Dopo aver definito le classificazioni di dati e asset, è necessario passare dalla teoria alla pratica: definire requisiti di sicurezza specifici, identificare controlli appropriati e implementare tutto in modo coerente. Ma come?

Se l’organizzazione utilizza etichette come Riservato, Privato, Sensibile e Pubblico, deve decidere quali controlli specifici proteggeranno i dati che ricadono in ognuna di queste categorie. Subito dopo, dovrà creare policy che riguardino dati archiviati in diverse modalità: singoli file, database, server di posta elettronica, device degli utenti, dati trasmessi via email, dati archiviati nel cloud.

Infatti, ogni modalità di gestione richiede controlli specifici che riflettano i rischi e i requisiti normativi associati. La granularità dei controlli deve bilanciare protezione efficace e praticità operativa: controlli troppo generici potrebbero non proteggere adeguatamente i dati critici, mentre controlli eccessivamente dettagliati potrebbero risultare inapplicabili nella pratica quotidiana.

Ecco le best practice per guidare l’implementazione pratica di controlli granulari e automatizzati, in modo da offrire architetture di riferimento per la protezione dei dati in transito e a riposo che integrano crittografia, DLP e gestione delle identità in un sistema coerente[1].

Esempio pratico: la crittografia delle e-mail

Consideriamo una policy che imponga che qualsiasi e-mail non pubblica debba essere crittografata.

Tutte le e-mail riservate, private e sensibili devono essere criptate al momento dell’invio (dati in transito) e durante l’archiviazione su server di posta elettronica (dati inattivi). Questo approccio garantisce una protezione end-to-end che copre tutti gli stati dei dati.

Il processo operativo potrebbe funzionare così:

1. Prima dell’invio, gli utenti applicano etichette pertinenti alle email (confidenziale, privato, sensibile, pubblico).
2. Il server di posta cripta automaticamente le email basandosi sulle etichette.
3. Infine, le email passano attraverso un server di prevenzione della perdita di dati (DLP) che rileva le etichette ed applica protezioni aggiuntive secondo la policy locale.

Questo esempio illustra come controlli apparentemente semplici richiedano l’orchestrazione di multiple tecnologie: classificazione manuale, crittografia automatica, DLP, gestione delle chiavi e monitoraggio della conformità.

Estensione ai dati archiviati e backup

La policy deve definire anche requisiti per i dati archiviati in diverse modalità: backup conservati in sede e fuori sede, dati proprietari in repository specifici, dati sanitari (PHI) con requisiti di conformità particolari.

Ogni categoria può richiedere controlli diversi basati su valore, sensibilità e requisiti normativi.

Inoltre, la gestione dei backup richiede un’attenzione particolare: spesso contengono copie di dati con classificazioni diverse, necessitando quindi di controlli che riflettano il livello più alto di sensibilità presente nel “pacchetto”.

Un backup conservato per anni potrebbe essere soggetto a normative diverse da quelle in vigore al momento della creazione, creando un rischio latente.

Defense-in-depth: IAM, DLP ed etichettatura

I controlli di sicurezza sulla gestione delle identità e degli accessi (IAM) contribuiscono a garantire che solo il personale autorizzato possa accedere alle risorse, creando un primo livello di protezione basato sull’identità.

L’etichettatura manuale fornisce una classificazione contestuale che guida l’applicazione di controlli appropriati, mentre i sistemi DLP monitorano e controllano il movimento dei dati basandosi su queste classificazioni.

Insieme, etichette manuali, IAM e DLP creano un esempio perfetto di Defense-in-depth, dove linee multiple di difesa si rinforzano reciprocamente: se un controllo fallisce (“controllo primario”), gli altri possono compensare (“controlli compensativi”), riducendo la probabilità che una singola vulnerabilità comprometta l’intera protezione.

Automazione intelligente per la conformità

L’implementazione manuale di controlli granulari su volumi elevati di dati diventa impraticabile molto velocemente. Tuttavia, l’automazione deve essere ben progettata per supportare la flessibilità operativa invece di sostituirla.

Infatti, sistemi troppo rigidi possono bloccare attività legittime, mentre sistemi troppo permissivi possono fallire nel garantire la protezione. L’equilibrio richiede un’automazione che comprenda il contesto business e possa adattarsi a situazioni eccezionali.

L’intelligenza artificiale ed il machine learning possono contribuire identificando pattern di utilizzo legittimi, rilevando anomalie che indicano possibili violazioni e suggerendo ottimizzazioni delle policy basate sull’esperienza operativa.

Verso controlli adattivi e sostenibili

Le normative evolvono costantemente, esigendo controlli che possano adattarsi rapidamente a nuovi requisiti senza però richiedere la riprogettazione completa dei sistemi.

Il monitoraggio continuo delle modifiche normative, l’assessment dell’impatto sui controlli esistenti e la pianificazione dell’implementazione di nuovi requisiti rappresentano le capacità organizzative essenziali per mantenere una conformità “dinamica”.

Il futuro dei controlli di sicurezza richiede sistemi che bilancino protezione, conformità ed agilità operativa: solo attraverso questo approccio integrato le organizzazioni possono trasformare la conformità da puro costo a vantaggio competitivo.

[1] Per approfondire le metodologie di implementazione di controlli granulari, le strategie di automazione intelligente per la conformità e gli strumenti per gestire requisiti normativi multipli, il Manuale CISO Security Manager prepara alla certificazione CISSP e fornisce framework operativi per i professionisti della governance.