Il dato: l’asset più importante che ogni azienda giornalmente costruisce, alimenta, modifica, usa e per cui il suo danneggiamento impatta direttamente il business: è questo il motivo per cui qualunque organizzazione, grande o piccola che sia, dovrebbe dotarsi di un sistema di Data Loss Prevention che consenta non solo di preservare il prezioso patrimonio informativo, ma anche di gestirlo nella sua eterogeneità.
Le tipologie di dati, infatti, sono tra le più differenti: dal dato strutturato contenuto in record di database o in altri repository al dato destrutturato contenuto all’interno di mail, file, media, website e via dicendo. Ovviamente non tutti i dati hanno lo stesso livello di riservatezza e criticità per l’azienda e richiedono quindi diversi livelli di attenzione.
Per fare solo un esempio, i dati di ricerca di un farmaco sperimentale di un’azienda farmaceutica o un progetto innovativo per un nuovo prodotto richiedono strumenti e processi per preservarne la riservatezza e l’integrità che non sono invece richiesti per i contenuti statici del sito internet dell’azienda stessa o per la mail degli “auguri di Natale” scambiata tra i dipendenti.
In ogni caso è comunque necessario ridurre la possibilità che il dato venga perso, sia esso trafugato da malintenzionati (data leak) o perso non intenzionalmente (data loss), tenendo presente l’impatto economico che può avere sull’azienda.
Indice degli argomenti
Data Loss Prevention: un vero e proprio ecosistema
Quando si parla di Data Loss Prevention (DLP) si intende un ecosistema di strumenti, tools e processi cha hanno l’obiettivo di proteggere i dati sensibili e importanti per il business dell’azienda, con particolare focus su:
- classificazione: ci sono differenti tipologie di dati ed è necessario la classificazione degli stessi prestando attenzione al livello di sensibilità e criticità dell’informazione in esso contenuta;
- violazione: è importante identificare con celerità ogni violazione alle policy interne o accessi non autorizzati da parte di terzi, siano essi interni o esterni. Deve essere presente un sistema automatico che possa generare alert a fronte del verificarsi di questi casi e sistemi di mitigazione a disposizione dell’azienda;
- protezione: devono essere realizzati, mantenuti e fatti evolvere i sistemi di protezione, che siano essi statici o dinamici. L’obiettivo primario deve essere quello di prevenire ogni perdita per furto, attacco informatico o semplicemente errore umano;
- compliance: è necessario verificare continuamente di avere policy compliant con i vari regolamenti a cui si deve sottostare (ad esempio, il GDPR).
La giusta strategia di Data Loss Prevention
Ci sono differenti strategie possibili ed è sempre necessario implementarne più di una per poter raggiungere un livello di protezione soddisfacente per la propria realtà aziendale.
Gli ambiti su cui operano i sistemi DLP sono:
- Data in Transit protection (a volte definita anche “Data in Motion protection”): si focalizza sulla protezione del dato in transito, sia all’interno della rete privata che tramite internet. Molto spesso si sottovaluta questa parte in quanto si pone maggior attenzione sul dato memorizzato e non sul percorso che esso compie per raggiungere la destinazione.
- Data in Use protection: si focalizza sulla protezione del dato in uso, in continua modifica o aggiornamento da parte dell’utente o delle applicazioni. Per la loro natura, le informazioni contenute in questa forma sono particolarmente critiche perché rappresentano l’operatività reale e puntuale degli utenti e sono vulnerabili ad attacchi esterni.
- Data at Rest protection: si focalizza sulla protezione del dato memorizzato all’interno dei vari dispositivi o archiviato su vari supporti storage. Il dato non è quindi in transito o in uso e per questo motivo si presuppone che sia meno vulnerabile. Il suo valore è sicuramente alto ed è necessario proteggerlo con strumenti adeguati.
Data Loss Prevention: da dove partire?
Per strutturare un sistema di Data Loss Prevention realmente efficiente ed efficace occorre, ovviamente, definire innanzitutto un piano d’azione che comprenda i seguenti passaggi:
- Definire il dominio principale di protezione. È necessario intervistare i propri utenti per identificare i tipi di dato che vengono scambiati e dove vengono memorizzati. È buona norma, inoltre, non fermarsi solo alla parte IT che ha una visione prettamente tecnica, ma ragionare su altri reparti (amministrazione, progettazione, magazzino ecc.). L’obiettivo di questa prima fase è riuscire a mappare i processi di business con i dati che questi generano o utilizzano e le implicazioni che questi possono avere in caso di perdita è sicuramente essenziale per giustificare qualunque investimento. Come ultima azione, occorre identificare quali sono i dati più sensibili per l’azienda e per cui la loro sottrazione o perdita possa impattare pesantemente il business, non limitandosi solo agli ambiti HR e Finance, ma approfondendo gli ambiti con maggiore proprietà intellettuale dell’azienda.
