Data di pubblicazione: 5 aprile 2024
Autori: Annie Badman, Matthew Kosinski
La protezione dei dati è la pratica di salvaguardare le informazioni sensibili dalla perdita e dal danneggiamento dei dati. Il suo obiettivo è proteggere i dati e garantirne la disponibilità e la conformità ai requisiti normativi.
Una strategia efficace di protezione dei dati non si limita a proteggere i dati. Prevede anche la replica e il ripristino dei dati in caso di perdita o danneggiamento. Questo perché i principi principali della protezione dei dati sono la salvaguardia dei dati e la loro disponibilità. Disponibilità significa garantire che gli utenti possano accedere ai dati per le operazioni aziendali, anche se i dati vengono danneggiati, persi o corrotti, ad esempio a causa di una violazione dei dati o di un attacco malware.
Questa enfasi sulla disponibilità dei dati aiuta a spiegare perché la protezione dei dati è strettamente correlata alla gestione dei dati, una pratica più ampia incentrata sulla gestione dei dati lungo il loro intero ciclo di vita per garantire che siano accurati, sicuri e utilizzabili per i processi decisionali strategici.
Oggi, le strategie di protezione dei dati comprendono sia le tradizionali misure di protezione dei dati , come i data backup e le funzioni di ripristino, sia i piani di business continuity e disaster recovery (BCDR). Per questo motivo, molte organizzazioni stanno adottando servizi come il disaster recovery as a service (DRaaS) nell'ambito delle loro più ampie strategie di protezione dei dati.
Sebbene molti utilizzino i termini protezione e sicurezza dei dati in modo intercambiabile, si tratta di due campi distinti con differenze sostanziali.
La sicurezza dei dati è un sottoinsieme della protezione dei dati incentrato sulla protezione delle informazioni digitali da accessi non autorizzati, corruzione o furto. Essa comprende vari aspetti della sicurezza delle informazioni, che vanno dalla sicurezza fisica, alle politiche organizzative e ai controlli degli accessi.
Al contrario, la protezione dei dati comprende la sicurezza dei dati nel suo complesso e va oltre, concentrandosi sulla disponibilità dei dati.
Sia la protezione che la sicurezza dei dati includono la privacy dei dati. La privacy dei dati si focalizza sulle politiche che sostengono il principio generale secondo cui una persona dovrebbe avere il controllo sui propri dati personali, compresa la capacità di decidere come le organizzazioni raccolgono, memorizzano e utilizzano i suoi dati.
In altre parole, la sicurezza dei dati e la privacy dei dati sono entrambi sottoinsiemi all'interno del campo più ampio della protezione dei dati.
Per comprendere l’importanza della protezione dei dati, considera il ruolo dei dati nella nostra società. Ogni volta che qualcuno crea un profilo online, effettua un acquisto su un'app o naviga in una pagina web, lascia una scia crescente di dati personali.
Per le aziende, questi dati sono fondamentali. Le aiutano a snellire le operazioni, a servire meglio i clienti e a prendere decisioni aziendali essenziali. In effetti, molte organizzazioni si affidano così tanto ai dati che anche un breve periodo di inattività o una piccola quantità di perdita di dati potrebbe danneggiare gravemente le loro operazioni e i loro profitti.
Secondo il Cost of a Data Breach di IBM, il costo medio globale di una violazione dei dati nel 2023 è stato di 4,45 milioni di dollari,con un aumento del 15% nell'arco di tre anni.
Di conseguenza, molte organizzazioni si stanno concentrando sulla protezione dei dati nell'ambito delle loro più ampie iniziative di cybersecurity. Con una solida strategia di protezione dei dati, le organizzazioni possono colmare le vulnerabilità e proteggersi meglio dagli attacchi informatici e dalle violazioni dei dati. In caso di attacco informatico, le misure di protezione dei dati possono rivelarsi cruciali, perché riducono i tempi di inattività e garantiscono la disponibilità dei dati.
Le misure di protezione dei dati possono anche aiutare le organizzazioni a rispettare i requisiti normativi in continua evoluzione, molti dei quali possono comportare pesanti sanzioni. Ad esempio, nel maggio 2023, l'autorità irlandese per la protezione dei dati ha imposto una multa di 1,3 miliardi di dollari a Meta, con sede in California, per violazione del GDPR (link esterno a ibm.com). La protezione dei dati, attraverso l’enfasi sulla privacy dei dati, può aiutare le organizzazioni a evitare queste infrazioni.
