Con l’avvento della trasformazione digitale, stimolata dall’aumento del lavoro da remoto correlato alla pandemia, le aziende ora archiviano la maggior parte dei loro dati in formato digitale. Sebbene il passaggio all’archiviazione digitale dei dati sia incredibilmente comodo e promuova una maggiore collaborazione ed efficienza, ha anche aperto la porta a un numero senza precedenti di attacchi informatici e violazioni dei dati .
Negli ultimi anni, diversi paesi, stati e settori hanno emanato normative sempre più severe sulla protezione dei dati, che disciplinano il modo in cui le aziende gestiscono i dati sensibili.
Definizione dei dati sensibili
Le persone spesso usano i termini dati sensibili, dati personali e dati riservati in modo intercambiabile. Nell’uso informale, i dati sensibili sono tutte le informazioni che non si desidera vengano divulgate. Tuttavia, quando si tratta di obblighi legali, la definizione di dati sensibili è più specifica.
I dati sensibili sono una classe speciale di dati che necessita di una protezione extra a causa delle ramificazioni della loro esposizione. Se i dati sensibili vengono esposti, c’è un’alta probabilità di danni finanziari, personali o reputazionali se finiscono nelle mani sbagliate. Comprendere il significato dei dati sensibili è fondamentale per le organizzazioni per garantire che proteggano adeguatamente le informazioni personali e riservate da accessi non autorizzati.
Dati personali vs. dati sensibili
Le informazioni personali sono tutti i dati che possono essere utilizzati per identificare una persona. Informazioni come nomi, indirizzi o numeri di telefono sono dati personali. In alcuni casi, la tua e-mail può essere considerata un dato personale, ad esempio se è yourname@yourcompany.com. I dati personali possono anche includere informazioni che qualcuno può utilizzare per confermare che ti trovavi in un luogo specifico, come le tue impronte digitali o i filmati di te su una telecamera di sicurezza.
Le informazioni sensibili sono un sottoinsieme di dati personali che possono essere utilizzati per danneggiare una persona in qualche modo. Il tuo nome è un dato personale, ma il tuo numero di previdenza sociale è un dato sensibile perché un malintenzionato potrebbe usarlo per rubare la tua identità.
Non tutti i dati personali sono sensibili.
Tipi di dati sensibili
In genere, i dati sensibili non sono disponibili al pubblico e appartengono a una delle numerose categorie ad alto rischio. Ecco alcuni esempi di dati personali sensibili:
Dati finanziari
Le informazioni relative allo stato finanziario di una persona o entità sono considerate dati sensibili. Ciò include:
- Numeri di conto bancario
- Informazioni sulla carta di credito e di debito
- Cronologia creditizia
- Dichiarazioni fiscali
Le aziende che accettano, elaborano, trasmettono o archiviano informazioni sulle carte di pagamento devono rispettare lo standard PCI DSS (Payment Card Industry Data Security Standard) . Esso impone solide pratiche di gestione della sicurezza per proteggere i dati dei titolari di carta.
Dati personali
I dati personali, noti anche come Personally Identifiable Information (PII), sono tutte le informazioni che possono essere utilizzate per identificare un individuo specifico. Regolamenti come il Regolamento generale sulla protezione dei dati dell’UE ( GDPR ) e il California Consumer Privacy Act ( CCPA ) proteggono i dati personali. Sebbene entrambi i regolamenti proteggano i dati personali, li definiscono in modo leggermente diverso.
- Il GDPR definisce i “dati personali” come qualsiasi informazione relativa a una persona fisica identificata o identificabile (“interessato”). I dati personali possono essere diretti, come un nome, un numero di identificazione, dati sulla posizione o un identificatore online. Possono anche essere indiretti, come caratteristiche fisiche, informazioni sulla salute o indicatori di identità culturale o sociale.
- Il CCPA ha una definizione molto più ampia di dati personali. Include qualsiasi informazione che identifica, si riferisce a, descrive, fa riferimento, è in grado di essere associata a, o potrebbe ragionevolmente essere collegata, direttamente o indirettamente, a un particolare consumatore o nucleo familiare.
