I dati a riposo sono dati a rischio. Mitiga il rischio attraverso la sicurezza incentrata sui dati
Mitigazione del rischio dei dati … la necessità è in aumento negli Stati Uniti e in tutto il mondo. Pensa a questo esempio. Sei a casa ad aprire la tua posta e hai una nuova carta di credito brillante dalla compagnia della tua carta di credito. Non ci sono informazioni reali diverse da "le tue informazioni potrebbero essere state a rischio e, per prevenire furti, ti abbiamo rilasciato una nuova carta".
Negli ultimi anni, il furto di informazioni di identificazione personale (PII) è in aumento. Più di un americano su quattro ha perso o rubato le proprie informazioni personali. Non sono solo gli individui a essere a rischio. Dal 2005, la Privacy Rights Clearinghouse registra segnalati violazioni dei dati di clienti, pazienti e dipendenti (inclusi numeri di carte di credito, numeri di previdenza sociale, date di nascita, ecc.), proprietà intellettuale e altri documenti importanti esposti a causa di smarrimento, furto, pirateria informatica, ecc. Ecco perché la mitigazione del rischio dei dati è una considerazione cruciale negli sforzi di pianificazione aziendale di un'azienda.
Considera i seguenti casi (uno su MOLTI all'anno) in cui i dati sono stati compromessi e in che modo potrebbero riguardare te o la tua azienda:
- Nel 2014, delle 331 violazioni dei dati segnalate, sei hanno superato i 10 milioni (m) di record. Il più grande è stato eBay, che ha avuto più di 145 milioni di email utente, password, DOB e indirizzi hackerati da un database.
- Nel 2015, i dati personali di 191 milioni di elettori statunitensi sono stati trovati in un database pubblicamente disponibile, sono stati scoperti 15 milioni di record di controllo del credito dei clienti T-Mobile, gli hacker hanno rubato più di 10 milioni di record da Sony Pictures e 37 record sono stati rubati dal sito di Ashley Madison .
- Nel 2016, 1,5 miliardi di record di accesso sono stati rubati da Yahoo in 2 incidenti precedenti, 412 milioni su Friend Finder, 360 milioni su MySpace, 43,4 milioni da Weebly, 32 milioni su Twitter e 22,5 milioni da Foursquare.
- Nel 2017, un database cloud di Deep Root Analytics di oltre 198 milioni di utenti elettori è stato trovato non protetto, River City Media ha esposto inavvertitamente 1,37 miliardi di indirizzi e-mail e altri dati in un archivio di backup.
- Nel 2018, PII e dati biometrici di 1,1 miliardi di residenti indiani sono stati scoperti quando un portale del governo ha avuto una perdita. Le informazioni su 340 milioni di persone erano vulnerabili in un server pubblico Exactis e 150 milioni di dettagli utente dell'app MyFitnessPal sono stati violati. Quello è stato anche l'anno di simili imbarazzi su Facebook/Cambridge Analytica, GooglePlus, Cathay Pacific, T-Mobile e Marriott.
- Nel 2019, un forum di hacking ha condiviso l'accesso a un database cloud di, ironia della sorte, 773 milioni di indirizzi e-mail già violati e 22 milioni di password univoche. Un database di elenchi di controllo di Down Jones ha esposto 2,4 milioni di record di identità di politici internazionali e funzionari governativi.
Fonte:https://www.privacyrights.org/data-breach
Questi sono solo alcuni esempi che illustrano perché è fondamentale proteggere i dati sensibili nel luogo in cui risiedono. È necessario seguire le pratiche di sicurezza di base per garantire la protezione dei dati in più punti di ingresso, controllo e uscita. In effetti, le aziende devono garantire che i loro sistemi informativi non siano un obiettivo aperto e devono proteggere le PII in modi appropriati durante tutto il loro ciclo di vita. Ciò significa esercitare una combinazione di persone, processi e misure procedurali che sfruttano le tecnologie sia per l'endpoint che per ciò che IRI chiama "sicurezza del punto di partenza".
Sono i requisiti di protezione del punto di partenza incentrato sui dati (a/k/a data masking) che hanno spinto IRI a sviluppare funzionalità per trovare e anonimizzare le PII in file e database. Per questo motivo, IRI offre FieldShield per trovare e proteggere i dati a rischio fino al livello di campo in tabelle e file flat. Successivamente IRI ha sviluppato CellShield per trovare, classificare e mascherare PII in più fogli di calcolo Excel contemporaneamente e DarkShield per fare lo stesso in file di testo, documenti e immagini non strutturati.
FieldShield, CellShield e DarkShield offrono agli utenti la scelta - per ogni elemento di PII (o classe di dati) - di AES, GPG o altre librerie di crittografia, oscuramento dei dati (ad esempio, rendere illeggibile un numero di carta di credito tranne le ultime 4 cifre) e de- identificazione (es. separare o pseudonimizzare informazioni sensibili nelle cartelle cliniche), hashing e così via... fino a 14 diverse categorie funzionali di protezione nel caso di FieldShield.
Queste funzioni possono essere applicate a campi in più origini dati tramite flussi di lavoro automatici guidati da procedure guidate e possono anche essere richiamate senza problemi all'interno di operazioni di data warehousing, migrazione dati/DB, MDM e reportistica/preparazione dei dati analitici nella piattaforma di gestione dei dati IRI Voracity. Procedure guidate granulari per la ricerca e la classificazione dei dati, funzioni di sicurezza a livello di campo, report sulla determinazione del rischio di re-ID e registri automatici dei processi (audit) XML aiutano le organizzazioni a mitigare il rischio dei dati, a conformarsi alle normative sulla privacy interne e governative e a fornire dati di test sicuri e realistici per DevOps e altro.