Le strategie di protezione dei dati possono anche offrire numerosi vantaggi derivanti da un’efficace gestione del ciclo di vita delle informazioni (ILM), come la semplificazione del trattamento dei dati personali e il miglioramento del processo di mining dei dati critici per ottenere insight chiave.
In un mondo in cui i dati sono la linfa vitale di molte organizzazioni, sta diventando sempre più importante per le aziende sapere come elaborare, gestire, proteggere e sfruttare i dati critici al meglio delle proprie capacità.
Riconoscendo l'importanza della protezione dei dati, i governi e le altre autorità hanno sviluppato un numero crescente di normative sulla privacy e di standard sui dati che le aziende devono rispettare nelle relazioni commerciali con i propri clienti.
Alcuni dei regolamenti e degli standard più comuni sui dati includono:
Il Regolamento generale sulla protezione dei dati (GDPR) è un framework completo sulla privacy dei dati adottato dall'Unione Europea (UE) per salvaguardare le informazioni personali delle persone, definite "soggetti interessati".
Il GDPR si concentra principalmente sulle informazioni di identificazione personale, o PII, e impone rigorosi requisiti di conformità ai provider di dati. Impone alle organizzazioni europee ed extraeuropee di essere trasparenti sulle loro pratiche di raccolta dei dati. Le organizzazioni sono inoltre tenute ad adottare alcune misure specifiche per la protezione dei dati, come la nomina di un responsabile della protezione dei dati per supervisionarne la gestione.
Il GDPR garantisce inoltre ai cittadini dell'UE un maggiore controllo sulle proprie PII e una maggiore protezione dei dati personali come nome, numero di carta d'identità, informazioni mediche, dati biometrici e altro ancora. Le uniche attività di trattamento dei dati esenti dal GDPR sono quelle legate alla sicurezza nazionale o all'applicazione della legge e gli usi puramente personali dei dati.
Uno degli aspetti più rilevanti del GDPR è l'intransigenza nei confronti delle situazioni di mancata conformità, in quanto la normativa prevede la comminazione di sanzioni molto pesanti a chiunque non rispetti le norme sulla privacy. Le multe possono raggiungere il 4% del fatturato globale annuo di un'organizzazione fino a un massimo di 20 milioni di euro, a seconda di quale sia il valore più alto.
L'Health Insurance Portability and Accountability Act, o HIPAA, è una legge approvata negli Stati Uniti nel 1996. Essa stabilisce le linee guida che le aziende e gli enti che operano nel settore dell'assistenza sanitaria devono adottare nella gestione delle informazioni sanitarie personali dei pazienti (PHI) per garantirne la riservatezza e la sicurezza.
Tutte le entità che rientrano nelle categorie dell'HIPAA sono tenute a rispettare determinati standard di sicurezza e conformità dei dati. Di queste entità fanno parte non solo gli operatori sanitari e le assicurazioni, ma anche i partner commerciali che hanno accesso ai dati personali. I servizi di trasmissione dati, i fornitori di servizi di trascrizione medica, le società di software, le compagnie assicurative e altri devono rispettare l'HIPAA se gestiscono informazioni sanitarie protette.
Il California Consumer Privacy Act (CCPA) è una legge sulla privacy dei dati di riferimento negli Stati Uniti.
Proprio come il GDPR, questo provvedimento impone alle aziende di essere trasparenti sulle loro pratiche in materia di dati e consente agli individui di avere un maggiore controllo sulle proprie informazioni personali. Ai sensi del CCPA, i cittadini residenti in California possono richiedere informazioni dettagliate circa i dati raccolti su di loro dalle aziende, negare il consenso alla vendita dei loro dati e richiederne la cancellazione.
Tuttavia, a differenza del GDPR, il CCPA (e molte altre leggi statunitensi sulla protezione dei dati) si basano sul silenzio-assenso piuttosto che sull'autorizzazione attiva. Le aziende possono utilizzare le informazioni dei consumatori fino a quando il titolare dei dati non manifesta espressamente il proprio diniego. Il CCPA si applica inoltre solo alle aziende che superano una specifica soglia di fatturato annuo o che gestiscono grandi volumi di dati personali, e questo aspetto lo rende applicabile a molte aziende operanti in California, ma non a tutte.
