Che cos'è la conformità alla sicurezza dei dati?
La conformità alla sicurezza dei dati è un aspetto critico della governance dei dati che comporta l'adesione alle norme e ai regolamenti incentrati sulla sicurezza stabiliti dagli organismi di vigilanza e regolamentazione, comprese le agenzie federali. Queste norme e regolamenti coprono un ampio spettro di sicurezza dei dati, tra cui misure di sicurezza tecniche e organizzative, strumenti e soluzioni per la sicurezza dei dati e tecniche e strategie di prevenzione delle violazioni dei dati.
The Data Security Best Practices [Cheat Sheet]
No time to sift through lengthy guides? Our Data Security Best Practices Cheat Sheet condenses expert-recommended tips into a handy, easy-to-use format. Get clear, actionable advice to secure your cloud data in minutes.
Download cheat sheet
Conformità dei dati e conformità alla sicurezza dei dati
Molte persone confondono la conformità alla sicurezza dei dati con la conformità dei dati. Sebbene i principi fondamentali di entrambe le aree di conformità normativa siano gli stessi, ci sono importanti distinzioni. È importante ricordare che la conformità alla sicurezza dei dati è una componente della conformità dei dati.
La conformità dei dati include leggi e regolamenti che comprendono l'intero ciclo di vita dei dati. Ciò include l'acquisizione, l'archiviazione, la gestione, la gestione, l'individuabilità e la trasparenza. In breve, le normative sulla conformità dei dati coprono i dati in possesso delle aziende, da dove ottengono tali dati e cosa ne fanno.
D'altra parte, la conformità alla sicurezza dei dati si concentra sulla sicurezza. Sebbene anche altri aspetti della conformità siano correlati alla sicurezza, queste leggi e regolamenti esaminano in modo specifico il modo in cui le aziende proteggono i propri dati e, per estensione, i clienti e i collaboratori che condividono con loro dati preziosi e sensibili.
Perché la conformità alla sicurezza dei dati è importante per l'azienda?
Secondo Il Costo di un rapporto sulla violazione dei dati 2023, il mancato rispetto delle normative di conformità è stato uno dei maggiori amplificatori dei costi della violazione dei dati. Un altro fattore influente per la conformità alla sicurezza dei dati riguarda il fatto che le aziende operino in ambienti con livelli di regolamentazione alti o bassi. Nelle regioni e nei settori a bassa regolamentazione, le aziende risolvono il 64% dei costi di conformità entro il primo anno dopo una violazione dei dati. Tuttavia, in ambienti ad alta regolamentazione, i costi aumentano del 58% dopo il primo anno.
Ora diamo un'occhiata a 6 motivi fondamentali per cui la conformità alla sicurezza dei dati è di importanza senza pari:
Panorama delle minacce in evoluzione: Il panorama delle minacce non è mai stato così pericoloso. Secondo L'Indipendente, gli attori delle minacce hanno causato oltre 290 milioni di fughe di dati nel 2023 e le violazioni dei dati hanno colpito più di 364 milioni di persone. Le tendenze e le traiettorie suggeriscono che il crimine informatico continuerà ad aumentare a ritmi sbalorditivi. L'obiettivo principale dei criminali informatici sono quasi sempre i dati aziendali, il che rende la conformità alla sicurezza dei dati sempre più complessa e impegnativa.
Conformità al cloud: La maggior parte delle aziende opera in ambienti cloud complessi. Alcune aziende ospitano autonomamente ambienti cloud, mentre altre utilizzano offerte IaaS, PaaS e SaaS di terze parti di fornitori come AWS, GCP, Azure e Alibaba. Dal punto di vista della conformità alla sicurezza dei dati, la sfida principale consiste nell'identificare le complessità del modello di responsabilità condivisa. (Il modello di responsabilità condivisa evidenzia quali responsabilità in materia di sicurezza dei dati spettano al fornitore di servizi cloud.) Inoltre, le aziende che utilizzano servizi di fornitori cloud diversi potrebbero dover navigare in più settori relativi alla sicurezza dei dati Conformità al cloud Sfide.
