Automatizzazione dei controlli di sicurezza per la gestione del ciclo di vita dei dati = Security controls automation for data lifecycle management

In uno scenario globale caratterizzato da un’evoluzione tecnologica e digitale senza precedenti, i dati sono considerati una risorsa dal valore inestimabile, la cui protezione dovrebbe rappresentare una priorità. Tuttavia, garantire la sicurezza delle informazioni rappresenta oggi una sfida ardua a causa dell’enorme quantità di dati generati, dell’aumento di minacce informatiche e del crescente utilizzo di applicazioni basate sul cloud, dove i dati vengono archiviati e condivisi in un ambiente privo di perimetri definiti. Una violazione dei dati può comprometterne la riservatezza, l’integrità o la disponibilità, con conseguenze significative sia per le aziende che per i singoli individui. Danni reputazionali, perdite economiche, furti d’identità, sono alcuni dei rischi in cui si può incorrere in assenza di un’adeguata protezione delle informazioni, in aggiunta a severe sanzioni in caso di non conformità alle normative vigenti che regolamentano il trattamento dei dati sensibili. In questa prospettiva, per le imprese è fondamentale sviluppare una strategia di data governance: gestione efficace ed efficiente delle informazioni attraverso l’uso di tecnologie all’avanguardia e misure di sicurezza per la difesa da attacchi informatici, da fughe accidentali di dati o da uso scorretto dei sistemi informatici. In alcuni settori come quello finanziario, dove vengono trattati per lo più dati sensibili, affidarsi ad una strategia efficiente di data governance può fare la differenza. Pertanto, il lavoro presentato in questa tesi ha lo scopo di proporre una soluzione di data governance aziendale con particolare riferimento all’ambiente bancario, ma con potenziale applicazione in diversi settori. L’elaborato descrive una pipeline di azioni e controlli di sicurezza automatizzati adottati per proteggere i dati durante il loro ciclo di vita, dalla creazione alla cancellazione. Il lavoro è stato avviato impiegando un sistema di classificazione automatica basato sul livello di riservatezza di dati non strutturati, ospitati in un ambiente di collaborazione e archiviazione su cloud. I permessi di accesso alla piattaforma cloud in questione sono stati monitorati realizzando appositamente un automatismo. Sulle base delle vulnerabilità emerse dalle due attività precedenti, è stata svolta un’analisi qualitativa del rischio informatico. Infine, si è stabilita una politica, in conformità con i requisiti normativi, per la definizione e l’applicazione di un periodo minimo di conservazione dei dati in base alla loro tipologia. I risultati ottenuti dimostrano come, attraverso l'uso di automatismi, sia possibile ottimizzare tanto il processo di classificazione, quanto quello di identificazione delle potenziali situazioni di rischio nella gestione degli accessi. Con questo lavoro si sono volute proporre soluzioni pratiche per una gestione responsabile dei dati informatici tramite controlli di sicurezza automatizzati e possibili azioni correttive. Queste soluzioni rappresentano un primo passo verso l'automazione della sicurezza dei dati, pur tenendo conto dei limiti legati agli strumenti impiegati, alla sensibilità dei dati trattati e alla necessità di combinare l'automazione con il controllo umano.