Trace Id is missing
Passa a contenuti principali
Microsoft Security

Cos'è la protezione dei dati?

Scopri come proteggere i dati ovunque essi si trovano e come gestire i dati sensibili e mission critical nel tuo ambiente.

Definizione di protezione dei dati

La protezione dei dati fa riferimento alle strategie e ai processi di sicurezza che contribuiscono a proteggere i dati sensibili da corruzione, compromissione e perdita. Le minacce ai dati sensibili includono le violazioni dei dati e gli incidenti di perdita dei dati.

Una violazione dei dati è il risultato di un accesso non autorizzato alle informazioni, alla rete o ai dispositivi della tua organizzazione a causa di un cyberattacco, una minaccia interna o un errore umano. Oltre alla perdita dei dati, la tua organizzazione potrebbe incorrere in multe per violazioni della conformità, affrontare azioni legali per informazioni personali esposte e subire un danno a lungo termine per la reputazione del brand.

Un incidente di perdita dei dati è un'interruzione intenzionale o accidentale delle normali operazioni dell'organizzazione, ad esempio un portatile smarrito o rubato, software corrotto o un virus informatico che si infiltra nella rete. Adottare dei criteri di sicurezza e formare i dipendenti a riconoscere le minacce e a rispondere o non rispondere è fondamentale per la tua strategia di protezione dati.

Principi chiave della protezione dati

I due principi chiave della protezione dati sono la disponibilità dei dati e la gestione dati.

La disponibilità dei dati consente ai dipendenti di accedere ai dati necessari per le operazioni di lavoro quotidiane. Mantenere la disponibilità dei dati contribuisce alla continuità aziendale e al piano di ripristino di emergenza della tua organizzazione, un elemento importante del tuo piano di protezione dei dati che si basa su copie di backup in un percorso separato. Poter accedere a tali copie riduce il tempo di inattività dei dipendenti e preserva la produttività.

La gestione dati include la gestione del ciclo di vita dei dati e la gestione del ciclo di vita delle informazioni.

  • La gestione del ciclo di vita dei dati riguarda la creazione, l'archiviazione, l'uso e l'analisi e la conservazione o l'eliminazione. Tale ciclo di vita contribuisce a garantire che l'organizzazione rispetti le normative vigenti e non conservi dati non necessari.
  • La gestione del ciclo di vita delle informazioni è una strategia per catalogare e archiviare le informazioni derivate dai set di dati della tua organizzazione. Il suo scopo è quello di determinare quanto rilevanti e accurate sono le informazioni.

Perché la protezione dei dati è importante?

La protezione dati è importante per proteggere l'organizzazione da furti, fughe e perdite di dati. Prevede l'uso di criteri di privacy che soddisfano i requisiti di conformità e di impedire danni alla reputazione dell'organizzazione.

Una strategia di protezione dati include il monitoraggio e la protezione dei dati nel tuo ambiente e la gestione di un controllo continuo sulla visibilità e l'accesso ai dati.

Sviluppare criteri di protezione dati consente all'organizzazione di determinare la tolleranza al rischio per ogni categoria di dati e di rispettare le normative vigenti. Tale criterio contribuisce anche a stabilire autenticazione e autorizzazione, determinando chi deve accedere a quali informazioni e perché.

Tipi di soluzioni di protezione dei dati

Le soluzioni di protezione dati contribuiscono a monitorare l'attività interna ed esterna, contrassegnare comportamenti di condivisione dei dati sospette o rischiose e controllare l'accesso ai dati sensibili.

  • Prevenzione della perdita dei dati

    La prevenzione della perdita dei dati è una soluzione di sicurezza che aiuta l'organizzazione a impedire la condivisione, il trasferimento o l'uso di dati sensibili attraverso azioni come il monitoraggio delle informazioni sensibili nei tuoi patrimoni di dati. Contribuisce inoltre a garantire il rispetto delle normative, ad esempio l'Health Insurance Portability and Accountability Act (HIPAA) e il General Data Protection Regulation (GDPR) dell'Unione Europea.

