Creare un framework di classificazione dei dati ben progettato
Man mano che si sviluppa, si rinnova o si affina il framework di classificazione dei dati, prendere in considerazione le procedure principali seguenti:
Non aspettarti di passare da 0 a 100 il giorno 1: Microsoft consiglia un approccio di ricerca per indicizzazione, assegnando priorità alle funzionalità critiche per l'organizzazione e mappandole a una sequenza temporale. Completare il primo passaggio, assicurarsi che sia riuscito e quindi passare alla fase successiva applicando le lezioni apprese. Tenere presente che l'organizzazione potrebbe essere ancora esposta ai rischi durante la progettazione del framework di classificazione dei dati, quindi è opportuno iniziare con pochi livelli di classificazione ed espandersi in un secondo momento in base alle esigenze.
Non si sta scrivendo solo per professionisti della cybersecurity: i framework di classificazione dei dati sono destinati a un ampio pubblico, tra cui il membro medio del personale, i team legali e di conformità e il team IT. È importante scrivere definizioni chiare e di facile comprensione per i livelli di classificazione dei dati, fornendo esempi reali laddove possibile. Cercare di evitare il gergo e prendere in considerazione un glossario per acronimi e termini altamente tecnici. Ad esempio, usare "Informazioni personali" e fornire una definizione anziché semplicemente "informazioni personali".
I framework di classificazione dei dati devono essere implementati: affinché i framework di classificazione dei dati abbiano esito positivo, devono essere implementati. È particolarmente rilevante quando si creano i requisiti di controllo per ogni livello di classificazione dei dati. Assicurarsi che i requisiti siano chiaramente definiti e che prevedano e affrontino eventuali ambiguità che potrebbero verificarsi durante l'implementazione. Ad esempio, se si ha un controllo sulle informazioni personali, assicurarsi di specificare esattamente il significato di tale controllo, ad esempio il numero di previdenza sociale o il numero di passaporto.
Granularizzare solo se necessario: i framework di classificazione dei dati contengono in genere da 3 a 5 livelli di classificazione dei dati. Ma solo perché è possibile includere cinque livelli non significa che si dovrebbe. Quando si decide il numero di livelli di classificazione necessari, prendere in considerazione i criteri seguenti:
- Il settore e gli obblighi normativi associati (i settori altamente regolamentati tendono a richiedere più livelli di classificazione)
- Il sovraccarico operativo necessario per mantenere un framework più complesso
- Gli utenti e la loro capacità di rispettare la maggiore complessità e sfumatura associati a più livelli di classificazione
- Esperienza utente e accessibilità quando si cerca di applicare la classificazione manuale tra più tipi di dispositivo
Coinvolgere le persone giuste: avere un stakeholder senior è fondamentale per il successo, poiché molti progetti faticano a iniziare o richiedere più tempo senza il supporto dei dirigenti senior. I framework di classificazione dei dati sono in genere di proprietà dei team information technology, ma possono avere implicazioni legali, di conformità, di privacy e di gestione delle modifiche. Per assicurarti di creare un framework che consenta di proteggere la tua azienda, assicurati di includere gli stakeholder legali e della privacy come il tuo Chief Privacy Officer e l'Office of General Counsel nello sviluppo della tua politica. Se l'organizzazione dispone di una divisione Conformità, di professionisti della governance delle informazioni o di un team di gestione dei record, può anche avere un input prezioso. Man mano che il framework viene implementato nell'azienda, anche il reparto Comunicazioni ha un ruolo chiave da svolgere per la messaggistica interna e l'adozione.
