Presentato da Capital One
La sicurezza dei dati rimane uno degli ambiti meno maturi nella sicurezza informatica aziendale. Secondo IBMil 35% delle violazioni nel 2025 ha coinvolto origini dati non gestite o “dati ombra”. Ciò rivela una mancanza sistemica di consapevolezza dei dati di base. Non è a causa della mancanza di strumenti o investimenti. È perché molte organizzazioni sono ancora alle prese con le domande più fondamentali: quali dati abbiamo? Dove vive? Come si muove? E chi ne è responsabile?
In un ecosistema sempre più complesso di origini dati, piattaforme cloud, applicazioni SaaS, API e modelli di intelligenza artificiale, a queste domande sta diventando sempre più difficile rispondere. Colmare il divario di maturità nella sicurezza dei dati richiede un cambiamento culturale in cui la sicurezza non sia più considerata un ripensamento. La protezione è invece integrata nell’intero ciclo di vita dei dati, fondata su un inventario solido, una classificazione chiara e meccanismi scalabili che traducono le coverage in guardrail automatizzati.
Visibilità come fondamento
La barriera più persistente alla maturità della sicurezza dei dati è la visibilità di base. Le organizzazioni spesso si concentrano sulla quantità di dati che conservano, ma non su cosa li contenga. Contiene informazioni di identificazione personale (PII)? Dati finanziari? Informazioni sanitarie? Proprietà intellettuale? Senza questo livello di comprensione e inventario, è molto più difficile implementare una protezione significativa.
Ciò può essere evitato, tuttavia, dando priorità alle capacità aziendali in grado di rilevare dati sensibili su larga scala su un’space ampia e diversificata. Il rilevamento deve essere abbinato all’azione, eliminando i dati dove non sono più necessari e proteggendoli laddove si trovano allineando l’applicazione a una coverage ben definita.
Le organizzazioni mature dovrebbero iniziare trattando la sicurezza dei dati come un problema di “comprensione del proprio ambiente”. Mantieni un inventario, classifica cosa c’è nell’ecosistema e allinea le protezioni con la classificazione anziché fare affidamento esclusivamente su controlli perimetrali o soluzioni puntuali su scala.
Protezione dei dati caotici
Uno dei motivi per cui la sicurezza dei dati è rimasta indietro rispetto advert altri ambiti di sicurezza è che i dati stessi sono intrinsecamente caotici. A differenza della sicurezza perimetrale, che si basa su porte esplicite e confini definiti, i dati sono in gran parte imprevedibili. Vale a dire, le stesse informazioni sottostanti possono apparire in formati molto diversi: database strutturati, documenti non strutturati, trascrizioni di chat o pipeline di analisi. Ciascuno di essi può avere codifiche o trasformazioni leggermente various che introducono modifiche impreviste e spesso non rilevate ai dati stessi.
Il comportamento umano aggrava la sfida, con azioni various che introducono rischi in modi che i controlli perimetrali semplicemente non possono prevedere. Potrebbe trattarsi di qualsiasi cosa, da un numero di carta di credito copiato in un campo di commento in formato libero, un foglio di calcolo inviato by way of e-mail al di fuori del pubblico previsto o un set di dati riproposto per un nuovo flusso di lavoro.
Quando la protezione viene attivata alla tremendous di un flusso di lavoro, le organizzazioni creano punti ciechi. Si affidano a controlli a valle per individuare i difetti di progettazione a monte. Nel corso del tempo, la complessità si accumula e il rischio di esposizione diventa una questione di quando, non se.
Un modello più resiliente presuppone che i dati sensibili emergano in luoghi e formati inaspettati, quindi la protezione è integrata dal momento in cui i dati vengono acquisiti. La difesa approfondita diventa un principio di progettazione: segmentazione, crittografia a riposo e in transito, tokenizzazione e controlli di accesso a più livelli.
Fondamentalmente, queste misure di sicurezza seguono il ciclo di vita dei dati, dall’acquisizione all’elaborazione, all’analisi e alla pubblicazione. Invece di adeguare i controlli, le organizzazioni progettano il caos. Accettano la variabilità come un dato di fatto e costruiscono sistemi che rimangono sicuri anche quando i dati divergono dalle aspettative.
Governance scalabile con l’automazione
La sicurezza dei dati diventa operativamente sostenibile quando la governance viene applicata attraverso l’automazione fin dalla sua genesi. Se abbinato a aspettative chiare per creare contesti delimitati: i crew comprendono cosa è consentito, a quali condizioni e con quali protezioni i dati possono essere utilizzati in modo efficace.