  • Replica

    La replica copia continuamente i dati da un percorso a un altro per creare e archiviare una copia aggiornata dei dati. Consente il failover di questi dati qualora il sistema principale subisca un interruzione. Oltre a proteggerti dalla perdita di dati, la replica rende i dati disponibili dal server più vicino così che gli utenti autorizzati possano accedervi più rapidamente. Disporre di una copia completa dei dati della tua organizzazione offre ai team la possibilità di eseguire analisi senza interferire con le esigenze di dati giornaliere.

  • Archiviazione con protezione integrata

    Una soluzione di archiviazione deve fornire protezione dati, ma anche consentirti di recuperare i dati eliminati o modificati. Ad esempio, più livelli di ridondanza consentono di proteggere i dati da interruzioni del servizio, problemi hardware e disastri naturali. Il controllo delle versioni protegge gli stati precedenti dei dati quando un'operazione di sovrascrittura crea una nuova versione. Configura un blocco, ad esempio, rendendo o i dati di sola lettura o impedendone l'eliminazione, nei tuoi account di archiviazione per proteggere i dati dall'eliminazione accidentale o volontaria.

  • Firewall

    Un firewall contribuisce a garantire che solo gli utenti autorizzati accedano ai dati della tua organizzazione. Funziona monitorando e filtrando il traffico di rete in base alle tue regole di sicurezza e aiuta a bloccare minacce come virus e ransomware. Le impostazioni del firewall normalmente includono opzioni per creare regole in entrata e in uscita, specificare regole di sicurezza delle connessioni, visualizzare i log di monitoraggio e ricevere notifiche quando il firewall ha bloccato qualcosa.

  • Individuazione dei dati

    L'individuazione dei dati è il processo attraverso il quale vengono individuati i set di dati esistenti nell'organizzazione all'interno dei data center, nei portatili e nei computer fissi, nei diversi dispositivi mobili e sulle piattaforme cloud. Il passaggio successivo consiste nel categorizzare i dati (ad esempio, contrassegnandoli come riservati, privati o pubblici) e verificare che soddisfino la conformità normativa.

  • Autenticazione e autorizzazione

    I controlli di autenticazione e autorizzazione verificano le credenziali utente e confermano che i privilegi di accesso sono assegnati e applicati correttamente. Il controllo degli accessi in base al ruolo è un esempio di come fornire l'accesso solo alle persone che ne hanno bisogno per svolgere il proprio lavoro. Può essere usato insieme alla gestione delle identità e degli accessi per controllare quali dipendenti possono e non possono accedere per proteggere meglio le risorse dell'organizzazione, come app, file e dati.

  • Backup

    I backup rientrano nella categoria della gestione dati. Possono avere la frequenza di cui hai bisogno (ad esempio, backup completi ogni notte e backup incrementali durante il giorno) e ti consentono di ripristinare dati persi o corrotti rapidamente per ridurre al minimo il tempo di inattività. Una strategia di backup tipica include il salvataggio di diverse copie di dati e l'archiviazione di un set di copie completo su un server separato e un altro in una posizione esterna. La tua strategia di backup si allineerà al tuo piano di ripristino di emergenza.

  • Crittografia

    La crittografia garantisce la sicurezza, la riservatezza e l'integrità dei dati. È usata per i dati inattivi o in transito per impedire agli utenti non autorizzati di visualizzare il contenuto dei file anche se riescono ad accedere alla relativa posizione. Il testo non crittografato viene trasformato in testo cifrato illeggibile (in altre parole, i dati vengono convertiti in codice) che richiede una chiave di decrittografia affinché possa essere letto o elaborato.

  • Ripristino di emergenza

    Il ripristino di emergenza è un elemento della sicurezza delle informazioni (InfoSec) che si concentra sul modo in cui le organizzazioni usano i backup per ripristinare i dati e tornare alle normali condizioni operative in seguito a un disastro (ad esempio, un disastro naturale, un guasto dell'apparecchiatura su larga scala o un cyberattacco). È un approccio proattivo che aiuta l'organizzazione a ridurre l'impatto di eventi imprevedibili e a rispondere più rapidamente a interruzioni pianificate o impreviste.