Lo standard Payment Card Industry Data Security Standard (PCI-DSS) consiste in una serie di linee guida normative per la protezione dei dati delle carte di credito. Lo standard PCI-DSS non è una normativa governativa, ma consiste in una serie di impegni contrattuali applicati da un organismo di regolamentazione indipendente noto come Payment Card Industry Security Standards Council (PCI SSC).
Il PCI-DSS si applica a tutte le aziende che gestiscono dati relativi ai titolari di carte, attraverso la loro raccolta, archiviazione o trasmissione. Anche se nelle transazioni effettuate con carta di credito sono coinvolti soggetti terzi, l'azienda che accetta la carta rimane responsabile della conformità al PCI-DSS e deve adottare le misure necessarie per gestire e archiviare i dati del titolare della carta in modo sicuro.
Con l'evoluzione del panorama della protezione dei dati, diverse tendenze stanno plasmando le strategie utilizzate dalle organizzazioni per salvaguardare le proprie informazioni sensibili.
Alcune di queste tendenze includono:
La portabilità dei dati prevede lo spostamento continuo dei dati tra piattaforme e servizi. Questa tendenza offre alle persone un maggiore controllo sui propri dati facilitandone il trasferimento tra app e sistemi. La portabilità dei dati si allinea anche alla tendenza generale verso una maggiore trasparenza e responsabilizzazione dei clienti, consentendo agli utenti di gestire i propri dati personali in modo più efficiente
Con l'uso ampiamente diffuso degli smartphone, le organizzazioni sono sempre più preoccupate per la sicurezza dei dati sui dispositivi mobili. Di conseguenza, molte aziende si stanno concentrando maggiormente sulla protezione dei dati mobili, che implementa efficaci misure di sicurezza dei dati per smartphone e tablet, tra cui la crittografia e i metodi di autenticazione sicura.
L'aumento degli attacchi ransomware ha spinto molte organizzazioni ad adottare strategie avanzate di protezione dei dati.
Il ransomware è un tipo di malware che blocca i dati o il dispositivo della vittima e minaccia di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto all'autore dell'attacco. Secondo l'IBM Security X-Force Threat Intelligence Index 2023, nel 2022 gli attacchi ransomware hanno rappresentato il 17% di tutti gli attacchi informatici. Si prevede che gli attacchi ransomware costeranno alle vittime circa 30 miliardi di dollari nel 2023 (link esterno a ibm.com).
L'evoluzione continua di questi attacchi richiede alle organizzazioni di implementare misure di sicurezza proattive come backup regolari, rilevamento delle minacce in tempo reale e formazione dei dipendenti per mitigare l’impatto del ransomware e proteggere le informazioni sensibili.
Man mano che gli attacchi informatici diventano sempre più avanzati, le organizzazioni riconoscono l’importanza fondamentale di garantire continuità durante un disastro. Di conseguenza, molti stanno investendo in soluzioni di DRaaS (Disaster Recovery as a Service).
Il DRaaS è una soluzione di terze parti che offre funzionalità di protezione dei dati e DR (Disaster Recovery) . Utilizza un elevato livello di automazione per limitare i tempi di inattività ed esternalizzare i servizi di disaster recovery, fornendo alle organizzazioni una soluzione scalabile e conveniente per ripristinare i dati critici e l'infrastruttura IT durante un evento catastrofico.
Quando decidono di optare per una soluzione DRaaS, le organizzazioni possono scegliere tra tre opzioni: data center, soluzioni basate sul cloud e backup ibridi che combinano data center fisici e cloud storage.
Il Copy Data Management (CDM) aiuta le organizzazioni a gestire e controllare meglio i dati duplicati, riducendo così i costi di storage e migliorando l'accessibilità dei dati. Il CDM è una parte essenziale della gestione del ciclo di vita delle informazioni (ILM) perché aiuta a massimizzare il valore dei dati riducendo al minimo la ridondanza e le inefficienze nell'archiviazione.
Le organizzazioni utilizzano spesso diverse soluzioni e tecnologie di protezione dei dati per proteggersi dalle minacce informatiche e garantire l'integrità, la riservatezza e la disponibilità dei dati.
