisione, la pubblicazione e la fruizione, con particolare attenzione ad alcuni settori come la sanità, l’ambiente e la Pubblica Amministrazione.

Governance dei dati e intelligenza artificiale

Una buona governance dei dati è basilare, per ragioni analoghe, anche per le aziende che stanno valutando, o hanno già avviato un percorso, nel campo dell’intelligenza artificiale (AI). Oltre a essere richiesta a livello normativo, per esempio laddove l’AI Act Europeo prevede alcune norme di governance e obblighi per l’utilizzo dell’AI, ne permette di migliorarne in modo considerevole l’efficacia.

Disporre di dati gestiti a regola d’arte consente di sfruttare appieno la tecnica per raffinare i risultati, nota come RAG - Retrieval-Augmented Generation: gli output prodotti da un LLM (Large Language Model) vengono ottimizzati grazie a informazioni mirate, con risultati notevoli. Si parla per esempio di una riduzione delle allucinazioni del 30%. Questo però dipende fortemente dalla qualità dei dati in ingresso che, per tornare al punto, può essere garantita solo da una buona governance.

Governance dei dati e sicurezza: il punto di partenza e di arrivo

La Data Governance, insomma, è una disciplina complessa e articolata, soprattutto perché, negli anni il suo campo di azione si è evoluto. Da semplice strumento regolatorio di accessi, privilegi e posizioni negli anni ’80 del 1900, è via via diventata sempre più importante anche per regolamentare il periodo di conservazione (data retention) prima e la qualità poi dei dati collezionati. Tuttavia, non dobbiamo dimenticare che l’aspetto centrale, ovvero la gestione degli accessi, è probabilmente più importante oggi che alle origini: proteggere i dati aziendali e garantirne la sicurezza è ancora un obiettivo fondamentale.

Ecco alcune delle principali modalità che si possono applicare per mettersi sulla buona strada affinché i dati aziendali siano gestiti nel modo più efficace, conforme e sicuro possibile.

Classificazione dei dati e organizzazione

Come recita un detto spesso citato nel mondo IT, “I dati sono come la spazzatura: dovresti sapere cosa farne prima di raccoglierla.” Una provocazione che sottolinea un principio fondamentale della Data Governance: prima di poter essere governati, i dati devono essere individuati e organizzati in modo coerente e strutturato. È qui che entra in gioco la data classification, ovvero il processo di identificazione e gestione degli asset informativi in base alla loro natura, sensibilità e valore per l’organizzazione.

La classificazione rappresenta il prerequisito per applicare policy di sicurezza, accesso e conservazione adeguate al contesto e ai rischi associati, evitando tanto l’eccesso di protezione – che limita l’utilizzo – quanto la sottovalutazione del dato. Solo classificando correttamente le informazioni è possibile garantire un accesso differenziato in base a ruoli e privilegi, semplificare le attività di compliance e valorizzare i dati attraverso strumenti analitici e modelli di intelligenza artificiale. In altre parole, la classificazione è la base su cui costruire un governo efficace e sostenibile del patrimonio informativo aziendale.

Verifica degli accessi e audit

Fondamentale in qualsiasi attività di gestione di risorse aziendali, il controllo degli accessi assume un ruolo ancora più cruciale nella governance dei dati. Definire chi può accedere a quali informazioni, in che modo e per quale finalità operativa è un’attività che richiede strumenti adeguati e una mappatura dettagliata dei ruoli aziendali. Il principio del minimo privilegio (Principle of Least Privilege - PoLP), e dunque il conferimento dei soli permessi strettamente necessari, è un buon punto di partenza, ma non è sufficiente.

Bisogna affiancare al controllo degli accessi anche meccanismi di verifica e auditing e garantire che i diritti siano effettivamente allineati all’organigramma aziendale, per evitare accumuli di privilegi e accessi ingiustificati per cambi di ruolo o mansione. Qui rientrano anche temi come l’autenticazione, la gestione delle identità e il controllo.

Policy di gestione

Come devono essere trattati i dati nel corso del loro ciclo di vita? Come devono essere normalizzati i dati ingeriti o acquisiti da fonti esterne? Cosa succede quando un dato viene cancellato? Quali dati e come sono condivisi all’esterno? Si tratta di domande che hanno un impatto fondamentale anche sulla sicurezza: per esempio, i dati sanitari o finanziari potrebbero richiedere accorgimenti per l’anonimizzazione prima di essere esposti verso terze parti.

Le policy di gestione dei dati definiscono in modo chiaro e strutturato come devono essere trattati in ogni fase del loro ciclo di vita, dalla raccolta iniziale fino alla cancellazione, includendo aspetti come:

• la normalizzazione, ovvero il modo in cui vengono uniformati, validati e integrati quando provengono da fonti diverse o esterne;

• la conservazione, con regole su quanto a lungo devono essere mantenuti nei sistemi e in quali formati;

• la cancellazione, che deve avvenire in modo sicuro e tracciabile, soprattutto quando riguarda dati sensibili o soggetti a obblighi normativi;

• la condivisione, cioè le condizioni e le modalità con cui possono essere trasmessi a soggetti terzi, interni o esterni all’organizzazione.

Un buon sistema di policy fa sì che l’essere compliance diventi diretta conseguenza dei buoni comportamenti quotidiani invece di essere inseguita a posteriori, attraverso arrangiamenti e solo in occasione di ispezioni. Significa passare da una logica reattiva a una logica proattiva.

Monitoraggio e controllo: il cuore dinamico della data governance

La governance dei dati non può essere intesa come un insieme statico di regole, definite una volta per tutte. I dati variano di continuo, in qualità, quantità e struttura, possono provenire da nuove fonti, assumono significati diversi in base al contesto di utilizzo. È inimmaginabile quindi pensare alla governance come a un concetto statico.

Dal controllo di accessi anomali o di tentativi di intrusione fino al monitoraggio della qualità del dato, verificando che siano aggiornati, completi, coerenti e privi di duplicazioni o incongruenze, il controllo e il monitoraggio continui sono vitali per l’esistenza di un meccanismo di governance dei dati funzionante ed efficace, in grado di supportare processi decisionali corretti. Inoltre, consentono di mantenere allineate le policy aziendali, individuare l’impatto di eventuali cambi di processo e migliorare l’efficacia delle misure di sicurezza e compliance nel tempo.

Tracciabilità della supply chain informativa

Non sempre i dati nascono e si esauriscono all’interno dei sistemi aziendali. Le aziende devono avere visibilità sull’intero ciclo di vita del dato, sia per ragioni di semplice trasparenza decisionale, sia per ragioni di responsabilità: una decisione errata presa a causa di dati di cui non si conosce l’origine può avere un impatto decisivo. Il tracciamento permette di individuare rapidamente errori e responsabilità.

Data governance: uno strumento, molti risultati

Come abbiamo visto, una buona strategia di data governance può aiutare le aziende sotto diversi punti di vista. L’organizzazione e la gestibilità dei dati, infatti, sono a tutti gli effetti prerequisiti abilitanti per un uso più maturo e consapevole. Oltre a rendere più semplice metterli in sicurezza e gestire in modo efficiente gli adempimenti normativi, infatti, offre anche la possibilità di sfruttarne il valore, sia democratizzandone l’accesso e la fruizione, sia permettendone un uso funzionale all’interno di strumenti analitici più evoluti, per esempio quelli basati sull’intelligenza artificiale.