  • Protezione dell'endpoint

    Gliendpoint sono dispositivi fisici che si connettono a una rete come dispositivi mobili, computer desktop, macchine virtuali, dispositivi fisici, dispositivi incorporati e server. La protezione degli endpoint aiuta l'organizzazione a monitorare questi dispositivi e a proteggersi dagli autori delle minacce che cercano vulnerabilità o errori umani e sfruttano le debolezze della sicurezza.

  • Snapshot

    Una snapshot è una vista del file system in un momento particolare; conserva tale vista e monitora eventuali modifiche dopo tale momento. Questa soluzione di protezione dati fa riferimento agli array di archiviazione che usano una raccolta di unità invece che di server. Gli array generalmente creano un catalogo che punta alla posizione dei dati. Una snapshot copia un array e imposta i dati come di sola lettura. Nel catalogo vengono create nuove voci e i cataloghi precedenti vengono conservati. Le snapshot includono anche configurazioni di sistema per recuperare i server.

  • Cancellazione dei dati

    La cancellazione è l'eliminazione dei dati archiviati di cui l'organizzazione non ha più bisogno. Questo processo è anche noto come eliminazione dei dati e spesso si tratta di un requisito normativo. In relazione al GDPR, i soggetti hanno il diritto di far cancellare i propri dati presentando una richiesta. Il diritto alla cancellazione si chiama anche " diritto all'oblio".

Protezione, sicurezza e privacy

Potrebbero sembrare dei termini intercambiabili, ma la protezione dati, la sicurezza dei dati e la privacy dei dati hanno scopi diversi. La protezione dei dati prevede strategie e ai processi di sicurezza che l'organizzazione usa per proteggere i dati sensibili da corruzione, compromissione e perdita. La sicurezza dei dati si occupa dell'integrità dei dati e lavora per proteggerli dalla corruzione da parte di utenti non autorizzati o minacce interne. La privacy dei dati controlla chi ha accesso ai dati e determina cosa può essere condiviso con terze parti.

Procedure consigliate di protezione dei dati

Le procedure consigliate di protezione dati prevedono piani, criteri e strategie per controllare l'accesso ai dati, monitorare la rete e l'attività di utilizzo e rispondere alle minacce interne ed esterne.

  • Rimani aggiornato sui requisiti

    Un piano di governance completo identifica i requisiti normativi e le modalità di applicazione ai dati della tua organizzazione. Verifica di avere la visibilità di tutti i tuoi dati e classificali correttamente. Assicurati di rispettare le normative relative alla privacy del tuo settore.

  • Limita l'accesso

    Il controllo di accesso usa l'autenticazione per verificare che gli utenti siano chi dicono di essere e l'autorizzazione per determinare quali informazioni possono visualizzare e usare. In caso di una violazione dei dati, il controllo di accesso è uno dei primi criteri da analizzare per determinare se è stato implementato e gestito correttamente.

  • Crea criteri di cybersecurity

    I criteri di cybersecurity definiscono e indirizzano le attività IT nella tua organizzazione. Rendono i dipendenti consapevoli delle minacce comuni ai tuoi dati e li aiutano a prestare più attenzione alla sicurezza. Possono anche chiarir le strategie di protezione dati e promuovere una cultura dell'uso dei dati responsabile.

  • Monitora l'attività

    Monitoraggio e test continui aiutano a identificare le aree di rischio potenziale. Usa l'intelligenza artificiale per automatizzare le attività di monitoraggio dei dati per individuare le minacce rapidamente e in modo efficiente. Questo sistema di avvisi tempestivi ti informa di possibili problemi ai dati e di sicurezza prima che possano causare un danno.

  • Sviluppa un piano di risposta agli incidenti

    Creare un piano di risposta agli incidenti prima che si verifichi una violazione dei dati ti prepara ad agire. Aiuterà il team di risposta (ad esempio, il capo dell'IT, InfoSec e il capo delle comunicazioni) a mantenere l'integrità dei sistemi e a ripristinare l'operatività dell'organizzazione nel modo più rapido possibile.

  • Identifica i rischi

    Dipendenti, fornitori, appaltatori e partner possiedono informazioni sui tuoi dati, computer e sulle tue pratiche di sicurezza. Per identificare l'accesso non autorizzato ai dati e a proteggerli dall'uso improprio, devi conoscere i dati a tua disposizione e come vengono usati nel tuo ambiente digitale.

