SEC07-BP03 Automazione dell'identificazione e della classificazione

automatizzare l'identificazione e la classificazione dei dati può aiutarti a implementare i controlli corretti. L'uso dell'automazione per aumentare la determinazione manuale riduce il rischio di errore umano e di esposizione.

Risultato desiderato: è possibile verificare l'esistenza di controlli adeguati in base alla propria policy di classificazione e gestione. Gli strumenti e i servizi automatizzati ti aiutano a identificare e classificare il livello di sensibilità dei tuoi dati. L'automazione consente inoltre di monitorare continuamente gli ambienti per rilevare e avvisare se i dati vengono archiviati o gestiti in modo non autorizzato, in modo da poter intraprendere rapidamente azioni correttive.

Anti-pattern comuni:

Affidarsi esclusivamente a processi manuali per l'identificazione e la classificazione dei dati, che possono essere soggetti a errori e richiedere tempi di lavoro lunghi. Questo può portare a una classificazione dei dati inefficiente e incoerente, soprattutto con l'aumento dei volumi di dati.
Non disporre di meccanismi per tracciare e gestire le risorse di dati all'interno dell'organizzazione.
Trascurare la necessità di un monitoraggio e di una classificazione continui dei dati durante i loro spostamenti e le loro trasformazioni all'interno dell'organizzazione.

Vantaggi dell'adozione di questa best practice: l'automazione dell'identificazione e della classificazione dei dati può portare a un'applicazione più coerente e accurata dei controlli sulla loro protezione, riducendo il rischio di errori umani. L'automazione può anche fornire visibilità sull'accesso e sul movimento dei dati sensibili, consentendo di rilevare le manipolazioni non autorizzate e a intraprendere azioni correttive.

Livello di rischio associato alla mancata adozione di questa best practice: medio

Guida all'implementazione

Sebbene il giudizio umano sia spesso utilizzato per classificare i dati durante le fasi iniziali di progettazione di un carico di lavoro, è opportuno considerare la presenza di sistemi che automatizzino l'identificazione e la classificazione dei dati di test come controllo preventivo. Ad esempio, agli sviluppatori può essere fornito uno strumento o un servizio per analizzare i dati rappresentativi e determinarne la sensibilità. In AWS, è possibile caricare i set di dati in Amazon S3 e scansionarli utilizzando Amazon Macie, Amazon Comprehend o Amazon Comprehend Medical. Allo stesso modo, considera la scansione dei dati come parte dei test di unità e integrazione per individuare i casi in cui i dati sensibili non sono previsti. La segnalazione di dati sensibili in questa fase può evidenziare le lacune nelle protezioni prima dell’implementazione in produzione. Altre funzionalità, come il rilevamento di dati sensibili in AWS Glue, Amazon SNS e Amazon CloudWatch possono essere utilizzate anche per rilevare informazioni personali e intraprendere azioni di mitigazione. Per qualsiasi strumento o servizio automatizzato, capire come definisce i dati sensibili e integrare con altre soluzioni umane o automatizzate per colmare eventuali lacune.

Come controllo investigativo, utilizza il monitoraggio continuo degli ambienti per rilevare se i dati sensibili vengono archiviati in modi non conformi. Questo può aiutare a rilevare situazioni come l'emissione di dati sensibili nei file di log o la loro copia in un ambiente di analisi dei dati senza un'adeguata de-identificazione o redazione. I dati archiviati in Amazon S3 possono essere costantemente monitorati per verificare la presenza di dati sensibili grazie ad Amazon Macie.

Passaggi dell'implementazione

Eseguire una scansione iniziale degli ambienti per l'identificazione e la classificazione automatica.
1. Una prima scansione completa dei dati può aiutare a capire dove risiedono i dati sensibili nei tuoi ambienti. Qualora una scansione completa non sia inizialmente richiesta o non possa essere completata in anticipo a causa dei costi, valuta se le tecniche di campionamento dei dati sono adatte a raggiungere i tuoi risultati. Ad esempio, Amazon Macie può essere configurato per eseguire un'ampia operazione automatizzata di rilevamento dei dati sensibili nei bucket S3. Questa funzionalità utilizza tecniche di campionamento per eseguire in modo efficiente in termini di costi un'analisi preliminare della posizione dei dati sensibili. È quindi possibile eseguire un'analisi più approfondita dei bucket S3 utilizzando un job di rilevamento dei dati sensibili. Anche altri archivi di dati possono essere esportati su S3 per essere analizzati da Macie.
Configurare scansioni continue dei tuoi ambienti.
1. La capacità di rilevamento automatico dei dati sensibili di Macie può essere utilizzata per eseguire scansioni continue degli ambienti. I bucket S3 noti che sono autorizzati a memorizzare dati sensibili possono essere esclusi utilizzando un elenco di permessi in Macie.
Incorpora l'identificazione e la classificazione nei processi di compilazione e di test.
1. Identifica gli strumenti che gli sviluppatori possono utilizzare per analizzare i dati alla ricerca di sensibilità mentre i carichi di lavoro sono in fase di sviluppo. Utilizza questi strumenti come parte dei test di integrazione per avvisare quando i dati sensibili sono inaspettati e impedire un'ulteriore distribuzione.
Implementa un sistema o un runbook per intervenire quando i dati sensibili vengono trovati in luoghi non autorizzati.

Risorse

Documenti correlati:

Esempi correlati:

Strumenti correlati:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC07-BP02 Applicazione di controlli di protezione dei dati in base alla loro sensibilità

SEC07-BP04 Definizione della gestione del ciclo di vita dei dati scalabili