Quattro semplici passaggi per classificare i dati e proteggere la tua startup

Un processo di classificazione dei dati consente di distinguere tra dati riservati e dati destinati al consumo pubblico e consente di gestire ogni set di conseguenza. Una startup che ha classificato i propri dati può operare in modo più efficiente e con maggiore sicurezza nel rispetto di leggi come il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea e il California Consumer Protection Act (CCPA).

La comprensione dei tipi di dati e dei relativi livelli di sensibilità garantisce che la startup stia al passo con l'uso o la divulgazione involontaria dei dati e soddisfi i requisiti di conformità.

Per iniziare, questo post fornisce quattro semplici passaggi per semplificare e automatizzare il processo di classificazione dei dati per la tua startup.

1. Progetta il tuo framework di classificazione dei dati

Innanzitutto, stabilirai a chi è consentito l'accesso ai dati della tua startup valutando come classificarli e controllarli.

Valuta e classifica i tuoi dati

La classificazione dei dati "implica l'identificazione dei tipi di dati che vengono elaborati e archiviati in un sistema informativo di proprietà o gestito da un'organizzazione", come definito nel white paper sulla classificazione dei dati di Amazon Web Services (AWS).

Per progettare il tuo framework di classificazione dei dati, valuterai prima i tuoi dati. A tale scopo, consigliamo di raggruppare i dati nel minor numero di categorie possibile, poiché un framework più semplice è più facile da gestire.

Per la maggior parte delle aziende, questi tre livelli dovrebbero coprire i casi d'uso più comuni per la classificazione dei dati:

• Non classificato. Per dati a bassa sicurezza (come dati di siti web pubblici, catalogo dei corsi, ecc.)
• Ufficiale. Per dati di sicurezza moderata (come comunicazioni ufficiali, note interne, ecc.)
• Segreto. Per i dati più sensibili (come documenti finanziari, proprietà intellettuale, dati legalmente riservati, ecc.)

La classificazione dei dati e la loro conservazione dipendono dalla natura della tua attività e dai suoi requisiti legali. Ad esempio, se gestisci carte di credito, devi rispettare gli standard del settore delle carte di pagamento (PCI), che sono classificati come segreti.

Hai bisogno di aiuto per classificare i dati? Amazon Macie utilizza il machine learning (ML) per automatizzare la classificazione dei dati sensibili e critici per l'azienda. Utilizza il machine learning (ML) e il pattern matching per rilevare informazioni sensibili come numeri di carte di credito, dati sanitari e altri tipi di informazioni di identificazione personale (PII).

Determina i controlli sulla protezione dei dati

I controlli sulla protezione dei dati gestiscono il modo in cui i dati vengono utilizzati, chi può accedervi e come vengono crittografati.

Dopo aver assegnato i set di dati ai livelli di classificazione, determinerai quali controlli si applicano a ciascuna categoria. Gestendo con attenzione un sistema di classificazione dei dati appropriato, insieme ai requisiti di protezione di ciascun carico di lavoro, è possibile mappare i controlli e il livello di accesso o protezione appropriati per i dati.

Esistono molti tipi di controlli per la protezione dei dati, ma alcuni di quelli più comuni che è necessario conoscere sono:

• L'utilizzo di account separati per collocare le risorse del carico di lavoro per livello di sensibilità. AWS Organizations ti consente di creare e gestire più account AWS con facilità.
• La configurazione di policy IAM, policy di controllo dei servizi (SCP), Servizio di gestione delle chiavi AWS (AWS KMS) e AWS CloudHSM consente di definire e implementare le policy per la classificazione e la protezione dei dati con crittografia.
• Garantire che i dati vengano archiviati ed elaborati nella regione AWS appropriata in base ai requisiti di conformità e residenza dei dati. AWS non avvia mai la migrazione di dati tra le regioni. I contenuti collocati in una regione rimarranno in quella regione a meno che tu non abiliti esplicitamente una funzionalità o utilizzi un servizio che fornisce tale funzionalità.
• L'utilizzo delle regole di AWS Config per verificare automaticamente che si stia utilizzando la crittografia per i dati a riposo, ad esempio per i volumi Amazon Elastic Block Store (Amazon EBS), le istanze Amazon Relational Database Service (Amazon RDS) e i bucket Amazon Simple Storage Service (Amazon S3).
• Applicazione della crittografia in transito. Ad esempio, le richieste HTTP possono anche essere reindirizzate automaticamente a HTTPS in Amazon CloudFront o su un Application Load Balancer.

