Il recente caso dossieraggi ha rilanciato il tema della Data Loss Prevention (DLP) offrendo una narrazione a tratti sgrammaticata, sovrapponendo i termini “data leak” (letteralmente “fuga di dati”) e “data loss” (perdita di dati).
Le fughe di dati si verificano quando informazioni sensibili vengono esposte in modo non autorizzato, spesso a causa di vulnerabilità nei sistemi. Questi incidenti avvengono tipicamente quando i dati sensibili diventano accessibili involontariamente, sia durante l’archiviazione sia durante il loro trasferimento.
Al contrario, la perdita di dati si riferisce alla rimozione o alla distruzione (volontaria o involontaria) di informazioni sensibili. Ciò può essere causato da errori di sistema, attacchi informatici o anche da minacce interne. E questo, senza però volere riaprire ferite recenti, è il caso del dossieraggio a cui abbiamo fatto riferimento sopra.
La Data Loss Prevention può essere lenita in modo relativamente semplice, tenendo sempre presente che “semplice” e “facile” sono cose diverse tra loro.
Indice degli argomenti
Cosa è la Data Loss Prevention
La Data Loss Prevention è una misura di sicurezza basilare che impedisce agli utenti non autorizzati di trasferire dati sensibili al di fuori della rete aziendale.
Sistemi DLP mettono in condizione gli amministratori di rete di controllare e regolare il flusso di dati garantendone la protezione.
Al pari di qualsiasi altra procedura aziendale, la DLP è un esercizio organizzativo che implica la categorizzazione dei dati alla luce di regole utili a individuarne il grado di riservatezza, affinché le informazioni più sensibili siano protette da condivisioni accidentali o intenzionali che siano.
A rendere fondamentale la DLP subentra anche l’aspetto della compliance. Le norme, sempre più puntuali e a loro modo stringenti, obbligano le organizzazioni a implementare misure di protezione dei dati.
I perché della Data Loss Prevention
La perdita di dati comporta aspetti potenziali e altri fattuali. Tra quelli potenziali c’è l’irrecuperabilità dei dati, tipica delle cancellazioni involontarie in assenza di politiche di backup) e, non di meno, espone le organizzazioni a conseguenze finanziarie e persino legali. A ciò che deriva da una perdita di dati abbiamo dedicato più di un approfondimento: qui ne proponiamo uno relativo alle questioni prettamente economico-finanziarie e qui uno incentrato soprattutto sulle conseguenze reputazionali le quali, a loro volta, hanno ricadute sulla solidità del business.
I sistemi DLP aiutano le organizzazioni a rispettare questi obblighi legali, riducendo il rischio di costose violazioni dei dati e garantendo che le informazioni sensibili rimangano protette.
Il concetto di “informazioni sensibili” è fumoso e, parlandone, si pensa spesso ai dati delle persone – su tutti quelli sanitari e quelli finanziari – e invece ogni azienda è chiamata a gestire e proteggere anche dati interni che riguardano strategie, brevetti, ricerche e sviluppo di nuovi prodotti o servizi.
Se estendiamo, a buon diritto tra l’altro, l’aggettivo “sensibile” anche a indirizzi email, numeri di telefono, indirizzi fisici e dati fiscali allora si ottiene che qualsiasi realtà aziendale, anche se in misura diversa, è chiamata a proteggere i dati di cui dispone.
Le logiche della Data Loss Prevention
Come detto, i software per la DLP monitorano, identificano e prevengono la perdita di dati. Esistono soluzioni che si propongono di offrire una copertura completa, tra le quali spiccano quelle di Sophos, Digital Guardian e Forcepoint tuttavia, non è fuori logica ricorrere a sistemi e software diversi per ottenere un risultato trasversale e omnicomprensivo che non si limiti a guardare solo agli endpoint o soltanto al traffico di rete.
La Data Loss Prevention deve tenere conto, per esempio, della possibilità dei dipendenti di salvare dati sensibili su dispositivi Usb, su risorse Cloud oppure di inviarli via email. Pratiche che i sistemi DLP possono bloccare in modo automatico estendendo il proprio ambito di copertura anche ai dispositivi mobili, siano questi laptop, smartphone o tablet.
Oltre a monitorare i dati in uscita, un buon sistema DLP identifica il traffico sospetto in entrata consentendo agli amministratori di rete di effettuare analisi approfondite anche grazie all’evoluzione dei prodotti per la difesa aziendale che fanno ricorso al Machine learning al fine di identificare le attività tipiche da quelle che non lo sono.
Diventa così evidente che una soluzione Data Loss Prevention sia di per sé amorfa e assuma la forma delle esigenze aziendali.
Le tecnologie utili alla Data Loss Prevention
Prendiamo in esame le soluzioni principali, proponendo un elenco di tecnologie che non può essere inteso come esaustivo. Partendo dal presupposto che, se ridotta all’essenziale, la Data Loss Prevention monitora e controlla i dati sensibili di un’organizzazione, possiamo unire tra loro tecnologie utili alla creazione di un sistema DLP completo.
La crittografia è molto utile per proteggere i dati in transito e quelli a riposo su architetture Cloud, sono meno incisive nell’ostacolare le attività di dipendenti e collaboratori infedeli autorizzati ad accedere a dati sensibili.
I firewall e le parti attive di rete consentono di filtrare il traffico e di implementare regole per prevenire che informazioni sensibili superino i perimetri aziendali.
In aggiunta si può optare per sistemi di monitoraggio e analisi quali i Security Information and Event Management (SIEM) che permettono di avere sotto controllo tutte le attività, sistemi per la gestione delle identità e dei permessi cosiddetti documentali.
A corredo, vanno prese in considerazione tecnologie per la protezione delle risorse Cloud e dei dispositivi mobili (Mobile Device Management, MDM).
Considerazioni finali
Le tecnologie di cui abbiamo scritto sopra vanno a integrarsi con la protezione degli endpoint e con le attività di classificazione dei dati sensibili, entrambe vitali per le strategie DLP.
La Data Loss Prevention consente quindi di tutelare i dati, monitorarne l’uso e facilitare anche la prevenzione dei data leak e, per funzionare al meglio, richiede che i dati siano categorizzati a seconda di quanto sono sensibili.
L’implementazione di una strategia di Data Loss Prevention richiede:
- La valutazione delle esigenze specifiche dell’organizzazione
- La combinazione di più tecnologie
- L’aggiornamento delle strategie di sicurezza e della formazione del personale in entrata e in uscita.
Diventando quindi fondamentali la dimensione dell’azienda, il settore di mercato in cui si colloca, il tipo di dati che gestisce e le norme di conformità a cui l’organizzazione deve rispondere.
Le risorse disponibili sono ovviamente vincolanti ma, nella pianificazione finanziaria, ogni organizzazione dovrebbe tenere conto del fatto che gli investimenti fatti nella cyber difesa coincidono con la continuità di business e contribuiscono a trasmettere ai mercati un’immagine solida e forte.
La cyber security non è un costo secco: è un costo che consente di fare profitti.