Questo conta più che mai oggi. I sistemi di intelligenza artificiale spesso richiedono l’accesso a enormi volumi di dati, in tutti i domini. Ciò rende l’attuazione delle politiche particolarmente impegnativa. Per farlo in modo efficace e sicuro sono necessarie una profonda comprensione, politiche di governance forti e protezione automatizzata.
Le tecniche di sicurezza come i dati sintetici e la sostituzione dei token consentono alle organizzazioni di preservare il contesto analitico rendendo allo stesso tempo più difficile la lettura dei valori sensibili. I modelli policy-as-code, le API e l’automazione possono gestire la tokenizzazione, l’eliminazione, i vincoli di conservazione e i controlli di accesso dinamici. Con i guardrail integrati nelle piattaforme che utilizzano, gli ingegneri possono concentrarsi maggiormente sull’innovazione con i dati e sul miglioramento dei risultati aziendali in modo sicuro.
I sistemi di intelligenza artificiale devono inoltre operare nell’ambito della stessa governance e monitoraggio delle aspettative dei flussi di lavoro umani. Le autorizzazioni, la telemetria e i controlli sugli elementi a cui i modelli possono accedere, insieme alle informazioni che possono pubblicare, sono essenziali. La governance introdurrà sempre un certo grado di attrito. L’obiettivo è rendere questo attrito ben compreso, navigabile e sempre più automatizzato. La conferma dello scopo, la registrazione di un caso d’uso e il provisioning dell’accesso in modo dinamico in base al ruolo e alle necessità dovrebbero essere processi chiari e ripetibili.
Su scala aziendale, ciò richiede capacità centralizzate che implementino politiche di sicurezza informatica nel dominio dei dati. Ciò embody motori di rilevamento e classificazione, servizi di tokenizzazione e detokenizzazione, applicazione della conservazione e meccanismi di proprietà e tassonomia che trasmettono le aspettative di gestione del rischio nell’esecuzione quotidiana.
Se eseguita bene, la governance diventa un livello di abilitazione piuttosto che un collo di bottiglia. I metadati e la classificazione guidano automaticamente le decisioni sulla protezione accelerando al tempo stesso la scoperta e l’utilizzo aziendale. I dati sono protetti durante tutto il loro ciclo di vita da forti difese come la tokenizzazione e vengono eliminati quando richiesto dalla normativa o dalla politica interna. Non dovrebbe esserci bisogno che i crew “tocchino i dati” manualmente per ogni decisione di controllo, con le coverage applicate fin dalla progettazione.
Costruire per il futuro
In parole povere, colmare il divario di maturità in materia di sicurezza dei dati non significa tanto adottare un’unica tecnologia innovativa quanto piuttosto una disciplina operativa. Costruisci la mappa. Classifica ciò che hai. Incorpora la protezione nei flussi di lavoro in modo che la sicurezza sia ripetibile su larga scala.
Per i chief aziendali che cercano progressi misurabili nei prossimi 18-24 mesi, emergono tre priorità.
Innanzitutto, stabilire un inventario solido e una mappa ricca di metadati dell’ecosistema dei dati. La visibilità non è negoziabile. In secondo luogo, implementare la classificazione legata advert aspettative politiche chiare e attuabili. Rendi evidente quali protezioni richiede ciascuna categoria. Infine, investi in schemi di protezione scalabili e automatizzati che si integrino direttamente nei flussi di lavoro di sviluppo e dati.
Quando la protezione passa da controlli reattivi a guardrail proattivi integrati, la conformità diventa più semplice, la governance diventa più forte e la predisposizione all’intelligenza artificiale diventa raggiungibile, senza compromettere il rigore.
Ulteriori informazioni su come Bullone dati maiuscolo unola soluzione per la sicurezza dei dati aziendali di Capital One Software program, può aiutare la tua azienda a diventare pronta per l’intelligenza artificiale proteggendo i dati sensibili su larga scala.
Andrew Seaton è Vicepresidente, Ingegneria dei dati – Rilevamento e protezione dei dati aziendali, Capital One.
Gli articoli sponsorizzati sono contenuti prodotti da un’azienda che paga per il put up o ha un rapporto commerciale con VentureBeat e sono sempre chiaramente contrassegnati. Per ulteriori informazioni, contattare gross sales@venturebeat.com.
