Data loss prevention, questa sconosciuta

Quando si parla di Data Loss Prevention è sempre bene tenere a mente che si parla di un ecosistema di strumenti con particolare focus sulla classificazione del dato per tipologia e sulla violazione dello stesso. Una DLP ben progettata genera alert automatici al verificarsi di accessi non autorizzati sia interni che esterni all’organizzazione aziendale, previene la perdita per furto, attacco o semplice errore umano e si concentra sulla compliance, prima fra tutti al GDPR, per essere sicuri che i dati siano trattati nel rispetto dei regolamenti sia di legge che aziendali.

Ora più che mai i nostri dati non sono locati in azienda, ma sono in movimento. Ad esempio  sul nostro smartphone, sul laptop, su una chiavetta flash drive o attraverso infrastrutture fisiche, virtuali o cloud. Più sono “mobili”, più i nostri dati rischiano di essere persi o rubati. Metterli al sicuro è un percorso a ostacoli, dove gli impedimenti possono essere diversi. La rapida evoluzione dei regolamenti di compliance (non ultimo il GDPR), la continua crescita del lavoro in mobilità (e dell’accesso ai dati in mobilità), l’utilizzo da parte degli impiegati dei loro device proprietari, la crescente frequenza di data breach e dei cosiddetti APTs (Advanced Persistent Threats, ovvero un accesso furtivo e non rilevato nei sistemi) sono tutti problemi da tenere in considerazione.

Per evitare imbarazzi, danni di reputazione, sanzioni e ovviamente perdite di fatturato, oggi le imprese devono essere in grado di identificare, tracciare e mettere al sicuro tutti i dati confidenziali da qualsiasi punto essi provengano senza impattare sulla produttività e le performance dei collaboratori. In passato molte aziende si sono avvicinate alla Data Loss Prevention ma hanno abbandonato lo strumento perché ai tempi era ancora acerbo e quindi troppo intrusivo, difficile da gestire e costoso da acquisire, sviluppare e mantenere.

 

data loss prevention

Presente e futuro dei sistemi di Data Loss Prevention

I sistemi di DLP moderni operano prevalentemente su tre ambiti:

  • la data in transit protection (o data in motion protection) si focalizza sulla protezione del dato in movimento sia all’interno che all’esterno della rete aziendale
  • la data in use protection si focalizza sulla parte del dato in uso, in continua modifica e aggiornamento da parte degli utenti che lo stanno lavorando (questa è la fase più vulnerabile perché rappresenta l’operatività reale degli utenti che sono vulnerabili ad attacchi esterni)
  • la data at rest protection si focalizza sulla protezione del dato memorizzato

Per strutturare un sistema di Data Loss Prevention occorre istituire un piano d’azione, strutturato in questo modo:

  • definite cosa proteggere. Intervistate i collaboratori che interagiscono con i dati per capire che tipologia viene scambiata e dove viene conservata, mappando i processi e osservando le implicazioni in caso di sottrazione o danneggiamento, con particolare attenzione a eventuali proprietà intellettuali presenti in azienda;
  • prevedete un piano di backup completo, con l’accortezza di separare le utenze amministrative che hanno accesso sui sistemi da quelle per il backup. Occorre evitare che un attacco ransomware come un cryptolocker possa accedere anche alle copie dei dati;
  • effettuate un security assessment per verificare la solidità delle difese messe in campo, al fine di evidenziare i punti deboli, definire i dati critici, stilare un piano di emergenza in caso di attacco e pianificare un programma a medio lungo termine che tenga conto dell’evoluzione del business aziendale;
  • rivedete, e se non ci sono stilarli, i piani di business continuity e disaster recovery (oltre alle procedure per un eventuale data breach) pianificando test periodici

Non si può fare tutto in un giorno, ma agire in immediatezza è possibile. Il modulo DLP infatti è già presente e attivabile su molte licenze antivirus con un piccolo costo aggiuntivo e minimizza la complessità e il costo della sicurezza del dato, integrandone la funzionalità sulla soluzione antivirus già installata e di conseguenza nella console di gestione. Attivando il modulo aggiuntivo potrete avere visibilità e controllo dei vostri dati e impedire che siano sottratti o escano in modo indebito attraverso chiavette usb, come allegati di email, applicazioni software, web, dispositivi mobili e storage in cloud. Il modulo DLP è l’agente di guardia al caveau dove avete le informazioni e controlla che nessuno esca portandosi via qualcosa.

Come agisce la DLP

L’integrazione del modulo data loss prevention applica un principio, lo dice il nome stesso, preventivo, ovvero consente di vietare l’utilizzo di chiavette usb, cd e dvd, cloud storage e ogni altro dispositivo rimovibile per immagazzinare dati aziendali, con una distribuzione granulare delle policy di utilizzo (ovvero potete dare il permesso di movimentare determinati dati solo a chi ne ha effettivamente bisogno evitando che altri invece possano farne un uso improprio, anche in buona fede). Consente di verificare tramite scansione delle email (oggetto, corpo di testo, allegati) che siano conformi alle policy aziendali e non contengano materiale riservato. Può persino bloccare gli screenshot di qualcuno che non potendo asportare il file genera un file jpeg e blocca l’utilizzo delle funzioni copia-incolla e anche dell’utilizzo della funzione “appunti” per trasferire le informazioni verso luoghi non sicuri (ad esempio una chat).

Inoltre è possibile identificare i dati che si desidera monitorare per tipologia di file bloccandone le estensioni (ad esempio .xls per bloccare gli excel) o per tipologia di dato, come i dati bancari o informazioni legate alla persona (ad esempio la copia del documento d’identità). Si può anche creare un dizionario di parole definite dall’utente che finiscono sotto monitoraggio (anche se non nelle chat di instant messaging o nel corpo e oggetto delle mail). Ad ogni tentativo, andato a buon fine o meno, di sottrazione di dati è possibile generare una notifica all’amministratore di sistema.

Nonostante possano sembrare veramente molto intrusive, le moderne DLP sono tuttavia assolutamente compliant al GDPR per non esporre l’azienda a rischi di sanzioni da parte dei clienti o dei dipendenti stessi. Volete verificare se avete già una DLP pronta da attivare nella vostra azienda? Volete stabilire un protocollo di sicurezza ad hoc per i vostri dati? Contattateci!