RISULTATO:
le best practises per il controllo del rischio legato alla conservazione dei dati
LA GESTIONE DEL RISCHIO DEI DATI È L’INSIEME DELLE MODALITÀ CHE GARANTISCONO LA RIDUZIONE AL MINIMO DEI RISCHI EVENTUALI LEGATI ALLA CONSERVAZIONE E GESTIONE DEI DATI DA PARTE DI UN’ORGANIZZAZIONE.
CIÒ INCLUDE IL MODO IN CUI I DATI VENGONO ACQUISITI, ELABORATI, ARCHIVIATI E UTILIZZATI PER TUTTO IL TEMPO IN CUI SONO SOTTO IL CONTROLLO DELL'ORGANIZZAZIONE.
I POTENZIALI RISCHI LEGATI ALLA CONSERVAZIONE E ALLA GESTIONE DEI DATI
Tutto ciò che ha la capacità di minacciare la sicurezza o la qualità dei dati è considerato un rischio.
Alcuni esempi includono:
Incidenti e infortuni
Tutto ciò che rimuove, danneggia o minaccia in altro modo i dati rappresenta un rischio potenziale. Potrebbe trattarsi di un incendio in una struttura di archiviazione dati che danneggia irreparabilmente l’hardware o di un terremoto, che distrugge uffici e attrezzature, oppure di una violazione dell’organizzazione ad opera di malintenzionati che causano datti materiali.
Dati danneggiati
Il danneggiamento dei dati può essere dovuto a violazioni dei dati, problemi con un database o errori umani. Il danneggiamento può implicare la perdita dei dati, ma anche costi aggiuntivi per l’eventuale recupero dei dati.
Errori di conformità
Gli errori di conformità normativa rappresentano un rischio per i big data, che può generare multe consistenti, fatture legali elevate e ripercussioni in termini di reputazione. Man mano che vengono imposte più regole alle imprese, molte più organizzazioni si scontrano con i requisiti nuovi e nella maggior parte dei casi più severi.
Problemi con i dispositivi di archiviazione
Un rischio comune è legato ai problemi che coinvolgono il dispositivo di archiviazione che contiene i dati di un’organizzazione. Potrebbe trattarsi di un problema tecnico o di un attacco di informatico (virus, malware ecc.). Quando le aziende non dispongono di adeguate procedure di backup, corrono un rischio molto maggiore di perdere grandi quantità di dati rilevanti o fondamentali.
Dati oscuri
Si tratta di dati che vengono raccolti e archiviati ma non utilizzati. Questi dati rappresentano un rischio perché spesso sono difficili da proteggere o rappresentano un rischi potenziale in termini di conformità alle norme di legge.
Rimanenza dei dati
Si tratta di dati che potrebbero essere recuperati, anche se un’organizzazione potrebbe pensare che non esistano più. In questo caso è prevedibile che tali dati vengano persi in caso di pulizia o formattazione dei dispositivi di archiviazione.
CONSORZIO SCAI: BEST PRACTICES PER LA GESTIONE DEL RISCHIO DEI DATI
Definizione delle attività
Ogni organizzazione è diversa. Il tipo di dati e il livello di sensibilità saranno diversi, così come il software, i sistemi e gli strumenti in uso. Effettuare una valutazione completa dell’attività per determinare l’ambito dell’analisi dei rischi che deve essere condotta è una buona strategia da adottare.
Identificazione di potenziali rischi e minacce
Una volta che le aziende hanno stabilito ciò che stanno cercando, possono effettivamente passare direttamente ai rischi effettivi. Identificando potenziali minacce ai dati, le organizzazioni possono mettersi in una posizione migliore per impedire che si verifichino. Esaminare la situazione attuale e determinare dove sono i punti deboli renderà più chiare le aree che richiedono interventi.
Valutazione della probabilità e del potenziale impatto
Con una chiara idea dei potenziali rischi dei dati, le organizzazioni possono iniziare a pensare alla probabilità che si verifichino. Successivamente, la valutazione dell’impatto che una violazione dei dati avrebbe sull’organizzazione fornirà alcune indicazioni sulle attività da avviare per ridurre il rischio.
Valutazione delle misure esistenti
È probabile che le misure di protezione dei dati siano già in atto per la maggior parte delle grandi aziende. E’ necessario verificare se le procedure, i dispositivi e le attività sono aggiornate e si mantengono efficaci nel tempo.
Predisposizione di un piano di emergenza
Poiché non è sempre possibile prevedere qualsiasi evento negativo, le organizzazioni devono dotarsi di piani di emergenza in seguito al verificarsi di eventi imprevisti.
Adozione di un approccio olistico e proattivo
La gestione del rischio dei dati non dovrebbe essere affrontata in modo frammentario. È spesso il caso che un’organizzazione reagisca a violazioni dei dati o errori software dopo il fatto piuttosto che essere proattiva. Le politiche e le regole sul rischio dei dati dovrebbero essere definite e integrate nei processi aziendali in anticipo.