Nuove leggi e regolamenti: È già abbastanza difficile per le aziende rispettare le normative di conformità esistenti. Ora, a causa dell'aumento della criminalità informatica e della miriade di catastrofi di conformità specifiche del settore, le autorità di regolamentazione stanno passando all'offensiva e implementando nuove regole. Le organizzazioni devono capire quando iniziano ad essere applicate nuove regole, in che modo si sovrappongono alle regole esistenti e quali misure di sicurezza dei dati devono implementare per soddisfare le crescenti esigenze di conformità.
Ecosistemi di dati complessi: La complessità degli ecosistemi di dati dipende dalle dimensioni, dal settore e dagli obiettivi generali di un'azienda. Poiché le aziende stanno cercando di sbloccare e utilizzare i propri dati in modi nuovi, gli ecosistemi di dati stanno diventando più complessi e contorti. Negli ecosistemi di dati complessi, c'è una percentuale più alta di Dati shadow, ovvero dati che non rientrano nella visibilità e nella gestione dei reparti IT e di sicurezza. Gli ecosistemi di dati complessi possono essere un potente trampolino di lancio per i progetti di dati di un'organizzazione, ma richiedono anche una maggiore conformità alla sicurezza dei dati.
Iniziative DevOps: La maggior parte delle aziende adotta modelli e metodologie operative agili e accelerate. Gli sviluppatori spingono i cicli di vita dello sviluppo del software (SDLC) in modo eccessivo, aumentando la velocità con cui sfruttano i dati. Lo sviluppo e l'implementazione di applicazioni in modo rapido e scalabile può potenzialmente compromettere la sicurezza dei dati e ridurre la priorità della conformità normativa.
Progetti internazionali sui dati: Con l'indebolimento dei confini nel mondo degli affari, sorgono nuove sfide per la conformità alla sicurezza dei dati. Si considerino, ad esempio, i problemi di conformità alla sicurezza dei dati di un'azienda con sede in Europa con clienti principalmente europei che ospita i propri dati in data center con sede negli Stati Uniti. In un caso come questo, l'azienda deve navigare tra le diverse, sovrapposte e talvolta contraddittorie normative sulla sicurezza dei dati di più paesi, ognuno con il proprio approccio unico alla sicurezza dei dati. Inoltre, le tensioni geopolitiche e gli eventi politici sismici possono avere un impatto importante sulla conformità alla sicurezza dei dati per i progetti internazionali di dati.
Esempio di vita reale: Nell'aprile 2023, la Commissione irlandese per la protezione dei dati (DPC) ha multato Meta 1,3 miliardi di dollari per il trasferimento dei dati di individui residenti nell'UE su server con sede negli Stati Uniti.
8 Regolamenti e standard sulla sicurezza dei dati
Di seguito sono riportati 10 importanti regolamenti, standard di settore e quadri di conformità da tenere a mente:
GDPR: Il Regolamento generale sulla protezione dei dati (GDPR) è una legislazione dell'UE incentrata sulla privacy delle informazioni.
CALZETTA: Il Sarbanes-Oxley Act (SOX) è un accordo Legge federale sulla rendicontazione finanziaria.
PCI-DSS: Il Payment Card Industry Data Security Standard (PCI-DSS) è un insieme di standard di sicurezza delle informazioni per gli Stati Uniti. Informazioni sulla carta di credito. I fallimenti nella conformità PCI-DSS possono costare alle aziende da $ 5.000 a $ 100.000 al mese.
Accordo CCPA: Il California Consumer Privacy Act (CCPA) è uno statuto statale per migliorare e garantire la protezione dei consumatori.
HIPAA: L'Health Insurance Portability and Accountability Act (HIPAA) è un insieme di standard nazionali per proteggere gli Stati Uniti informazioni sanitarie.
FISMA: Il Federal Information Security Modernization Act (FISMA) è una legislazione che include quadri normativi per la sicurezza degli Stati Uniti. dati governativi.
PIPEDA: La legge sulla protezione dei dati personali e dei documenti elettronici (PIPEDA) è una legge canadese incentrata sulla privacy delle informazioni.
Certificazione ISO/IEC: Gli standard dell'Organizzazione internazionale per la standardizzazione/Commissione elettrotecnica internazionale (ISO/IEC) sono un insieme di standard globali per garantire la sicurezza delle informazioni e ottimizzare i sistemi di gestione della sicurezza.
