Cosa sono i dati sensibili? Esempi e tipi
I dati sono diventati una delle risorse più preziose per le organizzazioni, ecco perché vengono spesso definiti il “nuovo oro”. Le aziende raccolgono grandi quantità di dati per aiutarle a prendere decisioni aziendali informate, gestire i rischi per la sicurezza e migliorare l'efficienza e la produttività complessive. Naturalmente, se i dati sono preziosi per un’azienda, lo saranno anche per gli hacker, poiché potranno rubarli e utilizzarli per furti di identità o venderli nel dark web. Allora, cosa sono esattamente i dati sensibili?
Cosa sono i dati sensibili?
I dati sensibili si riferiscono a qualsiasi informazione che, se divulgata o consultata da individui o entità non autorizzati, potrebbe potenzialmente causare danni a un individuo, un'organizzazione o persino una nazione. Questi dati sono spesso soggetti a normative sulla privacy e sulla protezione e richiedono misure aggiuntive per garantirne la riservatezza, l'integrità e la disponibilità.
Esempi di dati sensibili
I dati sensibili possono assumere varie forme a seconda del contesto e dell'entità a cui si riferiscono. Ecco alcuni esempi comuni di dati sensibili:
Informazioni di identificazione personale (PII)
Ciò include dati che possono identificare direttamente un individuo. Tuttavia, è importante notare che non tutte le PII sono considerate sensibili. Le PII sensibili si riferiscono a dati quali nome completo di una persona, numero di previdenza sociale, patente di guida, indirizzo postale, informazioni sulla carta di credito, informazioni sul passaporto, informazioni finanziarie e cartelle cliniche. Le PII non sensibili, d'altro canto, sono facilmente accessibili da fonti pubbliche come rubriche telefoniche, Internet ed elenchi aziendali. Esempi di PII non sensibili includono codice postale, razza, sesso, data di nascita, luogo di nascita e religione. Anche se queste informazioni da sole potrebbero non essere sufficienti per identificare un individuo, se combinate con altre informazioni personali collegabili, possono potenzialmente rivelare l’identità di qualcuno.
Informazioni sanitarie protette (PHI)
L'HIPAA (Health Insurance Portability and Accountability Act) definisce le informazioni sanitarie protette (PHI) come qualsiasi informazione sanitaria in grado di identificare un individuo e include nomi, numeri di telefono, e-mail e informazioni biometriche come impronte digitali e immagini facciali. Le PHI possono essere trasmesse elettronicamente o su supporto cartaceo. Gli enti coperti, come gli operatori sanitari, le compagnie assicurative e gli ospedali, sono responsabili della salvaguardia delle PHI. Sfortunatamente, secondo Statista, il settore sanitario ha registrato il costo medio più elevato di una violazione dei dati, raggiungendo quasi 11 milioni di dollari USA, nel periodo tra marzo 2022 e marzo 2023.
Informazioni finanziarie
Ciò include numeri di carta di credito, dettagli del conto bancario e record di transazioni finanziarie. Qualsiasi accesso o divulgazione non autorizzati può portare a frodi finanziarie e furti di identità. Secondo una recente ricerca di IBM X-Force, il settore finanziario, noto per archiviare grandi quantità di informazioni preziose, ha effettivamente registrato un calo nel numero di violazioni a cui è stato sottoposto. Detto questo, è ancora uno dei settori più presi di mira.
Proprietà intellettuale (PI)
I segreti commerciali, i brevetti, i diritti d'autore e la ricerca proprietaria sono considerati proprietà intellettuale. Il crescente utilizzo dell’archiviazione elettronica ha reso la proprietà intellettuale una risorsa di grande valore per le organizzazioni. Tuttavia, lo ha anche esposto a potenziali violazioni. La proprietà intellettuale assume varie forme, che vanno dal know-how operativo alle creazioni originali. Le organizzazioni danno priorità alla tutela della proprietà intellettuale poiché una violazione potrebbe portare i concorrenti a rubare i loro segreti e quindi a ottenere un vantaggio competitivo.
Segreti governativi
Ciò include informazioni riservate, strategie militari e altri documenti governativi sensibili. La fuga di tali dati può avere gravi implicazioni per la sicurezza nazionale. Il governo del Regno Unito classifica le informazioni sensibili a seconda che siano ufficiali-sensibili, segrete e top secret. La categoria Official-Sensitive si applica alla maggior parte delle informazioni governative e richiede misure ragionevoli per proteggerle e conformarsi alla legislazione pertinente. Il segreto viene utilizzato per informazioni molto sensibili che potrebbero avere gravi conseguenze se compromesse. Top Secret è il livello più alto, riservato alle informazioni che, se compromesse, potrebbero provocare diffuse perdite di vite umane o minacciare la sicurezza nazionale o il benessere economico. I controlli per ciascun livello sono determinati in base al livello di sensibilità e alle potenziali minacce.
Tipi di dati sensibili
I dati sensibili possono essere sostanzialmente classificati in due tipologie:
Dati strutturati
I dati strutturati vengono generalmente archiviati in database relazionali e presentati in un formato strutturato. I dati strutturati trovano applicazioni in varie aree come le prenotazioni aeree, la gestione dell'inventario, l'analisi delle vendite, l'attività degli ATM e la gestione delle relazioni con i clienti. In passato, le aziende facevano molto affidamento sui dati strutturati per il processo decisionale e sono disponibili numerosi strumenti per raccogliere e analizzare dati strutturati per aiutare a prendere decisioni aziendali informate.
Dati non strutturati
I dati non strutturati si riferiscono a informazioni che non sono organizzate ma sono facilmente accessibili e condivisibili. Comprende vari formati come e-mail, documenti di elaborazione testi, file PDF, file audio e video, post sui social media, fogli di calcolo e messaggi di testo mobili. Se da un lato l’accessibilità dei dati non strutturati facilita la comunicazione, dall’altro lato espone anche al rischio di accessi non autorizzati.
Dati Personali vs Dati Sensibili
Sebbene i dati personali siano un sottoinsieme dei dati sensibili, esistono alcune distinzioni tra i due. I dati personali si riferiscono a qualsiasi informazione relativa a un individuo specifico, come nome, indirizzo, numero di telefono e altro. I dati sensibili, invece, sono informazioni altamente riservate che possono causare danni significativi se esposte, come le cartelle cliniche o finanziarie. Sebbene i dati personali non siano sempre considerati sensibili, dovrebbero comunque essere protetti. È importante che le organizzazioni distinguano tra dati di dominio pubblico e dati riservati e comprendano a quali tipi di dati si accede e si condividono al fine di rispettare le normative e proteggere le informazioni sui clienti e sull'azienda.