Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La classificazione dei dati è un processo fondamentale per la sicurezza delle organizzazioni. Tuttavia, spesso le policy non vengono applicate in modo tecnico, rendendo difficile il controllo dei dati. La classificazione deve evolvere da etichetta sul documento a contesto di governo del dato e dei flussi
Se guidi la sicurezza della tua organizzazione, conosci già la domanda perché è scomoda. Non quante policy hai approvato, né quante procedure spiegano agli utenti come marcare un file come “pubblico”, “interno”, “riservato” o “strettamente confidenziale”.
Quanti documenti, email e cartelle condivise hanno una classificazione tecnicamente applicata, leggibile dai sistemi e risultano essere coerenti con il loro contenuto? In tante organizzazioni, la risposta è una stima del tutto ottimistica, eppure la policy esiste, citata come evidenza in audit.
La policy c’è, ma i dati non lo sanno.
L’art. 32 del GDPR, non chiede delle specifiche misure organizzative o tecniche, ma chiede misure organizzative e tecniche adeguate al rischio. L’art. 25 invece, chiede che la protezione dei dati sia incorporata fin dalla progettazione, non aggiunta a valle. La ISO/IEC 27001:2022, con A.5.12 e A.5.13, dedica dei controlli specifici per la classificazione e l’etichettatura coerente con lo schema adottato.
Una policy organizzativa, senza che ci sia un sistema che la renda applicabile e verificabile, esiste solo come documento. Il caso più frequente infatti è la classificazione delegata all’utente, scrivere “riservato” nel piè di pagina, aggiungere una copertina, ricordarsi del livello da indicare.
Tutto affidato alla memoria del singolo, senza verifica.
Il problema, purtroppo, non si risolve automatizzando l’etichetta sul file, il limite della classificazione documentale è evidente e non tutto nasce come file. Le informazioni sensibili vivono anche in record applicativi (CRM, ERP, HRIS), database, BI, SaaS, chat, API, export, codice, prompt di AI generativa.
Qui non c’è sempre un documento “madre” da etichettare., servono altri segnali come origine, dataset, identità e ruolo dell’utente, applicazione sorgente, destinazione, canale, device, comportamento.
La classificazione deve evolvere da etichetta sul documento a contesto di governo del dato e dei flussi. Il DLP basato solo su “pattern matching” diventa fragile; funziona quando combina questi segnali. La classificazione del file non blocca un copia-incolla in una chat AI, ma con un contesto di classificazione alla fonte, gli altri controlli sanno cosa bloccare, consentire o loggare.
La classificazione manuale, sta generando un attrito operativo e una accuratezza variabile, mentre la protezione può indebolirsi fuori dai sistemi che la riconoscono nativamente. Le eccezioni vanno governate ma devono essere rapide e proporzionate: owner, motivazione, scadenza, controlli compensativi, si tratta di un processo ufficiale più lento del workaround che alimenta lo Shadow IT.
Discovery, classificazione e controlli sui flussi, vanno progettati assieme e implementati per fasi come ad esempio sola lettura, audit mode, pilota, tuning dei falsi positivi, enforcement progressivo sui flussi ad alto rischio.
Il NIS2, non impone degli obblighi specifici di classificazione documentale, altresì rafforza il principio che le misure dichiarate devono essere governate, attuate e verificabili. Il D.Lgs. 138/2024, all’art. 23, attribuisce agli organi di amministrazione e agli organi direttivi dei soggetti essenziali e importanti l’approvazione delle modalità di implementazione delle misure di gestione del rischio cyber, la supervisione dell’attuazione e la responsabilità per le violazioni previste dal decreto.
Una policy non applicata tecnicamente rischia di diventare una falsa evidenza di controllo: difficile da difendere, fragile in audit, con possibile esposizione del management e, a seconda di ruoli e deleghe, di chi l’ha attestata. La classificazione è il ponte tra governance e tecnologia: il segnale di contesto che permette agli altri controlli di decidere.
La policy su carta dimostra un’intenzione.
La classificazione applicata rende il controllo possibile.
La protezione automatizzata lo rende effettivo.