Passaggi pratici per ottenere la conformità alla sicurezza dei dati
1. Comprendere i requisiti normativi
Identificare le normative applicabili: In base al settore di attività e alla posizione, identifica le normative pertinenti (ad es. GDPR, HIPAA, CCPA, PCI DSS) che dettano le modalità di gestione dei dati.
Normative specifiche per l'IA: se i sistemi di IA sono in uso, prendere in considerazione normative specifiche sull'IA, come quelle che riguardano l'equità, la trasparenza e i pregiudizi nel processo decisionale basato sull'IA. La legge sull'IA dell'UE ne è un esempio, che impone un uso responsabile dei dati per i modelli di IA.
Allineati ai framework di sicurezza: Adotta framework riconosciuti come ISO 27001, NIST Cybersecurity Framework o SOC 2 per standardizzare il tuo approccio alla conformità alla sicurezza dei dati.
2. Ottieni visibilità sui dati
Individuazione dei dati: Inizia utilizzando Strumenti di individuazione dei dati per identificare e mappare tutti i dati sensibili e regolamentati all'interno della tua organizzazione. Capire dove risiedono i dati è un primo passo fondamentale negli sforzi di conformità.
Set di dati AI: include i dati utilizzati per i modelli di intelligenza artificiale nel processo di individuazione. Spesso, i sistemi di intelligenza artificiale si basano su set di dati estesi per l'addestramento e la convalida, che possono contenere informazioni sensibili.
Automatizzato Classificazione dei dati: Distribuisci strumenti che classificano automaticamente i dati in base alla sensibilità (ad esempio, PII, dati finanziari). Questa classificazione consente di gestire la conformità garantendo l'identificazione e la protezione immediata dei dati sensibili.
Visibilità continua: Implementare soluzioni come Gestione della postura di sicurezza dei dati (DSPM) per mantenere una visibilità continua nell'ambiente dei dati, inclusi i set di dati di addestramento dell'intelligenza artificiale e i flussi di dati operativi.
3. Catalogare e gestire i dati
Implementazione del catalogo dati: Stabilire un Catalogo dati per creare un inventario di tutti gli asset di dati. Questo catalogo deve fornire un indice organizzato e ricercabile dei set di dati, comprese le informazioni sensibili e i dati specifici dell'IA utilizzati nell'addestramento del modello o nel processo decisionale.
Gestione dei metadati: Utilizzare la gestione dei metadati per tenere traccia dei dati', in particolare per i set di dati che alimentano i modelli di intelligenza artificiale. Garantire la provenienza dei dati e il modo in cui vengono elaborati è essenziale per la conformità normativa.
Contrassegnare i dati sensibili: applica tag appropriati ai dati in base alla loro sensibilità e ai requisiti normativi. Questa etichettatura dovrebbe riguardare sia i dati tradizionali che i set di dati utilizzati nei flussi di lavoro dell'intelligenza artificiale.
Aggiornamenti automatici: Assicurarsi che il catalogo dati sia Aggiornato dinamicamente man mano che nuovi dati entrano nel sistema o vengono modificati. Per le applicazioni di intelligenza artificiale, ciò significa mantenere un registro aggiornato di tutti i set di dati, input e output.
4. Traccia la derivazione e la tracciabilità dei dati
Tracciamento della derivazione dei dati: Monitora il modo in cui i dati si spostano all'interno dei tuoi sistemi dalla raccolta all'elaborazione e all'archiviazione. Questo è essenziale per dimostrare la conformità e per l'audit dei modelli di intelligenza artificiale, in quanto consente di mostrare come vengono prese le decisioni basate sull'intelligenza artificiale.
Tracciabilità AI: garantire che i modelli di intelligenza artificiale e i relativi set di dati siano completamente tracciabili, soprattutto se utilizzati in settori critici per la conformità come la finanza o la sanità.
5. Implementa una forte crittografia dei dati e controlli di accesso
Codifica: crittografa i dati inattivi e in transito. Per le applicazioni di intelligenza artificiale, assicurati che anche i dati di addestramento e tutti gli output contenenti informazioni sensibili siano crittografati.
Controllo di accesso:Implementare Controllo degli accessi in base al ruolo e Accesso con privilegi minimi per limitare chi può accedere ai dati sensibili. Per i sistemi di intelligenza artificiale, assicurarsi che solo il personale autorizzato possa accedere ai dati, ai modelli e agli output di addestramento.
