This is the Trace Id: c40a2c5f9342d4379a6606df36da1340
Passa a contenuti principali
Microsoft Security

Che cos'è la sicurezza dei dati?

La sicurezza dei dati implica il fatto di sapere quali dati si hanno e dove si trovano, oltre a identificare i rischi relativi a tali dati. Scopri come proteggere i dati.

Definizione di sicurezza dei dati

La sicurezza dei dati consente di proteggere i dati sensibili nell'intero ciclo di vita, di comprendere il contesto dell'attività e dei dati dell'utente e di impedire l'uso non autorizzato o la perdita dei dati.

L'importanza della sicurezza dei dati non può essere sminuita in questo periodo caratterizzato dall'aumento delle minacce della cybersecurity e dei rischi interni. È necessaria per avere visibilità nei tipi di dati di cui disponi, per impedire l'uso non autorizzato dei dati, per identificare e mitigare i rischi relativi ai dati. Insieme alla sicurezza dei dati, la gestione della sicurezza dei dati guida la tua azienda nella pianificazione, nell'organizzazione e nel controllo delle attività di sicurezza dei dati tramite procedure e criteri ben definiti.

Tipi di sicurezza dei dati

Affinché la sicurezza dei dati sia efficace, deve tenere conto della riservatezza dei set di dati e dei requisiti di conformità normativa della tua organizzazione. I tipi di sicurezza dei dati che ti aiutano a proteggerti da una violazione dei dati, a soddisfare i requisiti normativi e a evitare danni alla tua reputazione includono:

  • Controllo degli accessi che disciplina l'accesso ai dati in locale e basati sul cloud.
  • Autenticazione degli utenti tramite password, schede di accesso o dati biometrici.
  • Backup e ripristino per consentire l'accesso ai dati dopo un errore di sistema, il danneggiamento dei dati o un'emergenza.
  • Resilienza dei dati come approccio proattivo al ripristino di emergenza e alla continuità aziendale.
  • Cancellazione dei dati per eliminarli correttamente e renderli irrecuperabili.
  • Software di maschera dati che usa caratteri proxy per nascondere lettere e numeri a utenti non autorizzati.
  • Soluzioni di prevenzione della perdita dei dati per proteggere dall'uso non autorizzato dei dati sensibili.
  • Crittografia per rendere i file non leggibili per gli utenti non autorizzati.
  • Protezione delle informazioni per agevolare la classificazione dei dati sensibili trovati in file e documenti.
  • Gestione dei rischi interni per mitigare l'attività degli utenti a rischio.

Tipi di dati che richiedono protezione

Chiunque abbia una carta di credito compromessa o abbia subito un furto di identità apprezza molto di più una protezione dati efficace. Gli hacker inventano continuamente dei modi per rubare informazioni personali e chiedere un riscatto per riaverle, venderle o commettere altre frodi. Inoltre, gli ex dipendenti e quelli attuali sono spesso causa di perdita dei dati, rendendo la gestione dei rischi interni una necessità per le organizzazioni.

Ogni settore ha i propri requisiti in merito a cosa proteggere e come farlo, ma i tipi comuni di dati che richiedono protezione includono:

  • Informazioni personali su dipendenti e clienti.
  • Dati finanziari come numeri di carte di credito, informazioni bancarie e rendiconti finanziari aziendali.
  • Informazioni sanitarie come servizi ricevuti, diagnosi e risultati di test.
  • Proprietà intellettuale come segreti commerciali e brevetti.
  • Dati sulle operazioni aziendali come informazioni sulla catena di approvvigionamento e processi di produzione.

Minacce alla sicurezza dei dati

A lavoro e a casa, Internet ti consente di accedere ad account, metodi di comunicazione e modi per condividere e usare informazioni. Molti tipi di cyberattacchi e rischi interni possono mettere a rischio le informazioni che condividi.

Hacking

Per hacking si intende qualsiasi tentativo effettuato tramite computer per rubare dati, danneggiare reti o file, superare l'ambiente digitale di un'organizzazione o interromperne i dati e le attività. Metodi di hacking includono, ad esempio, phishing, malware, violazioni di codice e attacchi di tipo Distributed Denial-of-Service.

Malware

Malware è un termine usato per worm, virus e spyware che consentono a utenti non autorizzati di accedere al tuo ambiente. Una volta all'interno, questi utenti hanno il potenziale per arrestare la tua rete IT e i tuoi dispositivi endpoint o per rubare le credenziali che potrebbero trovarsi nei file.

