SEC07-BP02 Applicazione di controlli di protezione dei dati in base alla loro sensibilità

Applica controlli di protezione dei dati che forniscano un livello di controllo appropriato per ogni classe di dati definita nella tua policy di classificazione.  Questa pratica può consentire di proteggere i dati sensibili dall'accesso e dall'uso non autorizzati, preservandone al contempo la disponibilità e l'utilizzo.

Risultato desiderato: hai una policy di classificazione che definisce i diversi livelli di sensibilità per i dati nella tua organizzazione.  Per ciascuno di questi livelli di sensibilità, sono state pubblicate linee guida chiare per i servizi e i luoghi di archiviazione e movimentazione approvati e per la loro configurazione richiesta.  I controlli per ogni livello vengono implementati in base al livello di protezione richiesto e ai costi associati.  Disponi di un sistema di monitoraggio e di allerta per rilevare la presenza di dati in luoghi non autorizzati, l'elaborazione in ambienti non autorizzati, l'accesso da parte di soggetti non autorizzati o la configurazione di servizi correlati non conformi.

Anti-pattern comuni:

• Applicazione dello stesso livello di controlli di protezione su tutti i dati. Ciò può portare a un eccesso di controlli di sicurezza per i dati a bassa sensibilità o a una protezione insufficiente dei dati altamente sensibili.

• Non coinvolgere le parti interessate dei team di sicurezza, conformità e business nella definizione dei controlli sulla protezione dei dati.

• Trascurare le spese generali e i costi operativi associati all'implementazione e al mantenimento dei controlli sulla protezione dei dati.

• Non condurre revisioni periodiche del controllo della protezione dei dati per mantenere l'allineamento con le policy di classificazione.

Vantaggi dell'adozione di questa best practice: allineando i controlli al livello di classificazione dei dati, l'organizzazione può investire in livelli di controllo più elevati laddove necessario. Questo può includere l'aumento delle risorse per la sicurezza, il monitoraggio, la misurazione, la correzione e la rendicontazione.  Se i controlli sono meno numerosi, è possibile migliorare l'accessibilità e la completezza dei dati per il personale, i clienti o gli utenti.  Questo approccio offre alla tua organizzazione la massima flessibilità nell'utilizzo dei dati, pur rispettandone i requisiti di protezione.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

L'implementazione dei controlli di protezione dei dati in base ai loro livelli di sensibilità comporta diverse fasi fondamentali. Innanzitutto, consente di identificare i diversi livelli di sensibilità dei dati all'interno dell'architettura del tuo carico di lavoro (ad esempio, pubblico, interno, riservato e limitato) e di valutare il luogo in cui memorizzi ed elabori questi dati. Successivamente, definisci i limiti di isolamento dei dati in base al loro livello di sensibilità. Ti consigliamo di separare i dati in diversi Account AWS, utilizzando le policy di controllo dei servizi per limitare i servizi e le azioni consentite per ogni livello di sensibilità dei dati. In questo modo, puoi creare forti limiti di isolamento e far rispettare il principio del privilegio minimo.

Dopo aver definito i limiti di isolamento, implementa i controlli di protezione appropriati in base ai loro livelli di sensibilità. Fai riferimento alle best practice per la protezione dei dati a riposo e la protezione dei dati in transito per implementare controlli pertinenti come crittografia, controlli di accesso e audit. Prendi in considerazione tecniche come la tokenizzazione o l'anonimizzazione per ridurre il livello di sensibilità dei tuoi dati. Semplifica l'applicazione di policy coerenti sui dati in tutta l'azienda con un sistema centralizzato per la tokenizzazione e la de-tokenizzazione.

Monitora e verifica continuamente l'efficacia dei controlli implementati. Rivedi e aggiorna regolarmente lo schema di classificazione dei dati, le valutazioni dei rischi e i controlli di protezione in base all'evoluzione del panorama dei dati e delle minacce dell'organizzazione. Allinea i controlli di protezione dei dati implementati con le normative, gli standard e i requisiti legali pertinenti del settore. Inoltre, fornisci consapevolezza e formazione sulla sicurezza per aiutare i dipendenti a comprendere lo schema di classificazione dei dati e le loro responsabilità nella gestione e protezione dei dati sensibili.

Passaggi dell'implementazione

1. Identifica i livelli di classificazione e sensibilità dei dati all'interno del tuo carico di lavoro.

2. Definisci i limiti di isolamento per ogni livello e determina una strategia di applicazione.

3. Valuta i controlli definiti che regolano l'accesso, la crittografia, la verifica, la conservazione e altri aspetti richiesti dalla policy di classificazione dei dati.

4. Valuta le opzioni per ridurre il livello di sensibilità dei dati laddove appropriato, ad esempio utilizzando la tokenizzazione o l'anonimizzazione.

5. Verifica i tuoi controlli utilizzando test e monitoraggio automatici delle risorse configurate.

Risorse

Best practice correlate:

• PERF03-BP01 Uso di un archivio dati dedicato che supporta al meglio i requisiti di accesso e archiviazione dei dati

• COST04-BP05 Applicare policy di conservazione dei dati

Documenti correlati:

• Whitepaper sulla classificazione dei dati

• Best practice per la sicurezza, l'identità e la conformità

• AWS KMS Best Practices

• Encryption best practices and features for AWS services

Esempi correlati:

• Building a serverless tokenization solution to mask sensitive data

• How to use tokenization to improve data security and reduce audit scope

Strumenti correlati:

• AWS Key Management Service (AWS KMS)

• AWS CloudHSM

• AWS Organizations