Bilanciare la sicurezza rispetto alla comodità: un errore comune consiste nel creare un framework di classificazione dei dati sicuro ma eccessivamente restrittivo. Questo framework può essere stato progettato tenendo presente la sicurezza, ma è spesso difficile da implementare nella pratica. Se gli utenti devono seguire procedure complesse, rigide e dispendiose in termini di tempo per applicare il framework nella loro vita quotidiana, c'è sempre il rischio che non credono più nel suo valore e alla fine smetteranno di seguire le procedure. Questo rischio esiste a tutti i livelli dell'organizzazione, inclusi i responsabili di livello esecutivo (C-suite) all'interno dell'organizzazione. Un buon equilibrio tra sicurezza e praticità insieme agli strumenti di facile utilizzo porta in genere a un'adozione e a un uso più ampi da parte degli utenti. Se nel framework sono presenti lacune, non attendere che tutto sia perfetto per avviare l'implementazione. Valutare invece il rischio o il gap, creare un piano per mitigare e continuare a procedere. Ricorda che la protezione delle informazioni è un viaggio, non è qualcosa che viene attivato durante la notte e quindi fatto. Pianificare, implementare alcune funzionalità, confermare il successo ed eseguire l'iterazione all'attività cardine successiva man mano che gli strumenti si evolvono e gli utenti acquisiscono maturità ed esperienza.
Tenere anche presente che un framework di classificazione dei dati risolve solo le operazioni che l'organizzazione deve eseguire per proteggere i dati sensibili. I framework di classificazione dei dati sono spesso accompagnati da regole o linee guida per la gestione dei dati che definiscono come implementare questi criteri dal punto di vista tecnico e tecnologico. Nelle sezioni seguenti vengono fornite alcune indicazioni pratiche su come portare il framework di classificazione dei dati da un documento di criteri a un'iniziativa completamente implementata e attuabile.
Punti critici nella creazione di un framework di classificazione dei dati
Gli sforzi di classificazione dei dati sono per natura di ampia portata, toccando quasi tutte le funzioni aziendali all'interno di un'azienda. A causa di questo ampio ambito e della complessità della gestione dei contenuti negli ambienti digitali moderni, le aziende spesso devono affrontare difficoltà nel sapere da dove iniziare, come gestire un'implementazione di successo e come misurare i loro progressi. I punti deboli comuni includono spesso:
- Progettazione di un framework di classificazione dei dati affidabile e facile da comprendere, inclusa la determinazione dei livelli di classificazione e dei controlli di sicurezza associati.
- Sviluppo di un piano di implementazione che include la conferma della soluzione tecnologica appropriata, l'allineamento del piano ai processi aziendali esistenti e l'identificazione dell'impatto sulla forza lavoro.
- Configurare un framework di classificazione dei dati all'interno della soluzione tecnologica scelta e risolvere eventuali lacune tra le funzionalità tecnologiche dello strumento e il framework stesso.
- Creazione di una struttura di governance che supervisiona la manutenzione e l'integrità in corso delle attività di classificazione dei dati.
- Identificazione di indicatori di prestazioni chiave specifici (KPI) per monitorare e misurare lo stato di avanzamento.
- Maggiore consapevolezza e comprensione dei criteri di classificazione dei dati, dei motivi per cui sono importanti e di come rispettarli.
- Conformità alle verifiche di controllo interno destinate alla perdita di dati e ai controlli di cybersecurity.
- Formazione e coinvolgimento degli utenti in modo da essere consapevoli della necessità di una corretta classificazione nel lavoro quotidiano e applicare le misure di classificazione corrette.