I dati non classificati, ad esempio, potrebbero essere accessibili a chiunque all'interno dell'organizzazione o anche esternamente, mentre i dati segreti potrebbero richiedere l'accesso autorizzato a una chiave per essere decrittografati.

2. Tagga i tuoi dati

Per motivi di sicurezza, i tag di metadati possono aiutarti a identificare, classificare e gestire le risorse in diversi modi, ad esempio per scopo, proprietario, ambiente o altri criteri. Puoi utilizzare i tag di sicurezza per identificare e raggruppare le tue risorse in base ai requisiti di riservatezza e conformità.

Ora che sai come classificare e proteggere i tuoi dati, aggiungerai tag di metadati che ne designano il livello di classificazione. Questi tag forniscono un riferimento per il tuo team e consentono automazione e controlli aggiuntivi. Esistono molte strategie di etichettatura comuni, ma i tag che potresti voler utilizzare per motivi di sicurezza includono:

• Riservatezza: un identificatore per lo specifico livello di riservatezza dei dati supportato da una risorsa
• Conformità: un identificatore per i carichi di lavoro che devono rispettare requisiti di conformità specifici

È possibile utilizzare i tag per richiedere la crittografia, ad esempio, o limitare chi può accedere ai dati. Se non disponi già di tag per le tue risorse esistenti, AWS offre strumenti per aiutarti a gestire i tag delle risorse su più servizi:

• Gruppi di risorse AWS e l' API per l'applicazione di tag a gruppi di risorse consentono il controllo programmatico dei tag, semplificando la gestione, la ricerca e il filtro di tag e risorse.
• AWS Identity and Access Management (IAM) ti consente di controllare l'accesso alle risorse tramite tag.

Ricorda: è abbastanza facile modificare i tag per soddisfare i mutevoli requisiti aziendali, ma considera le conseguenze dei cambiamenti futuri. Ad esempio, la modifica dei tag di controllo dell'accesso significa che è necessario aggiornare anche le politiche che fanno riferimento a tali tag e controllare l'accesso alle tue risorse

3. Oscurare i dati sensibili

L'oscuramento dei dati limita i luoghi in cui vengono archiviati i dati sensibili e limita l'accesso a coloro che ne hanno bisogno, senza ostacolare gli ambienti a valle.

L'automazione dell'oscuramento limita il pericolo di divulgazione involontaria di dati e aiuta le startup a rispettare i requisiti di privacy mentre si trovano a gestire un volume crescente di dati.

Amazon Comprehend, in combinazione con i punti di accesso Lambda per oggetti Amazon S3, è in grado di rilevare più di una dozzina di tipi di informazioni personali, tra cui password, indirizzi, numeri di telefono e numeri di previdenza sociale, ed effettuare automaticamente degli oscuramenti nei documenti di testo.

4. Resta al passo con la conformità

La conformità dei dati identifica le regole per la protezione, la sicurezza e l'archiviazione dei dati. Stabilisce politiche, procedure e protocolli e garantisce che i dati siano protetti dall'accesso e dall'uso non autorizzati.

Nella fase finale, monitorerai i tuoi dati per garantire che mantengano la conformità. Le regole di AWS Config e le best practice di sicurezza di AWS Foundational nella Centrale di sicurezza AWS ti aiutano a tenere traccia di come sono configurate le impostazioni dei dati e ad avvisarti in caso di modifiche. Ti consentono di garantire costantemente il rispetto dei tuoi standard di sicurezza.

Proteggere la tua startup con AWS

Quasi tutte le startup oggi operano in un ambiente globale e, sempre più, devono far fronte a requisiti diversi in ogni paese in cui operano.

Identificando i dati di cui disponi e implementando controlli automatizzati appropriati, puoi soddisfare questi requisiti più facilmente, migliorando al contempo il tuo livello di sicurezza. Per ulteriori approfondimenti, consigliamo il white paper sulla classificazione dei dati di AWS. Ti consigliamo anche di consultare il Framework AWS Well-Architected, che ti aiuta a comprendere i pro e i contro delle decisioni che prendi quando crei sistemi nel cloud, e descrive come sfruttare le tecnologie cloud per proteggere dati, sistemi e risorse in modo da migliorare il tuo livello di sicurezza.