Poiché le informazioni sono generalmente utilizzate da parti diverse per vari motivi, quali parametri definiscono la sensibilità delle informazioni?
Ad esempio, il marketing può definire "cliente" i dati come il nome e l'indirizzo di posta elettronica come non sensibili mentre un altro dipartimento come la risorsa umana può farlo.
Basandosi sulla buona risposta di @ AdHominem, aggiungerei che la tua organizzazione dovrebbe avere una politica di sicurezza che esponga chiaramente le tue linee guida sulla classificazione delle informazioni. È comune definire tre o quattro livelli, come "pubblico", "interno", "riservato" e "sensibile". Ad ogni livello, la politica dovrebbe indicare molto chiaramente cosa può accadere con le informazioni in tale classificazione: "le informazioni pubbliche possono essere condivise con chiunque senza conseguenze", "le informazioni riservate non possono essere condivise con nessuno al di fuori del dipartimento senza l'approvazione del direttore o superiore" , "i dati sensibili devono essere crittografati a riposo", ecc. La tua politica di sicurezza dovrebbe anche definire come valutare i tuoi dati: "se il rilascio dei dati al pubblico provocherebbe danni di reputazione moderati, deve essere classificato come riservato", "se rilasciato i dati al pubblico causerebbero una violazione delle leggi della SEC, devono essere classificati come sensibili ", quel tipo di consiglio.
È necessario che la politica sia inequivocabile per evitare argomenti prolungati su "perché il mio reparto deve pagare l'intero costo per la libreria di crittografia quando il reparto X ha gli stessi dati ma non lo crittografa?"
La tua politica di sicurezza deve anche tenere conto di regolamenti esterni, leggi e obblighi contrattuali. Se le regole PCI DSS dicono "devi crittografare il numero di conto con RSA a 2048 bit", non importa se il proprietario dei dati lo chiama confidenziale, la tua politica di sicurezza deve rispettare questi regolamenti e applicare la crittografia richiesta.
Si noti che le classificazioni aziendali sono generalmente diverse dalle classificazioni militari. Gli usi militari includono spesso il concetto di "autorizzazione", che è una valutazione della persona che avrà accesso ai dati.
Tieni presente che la sensibilità può dipendere dal contesto. Un codice postale è un'informazione pubblica. Tuttavia, lo stesso codice postale associato alla riga di dati associata a John Smith potrebbe essere confidenziale, in quanto potrebbe danneggiare la reputazione in modo tale da violare la privacy di John Smith. E se il codice postale è associato alla transazione di credito di John Smith, potrebbe essere considerato sensibile in base alle regole PCI. Le regole HIPAA / Privacy sono piene di questi tipi di problemi.
Se la tua organizzazione non ha già una politica di sicurezza e stai facendo questo tipo di domande, è il momento di implementarne una. Se hai bisogno di aiuto, sappi che ci sono diverse risorse online, ma otterrai risultati migliori usando un CISSP qualificato per aiutarti a crearne uno. Inoltre, tieni presente che la tua politica di sicurezza entrerà in gioco se mai ci sarà una causa derivante da una violazione. Il fatto di non avere una politica verrà quasi certamente richiamato dai querelanti come un segno che la tua organizzazione è irresponsabile con la sicurezza dei dati. Avete bisogno che gli avvocati della vostra organizzazione vi partecipino. (Difendersi dalle azioni legali è solo un'altra brutta parte della gestione del rischio.)
E se la tua organizzazione ha un criterio di sicurezza, è già tua responsabilità a leggerlo, comprenderlo e seguirlo. Se la classificazione delle informazioni non è chiara in modo chiaro, parla alle persone della tua sezione Informazioni e chiedi loro di esaminarle per includerle nel prossimo aggiornamento della politica (la politica di sicurezza dovrebbe contenere una frequenza di revisione delle politiche scritta in essa). / p>
La sensibilità dei dati è determinata dal proprietario dei dati che è responsabile della classificazione delle informazioni e anche responsabile nel caso in cui le informazioni vengano compromesse. Quindi, indipendentemente dal fatto che i dati siano utilizzati dal dipartimento delle risorse umane o dal marketing, la classificazione rimarrà la stessa. La metrica pertinente per stimare la sensibilità è strettamente correlata al costo dei dati, id est:
Tutte queste metriche variano in base alla gravità secondo l'istituzione. Ad esempio I dati di R & D sono difficili da riprodurre, impossibile da rebuyare e si perde la proprietà intellettuale, quindi dovrebbe essere classificato come riservato. La perdita di reputazione ha un ruolo secondario. Quando la brevettazione è finita, la classificazione sarà molto più bassa.
Leggi altre domande sui tag privacy risk-management business-risk