Gestione delle modifiche e formazione
Le organizzazioni usano oggi strumenti come Microsoft 365 per implementare il framework di classificazione dei dati. Lo scopo è quello di tentare di automatizzare la classificazione dei dati e di non aumentare l'onere per la forza lavoro. Questa struttura non significa che l'organizzazione non abbia alcuna responsabilità di aumentare la consapevolezza della necessità di gestire il contenuto e proteggere l'organizzazione dai rischi descritti in questo documento. La pratica principale continua a essere quella di condurre una formazione di sensibilizzazione all'interno dell'organizzazione come parte del programma di formazione annuale. La nostra esperienza dimostra che un impegno solido e completo nella formazione degli utenti, che sono il pubblico chiave che esegue questo lavoro, aumenta il loro "buy-in" per lo sforzo e può aumentare l'adozione e la qualità. L'aggiunta di consigli per le etichette e suggerimenti in-app può amplificare queste attività. Questa formazione non deve essere un corso autonomo completo. L'organizzazione può incorporarla in altri corsi di formazione regolari, ad esempio la formazione annuale sulla sicurezza delle informazioni, e quindi includere una panoramica dei livelli e delle definizioni di classificazione dei dati. Il punto principale è che la forza lavoro ha la consapevolezza che, anche se lo strumento automatizza la classificazione dei dati, ciò non elimina la responsabilità complessiva di ogni utente per la protezione dei dati in base ai criteri aziendali.
Inoltre, è consigliabile prendere in considerazione una formazione più approfondita per i team IT e di sicurezza delle informazioni per rafforzare la preparazione operativa. I team che gestiscono lo strumento e il framework di classificazione dei dati devono trovarsi nella stessa pagina. Questo coordinamento può richiedere l'investimento in un programma di formazione più solido che potrebbe essere più frequente rispetto all'anno precedente. L'investimento in una formazione più frequente rappresenta un'altra strada per ridurre i rischi per l'organizzazione. Questo team è responsabile dell'implementazione e pertanto potrebbe essere un punto di errore se non viene eseguito il training sullo strumento e sui criteri.
Se è necessario contrassegnare manualmente il contenuto nello strumento, è appropriato sviluppare un gruppo di utenti con privilegi avanzati che hanno ricevuto una formazione più avanzata. Questi utenti con privilegi avanzati sarebbero coinvolti in situazioni in cui gli utenti sono tenuti a contrassegnare manualmente i documenti con etichette di riservatezza dei dati e hanno una conoscenza approfondita del framework di classificazione dei dati e dei requisiti normativi dell'organizzazione.
Infine, la leadership dovrebbe dare la priorità al rafforzamento dei comportamenti di sicurezza delle informazioni per rafforzare alla forza lavoro l'importanza delle iniziative di gestione dei rischi. Questi includono lo sviluppo e l'implementazione di un solido framework di classificazione dei dati e l'assegnazione di leader chiave per promuovere l'iniziativa, talvolta definiti ambassador o promotori del cambiamento.
Governance e manutenzione
Dopo aver sviluppato e implementato il framework di classificazione dei dati, la governance e la manutenzione in corso saranno fondamentali per il successo. Oltre a tenere traccia del modo in cui le etichette di riservatezza vengono usate nella pratica, è necessario aggiornare i requisiti di controllo in base alle modifiche alle normative, alle procedure leader della sicurezza informatica e alla natura del contenuto gestito. Le attività di governance e manutenzione possono includere:
- Creazione di un organismo di governance dedicato alla classificazione dei dati o aggiunta di una responsabilità di classificazione dei dati alla carta di un organismo di sicurezza delle informazioni esistente.
- Definizione di ruoli e responsabilità per gli utenti che supervisionano la classificazione dei dati.
- Definizione degli indicatori KPI per monitorare e misurare lo stato di avanzamento.
- Tenere traccia delle procedure leader in materia di cybersecurity e delle modifiche normative.
- Sviluppo di procedure operative standard che supportano e applicano un framework di classificazione dei dati.
Considerazioni sul settore
Anche se i principi di base per lo sviluppo di un framework di classificazione dei dati avanzato sono universali, i dettagli del framework dipendono dalla natura del settore e dai fattori univoci di conformità e sicurezza richieste dai dati.
Ad esempio, le aziende di servizi finanziari potrebbero dover prendere in considerazione la conformità a diversi quadri normativi a seconda dell'ambito della loro attività e delle aree in cui operano. Le società di titoli nel Stati Uniti devono essere conformi alle normative sui conti come la regola SEC 17a-4(f) o la regola FINRA 4511 che affronta i requisiti relativi alla sicurezza e alla conservazione di libri e record. Analogamente, le imprese che operano nel Regno Unito devono prendere in considerazione la conformità di FCA.
