La sicurezza dei dati è un processo di bilanciamento, perché non è possibile proteggere tutto e bisogna essere cauti con la cifratura, perché si devono considerare le prestazioni e i costi associati. Tuttavia, l’obiettivo è quello di implementare un livello ragionevole di cybersecurity incentrato sui dati, in base al livello di rischio accettabile che si stabilisce possa essere appropriato.
La prima domanda da porsi è: sappiamo dove si trovano i nostri dati sensibili?
È una domanda semplice che però non ha una risposta semplice.
Il rilevamento è un processo continuo
I dati di ogni organizzazione cambiano continuamente e, di conseguenza, il processo di rilevamento dei dati deve essere continuo anziché un evento isolato. Serve una soluzione di data discovery automatizzata che identifichi, classifichi e categorizzi i dati in modo da poter intraprendere azioni per rafforzare la postura di sicurezza.
Inoltre, è necessario uno strumento di rilevamento dei dati che non sia una soluzione indipendente, perché è preferibile una soluzione che riduca i rischi integrandosi con strumenti di tokenizzazione e crittografia, framework API e altre soluzioni di sicurezza.
La domanda successiva da porsi è: cosa vale la pena proteggere?
Si tratta di una questione di risk management, quindi occorre una strategia di protezione dei dati che faciliti le attività di business con il minor attrito possibile, proteggendo al contempo le informazioni sensibili.
Integrare “discovery” e “protection”
Garantire una protezione dei dati senza soluzione di continuità rappresenta uno dei punti di forza di Voltage. Anche se si utilizza un’altra soluzione per il rilevamento dei dati, Voltage è in grado di intervenire e di fornire la sicurezza dei dati di cui si ha bisogno.
Voltage combina data discovery, protezione, monitoraggio e governance in una piattaforma integrata per la sicurezza dei dati che consente di comprendere, gestire e proteggere i dati aziendali in ambienti ibridi e multi-cloud.
Voltage Fusion analizza qualsiasi repository on premise o nel cloud per fornire un quadro completo e continuo dei dati aziendali. Voltage SecureData consente poi di proteggere qualsiasi tipo di dati, come informazioni personali, sanitarie, finanziarie o di proprietà intellettuale.
La differenza fondamentale di Voltage è che semplifica le azioni da intraprendere sui dati una volta completata la fase di individuazione, in modo da poter ridurre il rischio in modo proattivo.
Occorre anche tenere presente che il rischio dei dati ha implicazioni finanziarie e che la minimizzazione e l’archiviazione dei dati è un modo per ridurre il rischio. Inoltre, quando all’interno dei data set si rimuovono i riferimenti ai dati personali è spesso possibile rimuovere tali sistemi e controlli dalla necessita di sottoporli ad azioni di audit, onerose in termini di tempo e costi.
Integrando “discovery” e “protection” diventa quindi possibile eliminare il rischio dal sistema. Anche nel caso in cui si utilizzi già un’altra soluzione di rilevamento, Voltage è in grado comunque di fornire un valore aggiunto, in quanto implementa una protezione persistente che si sposta insieme ai dati all’interno dei vari ambienti.
Ottimizzare protezione e prestazioni
Ogni progetto di sicurezza dei dati ha requisiti diversi in termini di sicurezza e prestazioni. Per questo motivo è necessario disporre di una piattaforma di sicurezza dei dati che offra la massima flessibilità nelle modalità di anonimizzazione, correzione e protezione delle informazioni riservate. Questi sono alcuni dei metodi più frequentemente utilizzati:
- La crittografia a livello di file viene utilizzata per i dati non strutturati, come le e-mail, la messaggistica e i metadati, dove i dati non seguono uno schema coerente come nelle tabelle, e quindi si proteggono le informazioni come file specifici.
- La tokenizzazione sostituisce i dati con un identificatore unico o un token che viene memorizzato in un database sicuro. In questo modo, per esempio, una transazione può essere elaborata utilizzando il valore del token senza rivelare il numero di conto originale, come si potrebbe desiderare nel caso di acquisti con carta di credito.
- La crittografia che preserva il formato (Format-Preserving Encryption, FPE) viene utilizzata per i dati che si adattano a un modello coerente, come ad esempio il numero di previdenza sociale. Il vantaggio di mantenere il formato coerente è che i dati mantengono il loro valore di riferimento utilizzabile all’interno dei processi di analisi dati, delle applicazioni e delle piattaforme di analytics come Snowflake o Databricks, ma i dati sono inutilizzabili da qualsiasi persona non autorizzata che ne venga in possesso.
- Il Format-Preserving Hash (FPH) fornisce una de-identificazione non reversibile con la stessa sicurezza e integrità di riferimento che si ottiene con FPE. Tuttavia, poiché l’FPH è una trasformazione unidirezionale dei dati, è conforme alle disposizioni del GDPR in materia di anonimizzazione, per cui è ancora possibile utilizzare i dati in applicazioni e analisi senza infrangere le normative.
In questo caso, è necessario pensare a come vengono elaborati i dati, a quali applicazioni a monte e a valle interagiscono con essi e se questi sistemi hanno bisogno di accedere ai valori originali o meno.
Quando si utilizzano dati protetti che conservano il loro formato, come numeri di carte di credito, numeri di previdenza sociale e numeri di conto, non si ha alcun impatto sui flussi di dati tra applicazioni. Non è necessario apportare alcuna modifica al modo in cui le applicazioni gestiscono i dati, ma si elimina il rischio dal sistema.
Inoltre, poiché i dati sono in uno stato protetto e anonimizzato, l’azienda può essere più tranquilla nell’estendere l’accesso ai dati a un gruppo più ampio di analisti, senza preoccuparsi di compromettere la sicurezza e la privacy. Questo a sua volta potrebbe aiutare a scoprire ulteriori modi per monetizzare i dati.
Va rimarcato che Voltage è indipendente dal tipo di cloud, quindi non è necessario preoccuparsi se la protezione sia o meno specifica della piattaforma. La protezione viaggia con i dati on-premise o nel cloud, ovunque essi vadano.
Inoltre, la gestione “stateless” delle chiavi non richiede la gestione di alcun archivio protetto per le chiavi, poiché queste ultime vengono ottenute in modo dinamico e coerente e l’accesso viene gestito da criteri centralizzati.
In questi modi Voltage neutralizza l’impatto di una possibile violazione dei dati rendendo i dati protetti privi di valore per un aggressore, sia che si tratti di ambienti di produzione, di sistemi analitici o di test.