Ransomware

Per ransomware si intende un software dannoso che impedisce l'accesso alla tua rete e ai tuoi file finché non paghi un riscatto. Aprire un allegato e-mail e fare clic su un annuncio sono solo alcuni dei modi con cui un ransomware può essere scaricato nel tuo computer. In genere viene scoperto quando non riesci ad accedere ai file o vedi un messaggio che chiede un pagamento.

Phishing

Il phishing consiste nell'indurre singoli individui o organizzazioni a fornire informazioni come numeri di carte di credito e password. Lo scopo è quello di rubare o danneggiare dati sensibili fingendo di essere un'azienda rispettabile che la vittima già conosce.

Fuga di dati

La fuga di dati è il trasferimento dei dati intenzionale o accidentale dall'interno di un'organizzazione a un destinatario esterno. Ciò può avvenire tramite e-mail, Internet e dispositivi come portatili e dispositivi di archiviazione portatili. Anche i file e i documenti ospitati sono una forma di fuga di dati. 

Negligenza

Si verifica negligenza quando un dipendente viola consapevolmente un criterio di sicurezza ma non sta tentando di danneggiare l'azienda. Ad esempio, potrebbe condividere dati sensibili con un collega che non ha accesso alle risorse aziendali, o che vi accede tramite una connessione wireless non sicura. Un altro esempio è il caso in cui si consente a qualcuno di entrare in un edificio senza mostrare un badge.

Frode

Le frodi vengono commesse da utenti esperti che vogliono sfruttare l'anonimato online e l'accessibilità in tempo reale. Potrebbero creare transazioni usando account compromessi e numeri di carte di credito rubate. Le organizzazioni potrebbero diventare vittime di frodi relative a garanzie, rimborsi o rivenditori.

Furto

Il furto è una minaccia interna che si traduce in proprietà intellettuale, dati o denaro rubati. Ha lo scopo di ottenere un guadagno personale e di danneggiare l'organizzazione. Ad esempio, un fornitore attendibile potrebbe vendere i codici fiscali dei clienti sul Dark Web oppure usare informazioni interne sui clienti per avviare una propria attività.

Tecnologie di sicurezza dei dati

Le tecnologie di sicurezza dei dati sono componenti chiave per una strategia di sicurezza dei dati più completa. Sono disponibili varie e soluzioni di prevenzione della perdita dei dati per rilevare l'attività interna ed esterna, contrassegnare comportamenti di condivisione dei dati sospette o rischiose e controllare l'accesso ai dati sensibili. Implementa tecnologie di sicurezza dei dati come queste per impedire l'esfiltrazione dei dati sensibili.

Crittografia dei dati. Sfrutta la crittografia (conversione di dati in codice) per i dati inattivi o in transito per impedire agli utenti non autorizzati di visualizzare il contenuto dei file anche se riescono ad accedere alla relativa posizione.

Autenticazione e autorizzazione degli utenti. Verifica le credenziali utente e conferma che i privilegi di accesso sono assegnati e applicati correttamente. Il controllo degli accessi in base al ruolo consente alla tua organizzazione di concedere l'accesso solo alle persone che ne hanno bisogno.

Rilevamento di rischi interni. Identifica le attività che potrebbero indicare minacce o rischi interni. Comprendi il contesto dell'utilizzo dei dati e rileva quando determinati download, e-mail esterne all'organizzazione e file rinominati puntano a un comportamento sospetto.

Criteri di prevenzione della perdita dei dati. Crea e applica criteri che definiscono la modalità di gestione e condivisione dei dati. Specifica gli utenti autorizzati, le applicazioni e gli ambienti per varie attività in modo da impedire la perdita o il furto di dati.

Backup dei dati. Esegui un backup dei dati della tua organizzazione affinché gli amministratori autorizzati possano ripristinarli in caso di un problema relativo all'archiviazione, una violazione dei dati o un'emergenza qualsiasi.

Avvisi in tempo reale. Automatizza le notifiche per il potenziale uso improprio dei dati e ricevi avvisi per eventuali problemi di sicurezza prima che causino danni ai tuoi dati, alla tua reputazione o alla privacy di dipendenti e clienti.

Valutazione dei rischi. Dipendenti, fornitori, appaltatori e partner possiedono informazioni sui tuoi dati e sulle tue pratiche di sicurezza. Per evitare che tali informazioni vengano utilizzate in modo improprio, devi sapere quali dati possiedi e come questi vengono usati nella tua organizzazione.