  • Migliora la sicurezza dell'archiviazione dei dati

    La sicurezza dell'archiviazione dati usa metodi come il controllo di accesso, la crittografia e la sicurezza degli endpoint per mantenere l'integrità e la riservatezza dei tuoi dati archiviati. Riduce al minimo anche il rischio di danni intenzionali o involontari e consente la disponibilità continua dei tuoi dati.

  • Addestra i dipendenti

    Intenzionali o meno, i rischi Insider sono la causa principale delle violazioni di dati. Comunica in modo chiaro i criteri di prevenzione dei dati a tutti i livelli per aiutare i dipendenti a rispettarli. Ripeti spesso i corsi di formazione con sessioni e indicazioni di riepilogo quando si verificano problemi specifici.

Conformità e leggi relative alla protezione dei dati

Ogni organizzazione deve rispettare standard, leggi e normative di protezione dati rilevanti. Gli obblighi legali includono, tra gli altri, la raccolta solo delle informazioni necessarie su clienti e dipendenti, la loro protezione e l'eliminazione in modo corretto. Ecco alcuni esempi di leggi in materia di privacy.

Il GDPR è la legge su privacy e sicurezza più stringente. È stata scritta e approvata dall'UE, ma le organizzazioni in tutto il mondo sono obbligate a rispettarla se trattano o raccolgono dati di cittadini o residenti nell'Unione Europea o offrono loro merci e servizi.

Il California Consumer Privacy Act (CCPA) contribuisce a proteggere i diritti alla privacy dei consumatori della California, incluso il diritto a sapere quali informazioni le aziende raccolgono e il modo in cui vengono usate e condivise, il diritto a eliminare le informazioni personali raccolte e il diritto a non acconsentire alla vendita delle proprie informazioni personali.

L'HIPAA impedisce la divulgazione delle informazioni sanitarie del paziente senza il suo consenso o che ne sia a conoscenza. L'HIPAA Privacy Rule protegge le informazioni sanitarie del paziente ed è stata creata per implementare i requisiti dell'HIPAA. L'HIPAA Security Rule contribuisce a proteggere le informazioni sanitarie identificabili che un provider di servizi sanitari crea, riceve, mantiene o trasmette elettronicamente.

Il Gramm-Leach-Bliley Act (GLBA), noto anche come il Financial Services Modernization Act del 1999, chiede agli istituti finanziari di spiegare le proprie pratiche di condivisione delle informazioni ai clienti e di proteggere i dati sensibili.

La Federal Trade Commission è l'ente di protezione dei consumatori principale negli Stati Uniti. Il Federal Trade Commission Act dichiara illegittimi qualsiasi metodo iniquo di concorrenza e atti o pratiche inique o ingannevoli che riguardano il commercio.

Man mano che le strategie e i processi evolvono, esistono alcune tendenze sulla protezione dati di cui la tua organizzazione deve essere a conoscenza. Queste riguardano la conformità normativa, la gestione dei rischi e la portabilità dei dati.

  • Altre normative sulla protezione dati

    Il GDPR è diventato il riferimento a cui gli altri Paesi si ispirano per quanto riguarda la raccolta, la divulgazione e il salvataggio dei dati personali. Dalla sua introduzione, il CCPA negli Stati Uniti (California) e la General Personal Data Protection Law in Brasile sono stati inseriti per tenere il passo con la proliferazione di prodotti e servizi personalizzati e di consumo online.

  • Protezione dei dati su dispositivi mobili

    Impedire agli utenti non autorizzati di accedere alla tua rete prevede la protezione dei dati sensibili archiviati sui dispositivi portatili come portatili, tablet e smartphone. Il software di sicurezza usa la verifica dell'identità per impedire la compromissione dei dispositivi.

  • Meno accesso a terze parti

    Le violazioni dei dati possono essere spesso ricondotte a terze parti (ad esempio, fornitori, partner e provider di servizi) che hanno troppo accesso alla rete e ai dati di un'organizzazione. La gestione dei rischi di terze parti inizia a essere presente nelle normative in materia di conformità per limitare il modo in cui le terze parti accedono e usano i dati.