Il GDPR si applica alle aziende che gestiscono i dati personali di qualsiasi cittadino dell’UE, mentre il CCPA si applica alle aziende che gestiscono i dati di qualsiasi residente dello stato della California. Entrambe le normative prescrivono ampie misure di protezione dei dati che le organizzazioni devono seguire per prevenire accessi non autorizzati o violazioni.
Informazioni sanitarie protette (PHI)
Le informazioni sanitarie protette (PHI) ai sensi dell’Health Insurance Portability and Accountability Act (HIPAA) si riferiscono a qualsiasi informazione sullo stato di salute, sulla fornitura di assistenza sanitaria o sul pagamento dell’assistenza sanitaria che può essere collegata a un individuo. Include un’ampia gamma di identificatori personali e informazioni sulle condizioni di salute fisica o mentale passate, presenti o future di una persona.
I fornitori di assistenza sanitaria, i fornitori di assicurazioni, le clearinghouse sanitarie e le loro entità commerciali devono seguire le linee guida HIPAA quando gestiscono i dati dei pazienti. HIPAA include misure rigorose su come PHI può essere utilizzato e divulgato.
Dati sensibili a rischio
I dati sensibili si verificano in tipi di dati strutturati e non strutturati in varie applicazioni e sistemi di archiviazione.
Lo spostamento dei dati è piuttosto limitato all’interno di repository di dati strutturati come un database di SQL Server , il che ti dà un maggiore controllo su come vengono trasmessi e protetti. Tuttavia, i file archiviati in repository non strutturati come condivisioni di file e siti di SharePoint tendono a muoversi più liberamente, rendendo più difficile individuare esattamente dove si trovano. Questi dati nascosti sono più difficili da controllare e proteggere.
Sebbene il GDPR sia la legge sulla privacy dei dati più ampiamente discussa , oltre il 70% dei paesi ha emanato normative sulla privacy dei dati. La maggior parte di queste normative condivide un obiettivo comune di protezione dei dati personali sensibili, ma i dettagli variano. Questo mosaico di normative sta costringendo le aziende a prendere il controllo dei propri dati sensibili. Per farlo, devono sapere dove si trovano e quali misure di sicurezza sono state implementate per ridurre l’esposizione dei dati sensibili.
Le aziende possono affrontare gravi conseguenze per non aver protetto i dati sensibili. Ai sensi del GDPR, in particolare la grave mancata conformità può comportare sanzioni di oltre 20 milioni di $ o del 4% del fatturato globale annuo, a seconda di quale valore sia maggiore. Ad oggi, la multa più elevata è stata emessa a Meta, la società madre di Facebook. È stata multata di 1,3 miliardi di $ per non aver protetto adeguatamente i dati sui cittadini dell’UE trasmessi negli Stati Uniti.
Protezione dei dati sensibili
Per evitare le multe associate alla non conformità, devi trovare e proteggere i tuoi dati sensibili indipendentemente da dove si trovino. Un inventario di classificazione dei dati ti aiuterà a identificare e classificare i dati in base alla loro sensibilità e importanza. Una volta fatto questo, dovrai mantenere un inventario completo di tutti i tuoi asset di dati, incluso dove sono archiviati, chi vi ha accesso e come vengono utilizzati.
Sapere dove sono archiviati i tuoi dati è il primo passo per la conformità, ma dovrai anche assicurarti di avere i controlli giusti in atto per impedire l’accesso non autorizzato. Le aziende devono anche essere consapevoli ed evitare di raccogliere più dati del necessario, oltre a limitare la crescita dei dati rimuovendo i dati non necessari. Non devi proteggere i dati che non raccogli.
Come Netwrix può aiutarti
Netwrix fornisce una potente piattaforma per aiutarti a gestire l’accesso a tutti i tuoi dati, applicazioni e sistemi sensibili.
Con oltre 40 moduli di raccolta dati integrati che identificano i dati sia su sistemi basati su cloud che on-premise, puoi mantenere il controllo delle tue risorse di dati indipendentemente da dove siano archiviate. Non devi preoccuparti di trascurare dati sensibili in formati non strutturati.