Autenticazione a più fattori (MFA): utilizza l'autenticazione a più fattori per accedere ai sistemi che gestiscono dati sensibili, inclusi gli strumenti di intelligenza artificiale o gli ambienti in cui vengono addestrati i modelli.
6. Garantire la minimizzazione e l'anonimizzazione dei dati
Minimizzazione dei dati: Raccogli e archivia solo la quantità minima di dati necessari per le tue operazioni. Questo principio si applica anche all'addestramento dei modelli di intelligenza artificiale: utilizza dati sintetici o dati anonimizzati ove possibile per ridurre al minimo i rischi per la privacy.
Anonimizzazione e pseudonimizzazione: Applica tecniche di anonimizzazione per rimuovere le informazioni di identificazione personale (PII) dai set di dati utilizzati nell'addestramento dell'intelligenza artificiale o in altri processi di dati, garantendo la conformità alle leggi sulla privacy.
7. Implementa controlli di sicurezza specifici per l'intelligenza artificiale
Modelli di intelligenza artificiale sicuri: i modelli di intelligenza artificiale possono essere vulnerabili a Attacchi avversari, in cui input dannosi inducono i modelli a prendere decisioni errate. Implementare misure di sicurezza per rilevare e prevenire questi attacchi.
Protezione dall'avvelenamento dei dati: garantire che i set di dati utilizzati per addestrare i modelli di intelligenza artificiale siano protetti e monitorati per evitare Attacchi di avvelenamento dei dati che possono compromettere i risultati dell'IA e portare a non conformità.
Governance e spiegabilità del modello: garantire che i modelli di intelligenza artificiale utilizzati in aree sensibili come la sanità o la finanza dispongano di meccanismi di spiegabilità e verificabilità per mantenere la fiducia e la conformità agli standard normativi.
8. Continuamente Monitoraggio dei rischi e verifica dell'attività dei dati
Implementa il monitoraggio continuo: Monitora l'accesso, il movimento e l'utilizzo dei dati tra i sistemi in tempo reale. Utilizza soluzioni native per il cloud come DSPM per ottenere visibilità sui flussi di dati, inclusi quelli che coinvolgono pipeline di dati AI.
Verifica i modelli di intelligenza artificiale: verifica periodicamente i sistemi di intelligenza artificiale, garantendo l'integrità dei modelli e dei dati su cui si basano. Includi audit dei dati di addestramento per garantire che soddisfino gli standard di sicurezza e conformità.
Registrazione dei dati: Mantenere registri dettagliati dell'accesso e dell'utilizzo dei dati. Per l'intelligenza artificiale, assicurati che vengano conservati i registri di chi ha avuto accesso ai set di dati di addestramento, quali modelli sono stati addestrati su quali set di dati e quali decisioni o output sono stati generati.
Piano di risposta agli incidenti: Avere un ben definito Piano di risposta agli incidenti per affrontare le violazioni dei dati, comprese le violazioni dei dati specifiche dell'IA. Assicurati che il piano includa ruoli, responsabilità e strategie di comunicazione.
In che modo Wiz può aiutarti con la conformità alla sicurezza dei dati
La soluzione DSPM di Wiz Consente alle aziende di eseguire scansioni senza agente dell'intero panorama dei dati, di dare priorità ai rischi dei dati in base a contesti complessi e approfonditi e di prevenire l'esposizione dei dati affrontando le combinazioni tossiche e i percorsi di attacco. Wiz estende le sue funzionalità DSPM per includere i dati dell'intelligenza artificiale, che è uno dei requisiti di sicurezza più importanti nel mondo odierno guidato dall'intelligenza artificiale.
Con ampia copertura nuvolosa e la compatibilità con una miriade di piattaforme e tecnologie cloud, Wiz è lo strumento definitivo per una sicurezza dei dati completa e unificata. Con lo strumento DSPM di Wiz, puoi facilmente seguire e rispettare le leggi più complesse e impegnative sulla sicurezza dei dati e sulla privacy.
Richiedi una demo oggi per vedere come Wiz può proteggere i tuoi dati e garantire la conformità.
Protect your most critical cloud data
Learn why CISOs at the fastest companies choose Wiz to secure their cloud environments.
