Ritenere la classificazione dei dati un mero passaggio obbligatorio per compilare delle tabelle è una prospettiva che difficilmente saprà cogliere l’utilità di questo processo. Per una organizzazione, il tema della classificazione dei dati è il primo passo operativo del sistema di sicurezza delle informazioni e compare più volte nelle fasi del ciclo di protezione dei beni aziendali. Di quest’ultimi, per questa tematica, saranno pertinenti esclusivamente quelli che sono o gestiscono informazioni.
Il risk register, l’anagrafica dei beni
Tutti i beni aziendali rilevanti al fine del raggiungimento degli obiettivi aziendali sono raccolti nel risk register ossia l’anagrafica dei beni che entrano nel processo di gestione dei rischi aziendali. Questa anagrafica è unica per l’intera azienda ma gestita in collaborazione tra i rispettivi proprietari del rischio. Qui, tutti i beni hanno una valutazione d’impatto e probabilità all’interno di uno scenario di rischio sempre definito nel pieno rispetto degli obiettivi aziendali. In questa anagrafica può trovare la sua sede naturale anche la classificazione dei dati.
Il risk register è valutato in un processo ciclico che vede coinvolto il top management come approvatore finale ma anche ne definisce la soglia di accettazione del rischio in linea con gli obiettivi aziendali. La classificazione dei dati definisce la soglia oltre la quale emergerà un danno inevitabile all’azienda. Da questa considerazione, viene quindi spontaneo collocare la classificazione dei dati nel risk register in quanto la classificazione definisce un obiettivo di protezione, con necessità di approvazione del top management, per impegnare le risorse a protezione del bene stesso ed al fine di ottimizzare il valore del bene per l’azienda.
Il livello più alto di approvazione è giustificato dal fatto che l’obiettivo di protezione del dato è allineato agli obiettivi aziendali e non necessariamente a quelli di un processo operativo, per quanto importante possa essere. Ad esempio, il processo ICT gestisce l’elaborazione e la conservazione dei dati di fatturazione ma non è l’owner (proprietario) del dato. Il processo di contabilità è presumibilmente l’owner del dato ma non decide sulla durata di conservazione, su questo interviene una regolamentazione di legge. In ogni caso, anche ammesso che la contabilità suggerisca l’azione più corretta, sarà comunque chi risponde degli obiettivi aziendali a decidere se approvare o meno su qualsivoglia questione con impatto sugli obiettivi stessi.
Salvaguardare l’obiettivo delle protezione dei dati
La classificazione impegna conseguentemente il processo operativo ad agire affinché l’obiettivo di protezione sia salvaguardato in tutta la durata della vita del bene aziendale. Questa risposta di protezione sarà fatta nel modo più efficace ed efficiente possibile. Da cui la necessità di ritornare ai valori di classificazione quale obiettivo di comparazione rispetto alle prestazioni raggiunte dal processo operativo. Anche l’auditor ha necessità di soglie obiettivo per valutare se l’attività è conforme ai requisiti stabiliti o meno. Se i valori obiettivo sono nel risk register, all’auditor non serve più accedere a ulteriori informazioni per capire se l’attività è svolta in funzione degli obiettivi aziendali. È già implicito dalla natura del registro del rischio aziendale.
Sappiamo che, se la classificazione del dato è inclusa nel risk register, allora per sua definizione sarà disponibile al top management mediante il processo di gestione del rischio aziendale. Inoltre, è disponibile ai responsabili dei processi operativi in quanto ingaggiati nel piano di contenimento del rischio. Conseguentemente, nella fase di auditing, le informazioni di classificazione per la valutazione risultano già implicitamente legate agli obiettivi aziendali. Ora, resta da definire come procedere praticamente con la classificazione del dato.
Come si effettua la classificazione del dato
Il fatto di operare nel registro del rischio aziendale è di per sé un’assicurazione di un approccio olistico a salvaguardia delle opportunità di creazione di valore.
Il record dello scenario di rischio è generalmente letto da sinistra a destra. In questo procedere, prima dei campi di impatto e probabilità, usati per valutare il rischio, possiamo inserire la classica terna dei parametri di sicurezza. La terna CIA (dall’inglese per confidenzialità, integrità e disponibilità), definendo il livello di sicurezza del dato richiesto, serve anche a meglio qualificare lo scenario di rischio fornendo elementi aggiuntivi alla valutazione di impatto o di probabilità. Qualche considerazione sui parametri di classificazione del dato.
La confidenzialità esprime l’insieme dei soggetti autorizzati ad accedere all’informazione e le modalità permesse di circolazione del dato. Generalmente si sintetizza con quattro livelli:
- pubblico è un dato senza barriere e senza possibilità di definire alcuna regola;
- interno è un dato a libera circolazione ma solo entro i confini aziendali;
- riservato è un dato che richiede un sistema di identificazione e filtraggio dei soggetti che accedono al dato;
- segreto è un dato per una ristretta cerchia di soggetti e la circolazione tra essi è tracciata.
