La data classification logora… chi non ce l’ha

La data classification logora… chi non ce l’ha

La data classification è una delle bandiere storiche dell’information security, tuttavia continua a essere scarsamente applicata dalle organizzazioni, complici la complessità nel realizzarla, aspettative spesso eccessive di chi ne sostiene il bisogno e tempi forse non ancora maturi. È ancora così?

La classificazione dei dati è forse la misura di sicurezza su cui le organizzazioni che se ne dotano, o che sperano di realizzarla, ripongono le maggiori speranze per realizzare un sistema di gestione della sicurezza solido e in grado di stare al passo con i cambiamenti. Chi non ha potuto dotarsi di processi e procedure di data classification (DC) ripone in questa misura ambizioni talvolta eccessive, se non altro rispetto ai tempi di realizzazione e maturazione necessari nella propria organizzazione. Chi ce l’ha, sovente ne vede disattesa l’applicazione concreta, in quanto troppo complessa e distante dal contesto organizzativo reale. Il GDPR ha – se possiamo dirlo – risvegliato le coscienze riguardo l’importanza di mantenere il controllo dei dati all’interno della propria organizzazione. Pertanto, viene da chiedersi se sia realmente opportuno affrontare questa tematica, se sia ragionevole considerarla prioritaria e – soprattutto – quali reali benefici può portare.

Più in concreto, le organizzazioni dovrebbero fare chiarezza sul concetto stesso di data classification, sugli  attori coinvolti, e chi ne può trarre reale vantaggio. Come gli esperti di information security hanno già appreso da tempo, vi sono tutta una serie di tematiche sulla protezione dell’informazione e del sistema informativo che – pur trattandosi storicamente di “bandiere” delle IT – troverebbero una collocazione più adeguata nell’ambito delle funzioni di business. Per citarne una, la business continuity, troppo spesso interpretata come un disaster recovery agli steroidi!

La data classification presenta la stessa problematica: come processo trasversale di business, la classificazione dei dati consiste in realtà in una gestione del ciclo di vita dell’informazione, che ha anche risvolti sulla sicurezza. Non è un caso che uno dei principali scogli in cui si arenano i processi e i progetti di DC sia costituito dall’identificazione dei “proprietari” (owner) dei dati con il riferimento alle attività di classificazione del valore dell’informazione, la definizione delle modalità in cui questa può circolare, i soggetti e le condizioni di privilegio. Inoltre, solo con una prospettiva di business, è possibile realmente adeguare la classificazione in relazione al tempo (si pensi, per esempio, alle informazioni relative al bilancio di una società quotata, nel tempo che intercorre tra l’elaborazione dello stesso e la comunicazione agli investitori).

Leggi anche:  Cyberspazio: rapporti tesi tra le grandi potenze mondiali

Inoltre, raramente chi implementa dei processi di DC formalizza le modalità con le quali si può “derogare” dalle rigide regole di classificazione e protezione dell’informazione, dimenticando che è impensabile che una politica (soprattutto se di recente introduzione) così invasiva nell’operatività, possa adeguarsi alle diverse esigenze che possono manifestarsi nel tempo. L’assenza di un meccanismo formale che consenta di superare le regole definite, rischia quindi di generare un effetto di “fuga” dalle stesse, anziché costituire il mezzo mediante il quale la politica di data classification possa evolvere e adattarsi al meglio alle reali necessità. A tal proposito, come si è già detto, le decisioni in merito ai dati attengono alle funzioni di business “proprietarie”: sebbene non sempre sensibili alle tematiche di sicurezza (almeno non quanto chi se ne occupa per mandato), chi ha la responsabilità di un processo si trova già a gestire tutta una serie di rischi (di impresa, operativi, di reputazione…), e in più ha l’onere di farlo, mantenendo un grado di adeguata competitività. Serve quindi che il valore dell’informazione venga percepito e gestito bilanciando tutti questi aspetti, mediante una progressiva maturazione culturale. In tale quadro, le regole di DC costituiscono uno strumento di forte sensibilizzazione: uno strumento che l’organizzazione dovrebbe già avere posto in essere, pronto per cogliere e sostenere ogni evoluzione positiva.

Luca Bechelli – Comitato scientifico CLUSIT