Alcune di queste soluzioni includono:
- La prevenzione della perdita di dati (DLP) comprende le strategie, i processi e le tecnologie utilizzate dai team di cybersecurity per proteggere i dati riservati da furti, perdite e usi impropri. La DLP tiene traccia dell'attività degli utenti e segnala i comportamenti sospetti per impedire l'accesso non autorizzato, la trasmissione o la perdita di informazioni sensibili.
- I data backup implicano la creazione e la memorizzazione regolari di una versione secondaria delle informazioni critiche. I backup supportano la disponibilità dei dati garantendo che le organizzazioni possano ripristinare rapidamente i propri sistemi a uno stato precedente in caso di perdita o danneggiamento dei dati, riducendo al minimo i tempi di inattività e le potenziali perdite.
- I firewall agiscono come prima linea di difesa per i dati monitorando e controllando il traffico di rete in entrata e in uscita. Queste barriere di sicurezza applicano regole di sicurezza predeterminate, impedendo gli accessi non autorizzati.
- Le tecnologie di autenticazione e autorizzazione , come l'autenticazione a più fattori, verificano le identità degli utenti e regolano l'accesso a risorse specifiche. Insieme, assicurano che solo le persone autorizzate possano accedere alle informazioni sensibili, migliorando la sicurezza generale dei dati.
- Le soluzioni di gestione delle identità e degli accessi (IAM) centralizzano l'amministrazione delle identità e delle autorizzazioni degli utenti. Gestendo l'accesso degli utenti in base a ruoli e responsabilità, le organizzazioni possono mitigare il rischio di accesso non autorizzato ai dati e ridurre le minacce interne, che possono mettere a rischio i dati critici.
- La crittografia trasforma i dati in un formato codificato, rendendoli illeggibili senza la chiave di decrittografia appropriata. Questa tecnologia salvaguarda i trasferimenti e l'archiviazione dei dati, aggiungendo un ulteriore livello di protezione contro gli accessi non autorizzati.
- La endpoint security si concentra sulla protezione dei singoli dispositivi, come computer e dispositivi mobili, da attività dannose. Può includere una serie di soluzioni, come software antivirus, firewall e altre misure di sicurezza.
- Le soluzioni antivirus e anti-malware rilevano, prevengono e rimuovono software dannosi che potrebbero compromettere i dati, inclusi virus, spyware e ransomware.
- La gestione delle patch garantisce che il software, i sistemi operativi e le applicazioni dispongano delle patch di sicurezza più recenti. Gli aggiornamenti regolari aiutano a colmare le vulnerabilità e a offrire protezione contro potenziali attacchi informatici.
- Le soluzioni di cancellazione dei dati garantiscono una rimozione sicura e completa dei dati dai dispositivi di storage. La cancellazione è particolarmente importante nella fase di smantellamento dell'hardware per impedire l'accesso non autorizzato a informazioni sensibili.
- Le tecnologie di archiviazione facilitano lo storage sistematico e il recupero dei dati storici. L'archiviazione favorisce la conformità e aiuta le organizzazioni a gestire i dati in modo efficiente, riducendo il rischio di perdita dei dati.
- Gli strumenti di certificazione e di auditing aiutano le organizzazioni a valutare e dimostrare la conformità alle normative di settore e alle politiche interne. Audit regolari assicurano inoltre che le misure di protezione dei dati siano implementate e mantenute in modo efficace.
- Le soluzioni di disaster recovery, come il DRaaS, ripristinano l'infrastruttura IT e i dati a seguito di un incidente. Il disaster recovery spesso include una pianificazione completa, strategie di backup dei dati e meccanismi per ridurre al minimo i tempi di inattività.
Come proteggere i dati nei cloud ibridi e semplificare i requisiti di conformità.
Proteggi i dati riservati on-premise e nel cloud. IBM Security Guardium è una soluzione per la sicurezza dei dati in grado di adattarsi ai cambiamenti dell'ambiente delle minacce, offrendo visibilità, conformità e protezione complete per l'intero ciclo di vita della sicurezza dei dati.
Ottieni una protezione dei dati di livello enterprise. IBM Storage Protect è un software di data backup and recovery.