Le agenzie governative devono affrontare diverse normative che disciplinano i loro dati, che variano in base al territorio e alla natura del loro lavoro. Nel Stati Uniti, ad esempio, le agenzie governative e i loro agenti che accedono alle informazioni fiscali federali (FTI) sono soggetti all'IRS 1075, che mira a ridurre al minimo il rischio di perdita, violazione o uso improprio di informazioni fiscali federali.
Mentre le aziende di servizi finanziari e le agenzie governative sono tra le organizzazioni più regolamentate al mondo, la maggior parte delle aziende ha considerazioni specifiche del settore che devono essere considerate. Ecco alcuni esempi:
- Organizzazioni del settore sanitario che garantiscono la conformità con HIPAA.
- Istituti di istruzione, dalle scuole K-12 alle università, gestendo la conformità FERPA.
- I produttori di farmaci che lavorano per rispettare le linee guida GxP nel loro paese o area geografica in materia di sicurezza delle informazioni.
- Media, vendita al dettaglio e molte altre aziende che si occupano di conformità al GDPR.
- Recapito e archiviazione di contenuti di intrattenimento, software e informazioni relativi a CDSA.
- Sicurezza delle informazioni del settore energetico conforme allo standard NERC CIP.
Implementazione del framework di classificazione dei dati in Microsoft 365
Dopo aver sviluppato il framework di classificazione dei dati, il passaggio successivo è l'implementazione. Il Portale di conformità di Microsoft Purview consente agli amministratori di individuare, classificare, esaminare e monitorare i dati in base al framework di classificazione dei dati. Le etichette di riservatezza possono essere usate per proteggere i dati applicando varie protezioni, ad esempio crittografia e contrassegno del contenuto. Possono essere applicati ai dati manualmente; per impostazione predefinita, in base alle impostazioni dei criteri; o automaticamente, come risultato di una condizione come le informazioni personali identificate.
Per le organizzazioni più piccole o con un framework di classificazione dei dati relativamente semplificato, la creazione di una singola etichetta di riservatezza per ogni livello di classificazione dei dati potrebbe essere sufficiente. L'esempio seguente mostra un livello di classificazione dei dati uno-a-uno per il mapping delle etichette di riservatezza:
| Etichetta di classificazione | Etichetta di riservatezza | Impostazioni etichetta | Pubblicato in |
|---|---|---|---|
| Illimitato | Illimitato | Applica piè di pagina "Senza restrizioni" | Tutti gli utenti |
| Generale | Generale | Applica piè di pagina "Generale" | Tutti gli utenti |
Mancia
Durante un progetto pilota microsoft per la protezione delle informazioni interne, si sono riscontrate difficoltà nella comprensione e nell'uso dell'etichetta "Personale". Gli utenti erano confusi sul fatto che ciò significasse piI o semplicemente correlato a una questione personale. L'etichetta è stata modificata in "non business" per essere più chiara. Questo esempio mostra che la tassonomia non deve essere perfetta fin dall'inizio. Iniziare con ciò che si ritiene giusto, pilotarlo e regolare l'etichetta in base al feedback, se necessario
Per le organizzazioni più grandi con una copertura globale o esigenze di sicurezza delle informazioni più complesse, è possibile che questa relazione uno-a-uno tra il numero di livelli di classificazione nei criteri e il numero di etichette di riservatezza nell'ambiente Microsoft 365 sia una sfida. Questa sfida è particolarmente valida nelle organizzazioni globali in cui un determinato livello di classificazione dei dati, ad esempio "Limitato", può avere una definizione diversa o un set diverso di controlli a seconda dell'area.
Per altre informazioni sull'implementazione, vedere Informazioni sulla classificazione dei dati e Informazioni sulle etichette di riservatezza.
Riferimenti
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per