Auditing dei dati. Affronta problematiche importanti come la protezione, l'accuratezza e l'accessibilità dei dati con audit programmati regolarmente. Tali controlli ti diranno da chi e come vengono usati i tuoi dati.

Strategie di gestione della sicurezza dei dati

Le strategie di gestione della sicurezza dei dati includono i criteri, le procedure e la governance dei dati che ti permettono di proteggere maggiormente i tuoi dati.

Implementazione di procedure consigliate per la gestione della password

Implementa una soluzione di gestione delle password intuitiva. Eliminerà la necessità di note e fogli di calcolo, oltre a fare in modo che i dipendenti non siano costretti a memorizzare password uniche.
Usa passphrase anziché password. Una passphrase può essere più semplice da ricordare per il dipendente e più difficile da scoprire per un criminale informatico.
Abilita l'autenticazione a due fattori (2FA). Grazie all'autenticazione a due fattori, anche se una passphrase o password fosse compromessa, la protezione degli accessi sarebbe comunque garantita perché l'utente non autorizzato non riuscirebbe ad accedere senza il codice aggiuntivo fornito al secondo dispositivo. 
Cambia le tue password dopo una violazione della sicurezza. Se le modifichi più spesso potrebbero diventare più vulnerabili nel tempo.
Evita di riusare passphrase o password. Una volta compromesse, vengono spesso utilizzate per violare altri account.

Creazione di un piano di difesa

Proteggi i dati sensibili. Scopri e classifica i dati su vasta scala per conoscere il volume, il tipo e la posizione delle informazioni in qualsiasi fase del loro ciclo di vita.
Gestisci i rischi interni. Comprendi l'attività degli utenti e l'uso previsto dei dati per identificare attività potenzialmente pericolose che potrebbero causare incidenti di sicurezza dei dati.
Stabilisci criteri e controlli di accesso appropriati. Impedisci azioni come il salvataggio, l'archiviazione o la stampa inappropriati di dati sensibili.

Utilizzo della crittografia per proteggere i dati

La crittografia dei dati impedisce che gli utenti non autorizzati possano leggere i dati sensibili. Anche se riescono ad accedere all'ambiente dei dati o a vedere i dati in transito, tali dati sono inutili perché non possono essere letti o interpretati.

Installazione di aggiornamenti software e della sicurezza

Gli aggiornamenti software e della sicurezza affrontano vulnerabilità note che i criminali informatici sfruttano spesso per rubare informazioni sensibili. Restare al passo con aggiornamenti regolari aiuta a far fronte a queste vulnerabilità e a evitare che i tuoi sistemi vengano compromessi.

Training dei dipendenti sulla sicurezza dei dati

La protezione dei dati dell'organizzazione non spetta solo al reparto IT; devi formare anche i tuoi dipendenti in merito alla divulgazione, al furto e al danneggiamento dei dati. Le procedure consigliate di sicurezza dei dati sono importanti per i dati online e stampati. Un training formale dovrebbe avvenire regolarmente, che sia ogni trimestre, ogni semestre o ogni anno.

Implementazione di protocolli di sicurezza per il lavoro remoto

Per implementare protocolli di sicurezza per il personale remoto, inizia a definire chiaramente criteri e procedure. In genere ciò implica un training sulla sicurezza obbligatorio e indicazioni in merito alle applicazioni software consentite e alla loro modalità di utilizzo. I protocolli devono includere un processo di protezione di tutti i dispositivi usati dai dipendenti.

Normative e conformità

Le organizzazioni devono rispettare standard, leggi e normative di protezione dati rilevanti. Tali obblighi includono, tra gli altri, la raccolta solo delle informazioni necessarie su clienti e dipendenti, la loro protezione e l'eliminazione in modo corretto. Esempi di leggi sulla privacy sono il Regolamento generale sulla protezione dei dati (GDPR), l'Health Insurance Portability and Accountability Act (HIPAA) e il California Consumer Privacy Act (CCPA).

Il GDPR è la legge su privacy e sicurezza più stringente. È stata scritta e approvata dall'Unione Europea (UE), ma le organizzazioni in tutto il mondo sono obbligate a rispettarla se trattano o raccolgono dati di cittadini o residenti nell'UE o se offrono loro merci e servizi.

L'HIPAA impedisce la divulgazione delle informazioni sanitarie del paziente senza il suo consenso o che ne sia a conoscenza. L'HIPAA Privacy Rule protegge le informazioni sanitarie del paziente ed è stata creata per implementare i requisiti dell'HIPAA. L'HIPAA Security Rule contribuisce a proteggere le informazioni sanitarie identificabili che un provider di servizi sanitari crea, riceve, mantiene o trasmette elettronicamente.

