Alla vigilia del Data Privacy Day del 28 gennaio, Vincenzo Costantino di Commvault riflette sulle dieci priorità per il 2023
La Giornata mondiale della privacy, che si celebra ogni anno il 28 gennaio, serve a sottolineare l'importanza della protezione dei dati personali nell'era digitale. Con la tecnologia che continua a fare progressi, sono sempre di più le informazioni che vengono condivise online, motivo per cui utenti e organizzazioni devono adottare le giuste misure per salvaguardarle.
Nuove normative, come il DORA (Digital Operational Resiliency ACT), impongono alle organizzazioni di creare piani per la gestione del rischio, la segnalazione degli incidenti e i test di resilienza. Queste normative definiscono policy di gestione dei dati, tra cui crittografia, localizzazione e ciclo di vita. Secondo Gartner, "entro il 2023, il 65% della popolazione mondiale avrà i propri dati personali coperti da diverse normative sulla privacy, cosa che impone alle aziende la scelta di soluzioni flessibili in grado di adattarsi alla moltitudine di regolamenti". Navigare in questo ambiente complesso può essere effettivamente molto impegnativo sia per i singoli sia per le aziende.
La data privacy è la protezione delle informazioni personali e la possibilità di controllare il modo in cui i dati vengono raccolti, utilizzati e conservati. D'altra parte, la protezione si riferisce alle misure tecniche e organizzative messe in atto per salvaguardare i dati (compresi quelli personali) da accesso, uso, alterazione o distruzione non autorizzati. Comprende la privacy e altre aree, tra cui backup e ripristino, disaster recovery, sicurezza e molto altro.
Per affrontare questa complessità, analizziamo i 10 argomenti principali da considerare nella gestione della privacy e della protezione dei dati, illustrati da Vincenzo Costantino, Senior Director, Sales Engineering South Western Europe di Commvault.
Vincenzo Costantino, Senior Director, Sales Engineering South Western Europe di Commvault
Le aziende dovrebbero iniziare a creare o aggiornare un piano di protezione, backup e ripristino dei dati e di disaster recovery come parte di una strategia globale di sicurezza dei dati. Sono numerose le sfaccettature di un piano affidabile e riguardano in particolare la protezione dei dati privati che i clienti hanno condiviso con l’organizzazione.
La crittografia è una funzionalità fondamentale della protezione e della tutela dei dati privati. Quella dei dati a riposo e in transito aiuta a prevenire l'accesso non autorizzato alle informazioni personali, aspetto particolarmente importante per le organizzazioni che gestiscono grandi quantità di dati privati, come i fornitori di servizi sanitari e le istituzioni finanziarie. I dati non risiedono più solo nei data center aziendali, poiché la maggior parte delle aziende dispone di uno o più cloud pubblici in cui sono memorizzati workload e informazioni. L’uso della crittografia, a rafforzare la protezione, aiuta a mitigare il rischio di potenziali attacchi nel corso dell’intera vita dei dati.
Oltre a proteggere i dati con la crittografia, le aziende devono salvaguardare i propri sistemi da attacchi dannosi. L'utilizzo dell'autenticazione multi-persona (MPA) per i sistemi di protezione dei dati prevede per le attività critiche la necessità di più approvazioni da parte di utenti previamente autorizzati. Spesso trascurato, è uno dei modi più semplici per prevenire operazioni come l'esfiltrazione o l'eliminazione dei dati.
Lo storage immutabile consente di scrivere dati, privati o di altro tipo, che non possono essere ulteriormente modificati o cancellati, garantendo il mantenimento della loro integrità. I requisiti di storage immutabile stanno rapidamente diventando una componente standard delle normative sulla governance dei dati come GDPR, HIPAA e altre. In combinazione con l'MPA, è possibile creare livelli di archiviazione dei dati altamente sicuri, perfetti per l'archiviazione di quelli riservati e privati.
Nello sviluppo di una strategia di protezione dei dati, le organizzazioni devono tenere conto delle normative relative all'archiviazione delle informazioni private, che includono l'ubicazione dello storage e la conformità alle normative sulla sovranità dei dati. Può essere richiesto che un determinato set di dati rimanga anche fisicamente all’interno di una regione specifica, o ne segua regole altrettanto specifiche. Ad esempio, un workload basato su cloud su GCP in Europa o contenente dati di cittadini dell'UE deve essere conforme alle normative dell'UE.
In una recente indagine, il 57% dei CISO ha ammesso di non sapere dove si trovino alcuni o tutti i propri dati o come siano protetti. Con la continua crescita della quantità di dati privati, il numero di normative si estende in modo esponenziale generando confusione su cosa deve essere protetto e come. Di conseguenza, le aziende devono capire quali dati possiedono, dove si trovano e quali sono a rischio ed è fondamentale essere in grado di stabilire un ordine di priorità in base alle policy, agli obiettivi e alle normative applicabili dell'organizzazione.
Sapere quali dati esistono e dove risiedono è solo una parte della soluzione, perché le organizzazioni devono considerare gli stessi dati in termini di importanza relativa, per i clienti o per la stessa azienda. Proteggendo solo i dati on-premise potrebbero sfuggirne alcuni critici che risiedono nella soluzione CRM basata su SaaS. A questo proposito, per la sicurezza dei dati non si può dipendere solo dal fornitore SaaS o di cloud IaaS, che possono fornire alcuni SLA e un determinato livello di ridondanza, ma non possono sostituire completamente un solido piano di protezione. Anche la gestione della classificazione dei dati non è un'operazione puntuale, dato che i dati crescono esponenzialmente ogni anno.
È fondamentale sapere quali dati esistono e quanto sono importanti, ma per quanto tempo questi stessi dati rimangono rilevanti? Per la maggior parte delle organizzazioni è difficile rispondere a questa domanda, che si ripropone ogni anno con l'acquisto di sistemi di archiviazione sempre più grandi per ospitare i dati aziendali. Essere in grado di assegnare una durata di vita prevista può avere un impatto notevole sui profitti dell'azienda e proteggere i dati privati dei clienti. Disporre di sistemi per individuare, classificare e impostare automaticamente la conservazione dei dati ridurrà la probabilità di una loro dispersione, il tempo necessario per recuperare quelli inutilizzati e i costi.
Il test del piano di resilienza, spesso definito runbook, è un'area spesso trascurata di una strategia di protezione dei dati. Creare o aggiornare un piano obsoleto può essere un compito scoraggiante, ma collaborare con fornitori di soluzioni di protezione dei dati con esperienza può ridurre significativamente il tempo necessario per aggiornarlo. La creazione di aggiornamenti con cadenza regolare crea una postura organizzativa pronta ad affrontare le minacce alla sicurezza.
Come già per il runbook, sarebbe opportuno collaborare con fornitori strategici per eseguire una valutazione dei rischi su base semestrale o annuale. Le valutazioni programmate possono aiutare a costruire la memoria per una solida mentalità di protezione di dati e privacy.
Implementando queste azioni e aggiornando regolarmente il piano di resilienza, si potrà avere certezza che le informazioni personali siano sicure e conformi alle più recenti normative sulla privacy.