- Verificare di avere un piano di backup completo che tenga conto delle effettive esigenze. Eseguire test di restore a intervalli regolari per verificare la bontà del sistema è buona prassi. Separare, poi, le utenze amministrative che sono utilizzate sui sistemi da quelle utilizzate dai tool di backup per evitare, ad esempio, che un attacco di un ransomware possa danneggiare anche i backup con relativo impatto esteso sul business. Valutare, infine, di mettere offline parte di questi dati per proteggerli ulteriormente.
- Fissare il punto di partenza. A questo punto è necessario far eseguire un security assessment e/o un compromise assessment da un ente esterno che possa verificare le misure messe in campo. Tali attività devono includere l’uso di tool, ma anche interviste verso le figure chiave e apicali dell’azienda e proporre un piano di remediation o mitigation dei rischi trovati. Per l’IT è importante analizzare gli output prodotti, calandoli all’interno dell’azienda per:
- evidenziare le aree scoperte;
- definire il dominio critico;
- pianificare le misure di emergenza per risolvere le maggiori criticità;
- pianificare un programma a medio e lungo termine che verrà aggiornato con l’evoluzione del business.
- Rivedere, se presenti, i piani di business continuity, disaster recovery e le procedure per eventuali data breach. Non è sufficiente avere un ricco documento, ma è necessario pianificare test periodici e valutarne l’effettiva efficacia in casi reali. Per fare un esempio, l’emergenza covid-19 ha obbligato le azienda a cambiare profondamente l’erogazione del lavoro dei propri dipendenti e aver avuto un piano che valutasse l’impossibilità di accedere agli edifici aziendali avrebbe permesso di rispondere in modo coordinato a questa emergenza.
Siamo tutti al centro di un attacco informatico
Il mercato della criminalità informatica e l’evoluzione di questi ultimi anni ci hanno reso consci che siamo tutti possibili obiettivi dei cyber criminali. Si leggono ogni giorno articoli o notizie legato alla sottrazione dei dati di società di ogni settore merceologico, dal bancario al manufacturing, dai trasporti ai vari e-commerce.
Esserne consapevoli ci mette di fronte alla necessità di prendere precauzioni complete. Dotarsi di software avanzanti per la protezione dei dispositivi dei nostri utenti con funzioni avanzate di antimalware e di EDR è sicuramente un passo obbligato per rispondere a questa esigenza, partendo dal device.
Dall’altra parte è necessario inserire soluzioni di IDS (intrusione Detection System) e IPS per il monitoraggio e protezione della rete, sia essa interna che esterna.
Aggiungiamo inoltre la necessità di correlare i vari eventi generati da fonti diverse (AD, sistemi operativi, dispositivi di rete, sistemi di controllo avanzato del traffico di rete ecc.) e quindi è necessario valutare l’inserimento di un SIEM.
In questo percorso verso l’incremento della protezione in azienda e valutando il valore che i dati hanno, possiamo ragionare sull’inserimento di un software avanzato di DLP che sappia monitorare, tracciare e controllare i dati che transitano all’interno dell’azienda.
Non solo tool e software
Concludiamo questo approfondimento con alcune considerazioni:
- I processi interni devono essere rivisti a fronte della criticità delle informazioni e dei dati trattati. Come vengono scambiate le informazioni sensibili? Chi gestisce e ha la responsabilità di tali processi?
- Le competenze sono il punto chiave per poter gestire nel tempo questa complessità. Se ragioniamo sulla necessità di inserire un SOC, la valutazione dei costi e benefici ci porterà probabilmente a esternalizzare tale servizio. Aggiungiamo inoltre la difficoltà di gestire e coordinare tutte le soluzioni software presenti in azienda.
- Avere sovrapposizioni di aree di sicurezza è sicuramente un costo aggiuntivo, ma ci permette di rispondere prontamente a eventuali incident. Ad esempio, se il sistema di antispam lascia passare una mail malevola, gli strumenti di protezione del client potrebbero bloccare un’eventuale infezione.
- Il tempo è nemico di ogni organizzazione IT e non IT. Tali sistemi di protezione devono essere costantemente manutenuti e tenuti aggiornati.
- Procedere per step: non inserire un cambiamento ad un processo o un nuovo software senza aver definito il beneficio e misurato nel tempo.