Enterprise Auditor di Netwrix può aiutarti a ridurre il rischio di violazioni dei dati e a superare facilmente gli audit di conformità. Puoi individuare in modo proattivo le lacune nella tua postura di sicurezza, come autorizzazioni utente eccessive e account disabilitati che i malintenzionati potrebbero sfruttare. Enterprise Auditor rimedierà automaticamente alle minacce eliminando gli account inattivi e ritirando le autorizzazioni eccessive.
Seguendo il principio del privilegio minimo , puoi monitorare chi accede ai tuoi dati e per quali scopi. Revoca rapidamente i privilegi non necessari per rafforzare la sicurezza dei tuoi dati.
FAQ
Cosa si considera dato sensibile?
I dati sensibili includono una serie di informazioni che richiedono una protezione extra a causa del loro potenziale uso improprio.
Esempi di dati personali sensibili includono cartelle cliniche o informazioni finanziarie come i dettagli del conto bancario, numeri di carte di credito e numeri di previdenza sociale.
Include anche dati biometrici, come impronte digitali e riconoscimento facciale, numeri di identificazione personale da patenti di guida e passaporti e informazioni aziendali riservate. Anche le informazioni su origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche e orientamento e comportamento sessuale sono considerate dati sensibili. Proteggere questi dati è fondamentale per prevenire uso improprio, furto di identità e discriminazione.
Cosa non è considerato dato sensibile?
I dati non sensibili includono informazioni disponibili al pubblico, come nomi senza dettagli identificativi aggiuntivi, titoli di lavoro generici, informazioni di contatto aziendali e dati resi anonimi in cui gli identificatori personali sono stati rimossi.
Questo tipo di dati presenta un rischio minimo se esposto e in genere non necessita di misure di protezione speciali.
Quali informazioni sono considerate sensibili?
I dati sensibili sono caratterizzati dal loro potenziale di causare danni significativi se esposti, tra cui furto di identità, perdite finanziarie o discriminazione.
In genere includono informazioni di identificazione personale che possono identificare direttamente o indirettamente un individuo.
Questi dati spesso riguardano la salute personale, lo stato finanziario, gli identificatori biometrici o le operazioni aziendali riservate.
Questi dati devono essere protetti per proteggere la privacy e la sicurezza e per rispettare le normative sulla protezione dei dati.
I dati sensibili spesso richiedono anche il consenso esplicito per la raccolta e l’elaborazione a causa della loro natura intrinsecamente privata.
Quali sono i tre tipi di dati sensibili?
I tre principali tipi di dati sensibili sono le informazioni personali identificabili (PII), le informazioni sanitarie protette (PHI) e le informazioni finanziarie.
Le PII includono dati che possono identificare un individuo, come nomi e numeri di previdenza sociale. Le PHI comprendono dati medici e sanitari.
Le informazioni finanziarie includono dati bancari, numeri di carte di credito e transazioni finanziarie.
Prova gratuitamente tutti gli strumenti Netwrix
Le soluzioni Netwrix consentono di identificare e classificare le informazioni sensibili con la massima precisione; ridurre l’esposizione al rischio e rilevare le minacce in tempo utile per evitare violazioni dei dati, raggiungere e dimostrare la conformità.
La piattaforma include una vasta gamma di applicazioni che forniscono una visualizzazione a riquadro singolo di ciò che sta accadendo in entrambi i sistemi IT di archiviazione dati e nelle dorsali di rete.
Netwrix Auditor, Netwrix Data Classification, Provilege Secure, StealthDEFEND, Anixis,… oggi il mondo Netwrix si è allargato fino a diventare un vero e proprio universo di soluzioni complete per la gestione e la sicurezza dei tuoi dati aziendali:
Compila il form per richiedere informazioni su Netwrix
Articolo originale: What Is Sensitive Data?
Autore:Farrah Gamboa
Riadattamento da parte di CIPS Informatica - Netwrix