L’integrità del dato esprime il livello di protezione rispetto alla modifica non autorizzata. I livelli possono essere associati alle tipologie di controllo intesi in modo progressivo. Il primo livello è limitato al controllo accessi al dato, alla verifica dell’identità del soggetto che sta accedendo. Il secondo, in aggiunta, attua un meccanismo di riconoscimento di alterazioni del dato, ad esempio con un hash o un checksum. Il terzo, in più, garantisce la ridondanza della registrazione o dei controlli in un ambiente non violabile dal soggetto indesiderato.
La disponibilità del dato garantisce l’accessibilità ad esso da parte dei legittimi utenti nel momento in cui lo richiedono. Questo parametro può essere esteso anche a risorse di tipo servizio e non solo alle pure informazioni. Rispetto agli altri parametri, la definizione dell’obiettivo di disponibilità, in modo generico, è più complicata perché spesso richiede dei dati puntuali e le dichiarazioni qualitative non sono sempre sufficienti. Un possibile approccio, per non perdere i benefici di un documento semplificato che aumenta la leggibilità da parte del top management, è di ricorrere ad un ulteriore documento di approfondimento se fosse necessario,
Come si rappresenta lo scenario di rischio
Lo scenario di rischio è rappresentato da un record descrittivo di un bene, più precisamente da una categoria ove gli elementi hanno analoghi requisiti di sicurezza. Nel caso fosse richiesto, si possono generare singole istanze per specifici beni con necessità di un dettaglio superiore. Ad esempio, la categoria generica “firewall” avrà uno scenario definito qualitativamente come riferimento standard delle necessarie misure di protezione, ossia una baseline di sicurezza per tutti gli elementi rappresentati dalla categoria. Se uno di questi è installato in una zona che richiede una misura di protezione non contemplata dalla baseline di sicurezza, allora si crea una nuova istanza. Nel registro stesso, se cambia lo scenario di rischio o nella BIA (Business Impact Analysis) se richiede un’operatività con valori di dettaglio specifici per gestire l’eccezione.
Ritornando alla definizione della disponibilità nel risk register sarà possibile usare tre livelli qualitativi: baseline, high e very high. Il significato del livello baseline è specificato nella BIA e vale per tutti gli elementi all’interno della categoria, stessi requisiti. Rappresenta la situazione normale e nel caso non venga rispettata non ci saranno gravi ripercussioni. Con high abbiamo la necessità di gestire delle misure ulteriori rispetto al livello precedente. Si aggiungono informazioni nella BIA quali, ad esempio, l’MTD (Maximum Tolerable Downtime) e l’RPO (Recovery Point Objective). Questi valori non devono essere particolarmente difficili da raggiungere e neppure le conseguenze dovrebbero essere molto gravi. Con very high abbiamo una situazione di alta criticità nel rispettare i parametri di disponibilità o di continuità, con eventuali conseguenze estremamente negative.
Un ulteriore parametro si deve aggiungere alla terna CIA per completare la classificazione del dato. La privacy oramai ha raggiunto un tale livello di importanza nell’analisi del rischio per l’azienda che non può assolutamente essere trascurata. Ecco allora la necessità di affiancare un quarto parametro, privacy, che classifichi il livello di attenzione richiesto per soddisfare i requisiti di legge.
La protezione del dato
L’obiettivo di protezione del dato di tipo privacy viene stabilito scegliendo tra tre possibili valori:
- dato non personale e pertanto escluso da questo ambito di trattamento;
- dato di identificazione della persona da gestire in conformità alla legge e alla classificazione di confidenzialità interna o riservata.
- dato con informazioni personali ritenute sensibili da gestire in conformità alla legge e classificazione di confidenzialità pari a riservata o segreta. L’esatta classificazione di confidenzialità sarà identificata dalla valutazione d’impatto sulla protezione dei dati personali (DPIA), fortemente consigliata anche quando non risulta obbligo di legge (GdL Article 29 wp248rev.01 cap. III criterio 4).
Il gestire la classificazione dei dati, sia in termini di sicurezza delle informazioni che di privacy, nello stesso ambito dello scenario di rischio, ne migliora la completezza, la compattezza del documento e la capacità a determinare una più corretta valutazione di impatto e probabilità. Ulteriormente, il documento fornisce l’evidenza del coinvolgimento del top management nel definire i parametri guida per la pianificazione della continuità del business. Per quanto riguarda l’attività di auditing, viene semplificata la ricerca delle evidenze per valutare il riesame di direzione. Inoltre, l’avere più tipologie di informazioni interconnesse tra loro in uno stesso documento consente un più agile (e puntuale) aggiornamento.