Data Loss Prevention e sicurezza dei dati aziendali

L'era digitale ha prodotto una quantità di dati senza precedenti. Molti di questi riguardano informazioni personali di clienti e dipendenti, dati finanziari e intellectual property (IP) che le aziende devono tutelare.

La minaccia di violazioni è aumentata rapidamente con la digitalizzazione e la necessità di proteggere questi dati è indiscutibile.

La prevenzione della perdita di dati (“Data Loss Prevention” o “DLP”) è, innanzitutto, un'iniziativa a livello di organizzazione, non uno strumento IT. Erroneamente, infatti, si crede che una soluzione DLP sia solo tecnologia e che questa debba essere implementata e gestita a lungo termine solo dalla sicurezza IT.
La collaborazione tra i vari business owner e l’IT security, in realtà, dovrebbe essere continua, più intensa nella fase iniziale di analisi dei dati ed implementazione delle regole, con una responsabilità che gradualmente viene trasferita alle operazioni aziendali.

Sintetizzando, essa può essere definita come un insieme di misure adottate da un’organizzazione per identificare, monitorare e proteggere i dati inattivi, in movimento e in uso, attraverso l’analisi approfondita dei contenuti.

Le caratteristiche chiave sono:

• Analisi approfondita dei contenuti;
• Gestione centralizzata delle politiche;
• Ampia copertura e visibilità dei contenuti su più piattaforme.

I dati su cui opera sono:

• Dati inattivi (data at rest): sono i dati memorizzati all’interno dei dispositivi o archiviati sui supporti storage;
• Dati in movimento (data in motion): sono i dati in transito, sia all’interno della rete aziendale che su Internet;
• Dati in uso (data in use): sono i dati continuamente modificati o aggiornati dagli utenti o dalle applicazioni.

Una soluzione DLP, quindi, è, più precisamente, un insieme di tecnologie e processi che monitorano e ispezionano i dati, sia sulla rete aziendale che nel Cloud, per garantire che le informazioni sensibili non vengano perse o rubate. Tale soluzione dovrebbe sempre far parte di una proposta di protezione dei dati a livello di organizzazione, che preveda la collaborazione di responsabili aziendali e IT al fine di identificare i dati sensibili e concordare come gli stessi debbano essere gestiti.

Una violazione dei dati può essere dannosa per l’azienda ed avere ricadute sia dal punto di vista reputazionale, sia su entrate/guadagni.
Se non disponiamo di misure di sicurezza sufficienti, la probabilità che una perdita o una divulgazione accidentale dei dati si verifichi è alta. Le soluzioni DLP sono la risposta per questo tipo di problemi.

La conformità a normative nazionali e internazionali vigenti, quali, ad esempio, il GDPR (Regolamento generale sulla protezione dei dati), ha portato le soluzioni DLP sul radar degli specialisti della protezione dei dati: sebbene le citate normative non richiedano esplicitamente il loro utilizzo, i requisiti di protezione dei dati rimandano implicitamente al concetto di DLP per garantire il richiesto livello di compliance.

Non bisogna, inoltre, dimenticare, tra i fattori di rischio, il sempre maggiore utilizzo del Cloud, le complicate reti della catena di approvvigionamento e altri servizi su cui non si ha più il pieno controllo: tutti questi elementi hanno reso più complessa la protezione dei dati.

Acquistare semplicemente una soluzione DLP non è sufficiente.

È, innanzitutto, necessario determinare quale sia l’obiettivo principale di protezione dei dati. Si sta cercando di proteggere la proprietà intellettuale dell’azienda, di ottenere maggiore visibilità sui dati o di soddisfare la conformità normativa? Con uno scopo chiaro è più facile determinare l'architettura di distribuzione DLP più appropriata o la combinazione di architetture.

Le quattro principali architetture di distribuzione di una soluzione DLP sono: Endpoint (Data in Use), Network (Data in Motion), Cloud (Data in Use, in Motion, at Rest) e Storage (Data at Rest).

• Endpoint: viene installato su ogni singolo dispositivo e monitora i dati che transitano dall’endpoint e risiedono in esso;
• Network: crea un perimetro sicuro attorno ai dati in movimento all’interno della rete. Questa soluzione tiene traccia e monitora i dati mentre si spostano sulla rete dell'azienda;
• Cloud: applica le policy sugli account del cloud e si integra con strumenti quali Office 365, GSuite e molti altri. Garantisce la sicurezza dell'utilizzo delle app e dell'archiviazione cloud senza il rischio di violazione o perdita dei dati.
• Storage: esegue scansioni dei repository di archiviazione, tipicamente file server o database, per identificare dove si trovano i contenuti sensibili.

Le organizzazioni spesso provano complicati piani di implementazione che coinvolgono un numero elevato di aree di business o cercano di attivare contemporaneamente tutte le architetture citate sopra.

Un approccio vincente suggerisce, invece, di fissare obiettivi veloci e misurabili. Limitarsi ad un contesto di dati specifico, o su un’area di business ben identificata, infatti, assicura di raggiungere i primi obiettivi in tempi certi. In entrambi i casi, la collaborazione tra i business/data owner è indispensabile per definire le politiche DLP.

Bisogna, inoltre, tenere presente che non esiste un modo corretto o univoco per sviluppare un progetto di prevenzione della perdita dei dati: spesso la strategia DLP si allineerà con la cultura aziendale.

Questo non significa che non ci siano alcuni passaggi suggeriti, quasi obbligatori:

• Avere chiare le esigenze di protezione dei dati dell’azienda: in questa fase è necessaria la collaborazione dei proprietari dei dati per identificarne la tipologia, il rischio da mitigare e i canali usati per trasmettere le informazioni. Condurre un’attività di Risk Assessment è sicuramente un valore aggiunto.
• Awareness and training: istituire un programma di sensibilizzazione e formazione allo scopo di istruire il personale su ciò che è sensibile e sul rischio associato alla violazione delle regole e politiche aziendali, sulle responsabilità personali e sul rispetto delle politiche di sicurezza delle informazioni e protezione dei dati.
• Implementazione di un’architettura: tipicamente si partirà con l’Endpoint e/o Network e con la definizione delle policy per l’area di business individuata.
• Monitoraggio delle segnalazioni con severity elevata e valutazione delle segnalazioni che provengono da normali processi di business o falsi positivi. Un’efficace analisi aiuta a migliorare le policy e, di conseguenza, a ridurre il numero degli eventi. Un eccellente aiuto affinché la soluzione DLP sia ancora più efficace e il numero dei falsi positivi sia limitato è l’implementazione di un adeguato processo di Data Classification.

Parallelamente è consigliato avviare delle azioni (response rules) che inneschino delle notifiche allo scopo di informare l’utente su quanto sta eseguendo o che blocchino l’azione che sta svolgendo.

Ricapitolando, per un programma DLP di successo le organizzazioni dovrebbero:

• Avere chiaro quali dati devono essere protetti e dove trovarli;
• Essere consapevoli delle minacce e dei rischi associati alla perdita di dati;
• Identificare le cause della perdita di dati (es. vulnerabilità interne) al fine di implementare le giuste contromisure per prevenirle;
• Individuare le aree dove esistono pratiche errate di gestione dei dati;
• Sviluppare un programma di formazione e sensibilizzazione sulla protezione dei dati.