Il CCPA contribuisce a proteggere i diritti alla privacy dei consumatori della California, incluso il diritto a sapere quali informazioni vengono raccolte e il modo in cui vengono usate e condivise, il diritto a eliminare le informazioni personali raccolte e il diritto a non acconsentire alla vendita delle proprie informazioni personali.

Il responsabile della protezione dei dati è un ruolo di leadership che tiene traccia della conformità e aiuta a garantire che l'organizzazione elabori i dati personali rispettando le normative sulla protezione dei dati. Ad esempio, informa e consiglia i team addetti alla conformità su come rispettare le leggi, fornire training all'interno dell'organizzazione e segnalare l'inosservanza di regolamenti e normative.

Se la mancata conformità provoca una violazione dei dati, questo spesso costa milioni di dollari per le aziende. Alcune delle conseguenze potrebbero essere il furto d'identità, la perdita di produttività e l'esodo dei clienti.

Conclusioni

Grazie alla sicurezza dei dati e alla gestione della sicurezza dei dati, puoi identificare e valutare le minacce ai dati, rispettare i requisiti normativi e garantire l'integrità dei dati.

Impegnati a eseguire spesso un backup dei dati, archiviare una copia del backup in una posizione fuori sede, stabilire le strategie di gestione della sicurezza dei dati e applicare passphrase o password complesse e l'autenticazione a due fattori.

Adottare misure per proteggere i dati nel loro ciclo di vita, comprendere come vengono utilizzati i dati, evitare la perdita di dati e definire criteri di prevenzione della perdita dei dati sono i pilastri della creazione di una difesa solida nella tua organizzazione.

Scopri come proteggere i dati in cloud, app ed endpoint grazie agli strumenti e alle procedure di sicurezza dei dati.

Scopri di più su Microsoft Security

Microsoft Purview

Esplora soluzioni di governance, protezione e conformità per i dati aziendali.

Scopri di più

Come impedire la perdita dei dati

Identifica la condivisione o l'uso rischiosi o non appropriati di dati sensibili su endpoint, app e servizi.

Scopri di più

Gestione dei rischi interni

Scopri come identificare potenziali rischi nelle attività di dipendenti e fornitori.

Scopri di più

Protezione delle informazioni

Scopri, classifica e proteggi i dati più sensibili nel tuo patrimonio digitale.

Scopri di più

Domande frequenti

  • La sicurezza dei dati consente di proteggere i dati sensibili nell'intero ciclo di vita, di comprendere il contesto dell'attività e dei dati dell'utente e di impedire l'uso non autorizzato dei dati. Implica il fatto di sapere quali dati si hanno e dove si trovano, oltre a identificare le minacce relative a tali dati.

  • I tipi di sicurezza dei dati includono:

    • Controlli di accesso che richiedono credenziali per accedere ai dati locali e basati sul cloud.
    • Autenticazione degli utenti tramite password, schede di accesso o dati biometrici.
    • Backup e ripristino per consentire l'accesso ai dati dopo un errore di sistema, il danneggiamento dei dati o un'emergenza.
    • Resilienza dei dati come approccio proattivo al ripristino di emergenza e alla continuità aziendale.
    • Cancellazione dei dati per eliminarli correttamente e renderli irrecuperabili.
    • Software di maschera dati che usa caratteri proxy per nascondere lettere e numeri a utenti non autorizzati.
    • Soluzioni di prevenzione della perdita dei dati per proteggere dall'uso non autorizzato dei dati sensibili.
    • Crittografia per rendere i file non leggibili per gli utenti non autorizzati.
    • Protezione delle informazioni per agevolare la classificazione dei dati sensibili trovati in file e documenti.
    • Gestione dei rischi interni per mitigare l'attività degli utenti a rischio.

  • Un esempio di sicurezza dei dati consiste nell'uso della tecnologia per vedere dove si trovano i dati sensibili all'interno dell'organizzazione e sapere le modalità di accesso e utilizzo di tali dati.

  • La sicurezza dei dati è importante perché aiuta la tua organizzazione a proteggersi da cyberattacchi, rischi interni ed errori umani, che possono causare violazioni dei dati.

  • I quattro aspetti fondamentali della sicurezza dei dati sono la riservatezza, l'integrità, la disponibilità e la conformità.

Segui Microsoft Security