  • Gestione della copia dati

    La gestione della copia dati rileva dati duplicati, confronta dati simili e consente all'organizzazione di eliminare le copie non usate dei tuoi dati. Questa soluzione riduce le incoerenze causate dai dati duplicati, riduce i costi di archiviazione e contribuisce a mantenere sicurezza e conformità.

  • Portabilità dei dati

    Alle origini del cloud computing, la portabilità dei dati e la migrazione di grandi set di dati in altri ambienti era difficile. Oggi, la tecnologia cloud rende i dati più portabili, consentendo alle organizzazioni di spostarli tra i diversi ambienti: ad esempio, dai data center locali ai cloud pubblici o tra provider di servizi cloud.

  • Ripristino di emergenza distribuito come servizio

    Il ripristino di emergenza distribuito come servizio consente alle organizzazioni di qualsiasi dimensione di usare servizi cloud economicamente vantaggiosi per replicare i propri sistemi e ripristinare le operazioni dopo un evento catastrofico. Offre la flessibilità e la scalabilità della tecnologia basata sul cloud ed è considerato una soluzione efficace per evitare interruzioni del servizio.

Individuazione e classificazione dei dati

L'individuazione e la classificazione dei dati sono processi separati che collaborano per fornire visibilità sui dati della tua organizzazione. Uno strumento di individuazione dei dati analizza l'intero patrimonio digitale in cui si trovano i dati strutturati e non, un'operazione critica per la tua strategia di protezione dati. La classificazione dei dati organizza i dati ottenuti con il processo di individuazione dei dati in base al tipo di file, al contenuto e ad altri metadati; contribuisce a eliminare dati duplicati e facilita l'individuazione e il recupero dei dati.

I dati non protetti sono dati vulnerabili. Sapere quali dati hai e dove si trovano ti aiuta a proteggerli rispettando al contempo i requisiti di conformità normativa correlati ai processi e controlli dei dati.

Soluzioni di protezione dei dati

Le soluzioni di protezione dati contribuiscono a proteggere dalla perdita dei dati e includono sicurezza, backup dei dati e ripristino, che supportano direttamente il piano di ripristino di emergenza della tua organizzazione.

Semplifica il modo in cui la tua organizzazione comprende i suoi dati sensibili. Ottieni visibilità su tutti i tuoi dati; aumenta la protezione per app, cloud e dispositivi e gestisci i requisiti normativi con le soluzioni Microsoft Security.

Scopri di più su Microsoft Security

Microsoft Purview

Esplora soluzioni di governance, protezione e conformità per i dati aziendali.

Scopri di più

Come impedire la perdita dei dati

Identifica la condivisione, il trasferimento o l'uso rischiosi o non appropriati di dati sensibili su endpoint, app e servizi.

Scopri di più

Protezione delle informazioni

Proteggi e gestisci i dati con soluzioni integrate, intelligenti, unificate ed estensibili.

Scopri di più

Conformità delle comunicazioni

Usa l'apprendimento automatico per rilevare violazioni delle comunicazioni.

Scopri di più

Domande frequenti

  • Esempi di protezione dati includono la difesa da danni accidentali o volontari, l'implementazione di una strategia di ripristino di emergenza e la limitazione dell'accesso solo a coloro che necessitano dei dati.

  • Lo scopo della protezione dati è proteggere i dati della tua organizzazione da compromissione, danno e perdita.

  • Il GDPR afferma che i soggetti hanno diritti fondamentali e libertà quando si parla di protezione dei propri dati personali. Ogni organizzazione che raccoglie i dati personali deve ottenere il consenso esplicito dai soggetti e deve essere trasparente circa le modalità di utilizzo di questi dati.

  • Gli strumenti di protezione dati includono l'individuazione dei dati e l'inventario dei dati, la crittografia, la cancellazione dei dati, la gestione degli accessi e la sicurezza degli endpoint.

  • Per proteggere i dati, le aziende devono iniziare stabilendo criteri di sicurezza che definiscono ad esempio l'uso approvato e la creazione di report sugli incidenti. Il backup dei dati critici, tenere aggiornato il software e formare i dipendenti sulla protezione dati sono altre operazioni importanti da eseguire.

Segui Microsoft 365