Classificazione dei dati & tassonomia dell'etichetta di riservatezza
I dati sensibili presentano un rischio significativo per un'azienda se vengono rubati, condivisi inavvertitamente o esposti tramite una violazione. I fattori di rischio includono danni alla reputazione, impatto finanziario e perdita di vantaggio competitivo. La protezione dei dati e delle informazioni gestite dall'azienda è una priorità assoluta per l'organizzazione, ma potrebbe risultare difficile sapere se gli sforzi sono veramente efficaci, data la quantità di contenuti contenuti in possesso dell'azienda.
Oltre al volume, il contenuto può essere importante, da molto sensibile e di impatto a banale e temporaneo. Può anche essere sotto la competenza di vari requisiti di conformità alle normative. Sapere cosa assegnare priorità e dove applicare i controlli può essere una sfida. Continua a leggere per informazioni sulla classificazione dei dati, uno strumento importante per proteggere il contenuto da furti, sabotaggi o distruzione accidentale e su come Microsoft 365 può aiutarti a raggiungere gli obiettivi di sicurezza delle informazioni.
Che cos'è la classificazione dei dati?
La classificazione dei dati è un termine specializzato usato nei campi della cybersecurity e della governance delle informazioni per descrivere il processo di identificazione, categorizzazione e protezione del contenuto in base al livello di sensibilità o impatto. Nella sua forma più semplice, la classificazione dei dati è un mezzo per proteggere i dati da divulgazione, alterazione o distruzione non autorizzate in base a quanto siano sensibili o di impatto.
Che cos'è un framework di classificazione dei dati?
Spesso codificato in un criterio formale a livello aziendale, un framework di classificazione dei dati (talvolta definito "criterio di classificazione dei dati") è in genere costituito da 3-5 livelli di classificazione. Questi includono in genere tre elementi: un nome, una descrizione ed esempi reali. Microsoft consiglia di non più di cinque etichette padre di primo livello, ognuna con cinque etichette secondarie (25 totali) per mantenere gestibile l'interfaccia utente. I livelli vengono in genere disposti da meno a più sensibili, ad esempio pubblico, interno, riservato e altamenteriservato. Altre varianti dei nomi di livello che potrebbero verificarsi includono Restricted, Unrestricted e Consumer Protected. Microsoft consiglia nomi di etichetta auto-descrittivi che ne evidenziano chiaramente la sensibilità relativa. Ad esempio, Confidential e Restricted possono lasciare gli utenti indovinando quale etichetta è appropriata, mentre Confidential e Highly Confidential sono più chiari su quale è più sensibile.
La tabella seguente illustra un esempio di un livello di framework di classificazione dei dati altamente riservato :
| Livello di classificazione | Descrizione | Esempi |
|---|---|---|
| Highly Confidential (Riservatezza elevata) | I dati altamente riservati sono il tipo più sensibile di dati archiviati o gestiti dall'azienda e possono richiedere notifiche legali in caso di violazione o divulgazione in altro modo. I dati con restrizioni richiedono il massimo livello di controllo e sicurezza e l'accesso deve essere limitato a "need-to-know". |
Informazioni personali sensibili (informazioni personali sensibili) Dati del titolare della carta Informazioni sull'integrità protetta (PHI) Dati del conto bancario |
Consiglio
Il framework di classificazione dei dati aziendale di Microsoft usava originariamente una categoria e un'etichetta denominata "Internal" durante la fase pilota, ma rilevava che vi erano motivi legittimi per la condivisione esterna di un documento e il passaggio all'uso di "Generale".
Un altro componente importante di un framework di classificazione dei dati è rappresentato dai controlli associati a ogni livello. I livelli di classificazione dei dati sono semplicemente etichette (o tag) che indicano il valore o la riservatezza del contenuto. Per proteggere il contenuto, i framework di classificazione dei dati definiscono i controlli che devono essere applicati per ogni livello di classificazione dei dati. Questi controlli possono includere requisiti correlati a:
- Tipo e posizione di archiviazione
- Crittografia
- Controllo di accesso
- Distruzione dei dati
- Prevenzione della perdita dei dati
- Divulgazione pubblica
- Accesso di registrazione e rilevamento
- Altri obiettivi di controllo, in base alle esigenze
I controlli di sicurezza variano in base al livello di classificazione dei dati, in modo che le misure di protezione definite nel framework aumentino in base alla sensibilità del contenuto. Ad esempio, i requisiti di controllo dell'archiviazione dati variano a seconda del supporto usato e del livello di classificazione applicato a una determinata parte di contenuto. La tabella seguente illustra un esempio di controlli di classificazione dei dati per un tipo di archiviazione specifico:
| Tipo di archiviazione | Riservato | Interno | Illimitato |
|---|---|---|---|
| Archiviazione rimovibile | Vietato | Non consentito a meno che non sia crittografato | Nessun controllo richiesto |
L'applicazione corretta del giusto livello di classificazione dei dati può essere complessa in situazioni reali e talvolta sovraccaricare gli utenti finali. Dopo aver creato un criterio o uno standard che definisce i livelli richiesti di classificazione dei dati, è importante guidare gli utenti finali su come rendere operativo questo framework nel lavoro quotidiano. In questa area sono incluse le regole o le linee guida per la gestione della classificazione dei dati.
Le linee guida per la gestione della classificazione dei dati consentiranno agli utenti finali di ottenere indicazioni specifiche su come gestire in modo appropriato ogni livello di dati per i diversi supporti di archiviazione durante il ciclo di vita. Queste linee guida consentono agli utenti finali di applicare correttamente le regole nella pratica, ad esempio durante la condivisione di documenti, l'invio di messaggi di posta elettronica o la collaborazione tra piattaforme e organizzazioni diverse.
I clienti Microsoft indicano che circa il 50% di un progetto Information Protection è incentrato sul business anziché tecnico, quindi la formazione e la comunicazione degli utenti finali sono fondamentali per il successo.