I dati sono il carburante della nuova economia, su questo c’è poco da discutere. Se preferite, i dati sono importanti quanto i gioielli della corona. Le definizioni con cui si enfatizza l’importanza imprescindibile del dato per l’ecosistema digitale si susseguono, ogni definizione sembra superare l’altra per enfatizzare il nostro imprescindibile legame con il dato stesso.
Da asset strategico a bene dal valore intrinseco (come acqua o ossigeno) per arrivare a definirlo anche oro digitale.
A fronte di una percezione dell’importanza del dato così evidente, siamo certi di approcciare la sua sicurezza nel modo corretto o quanto meno completa?
Indice degli argomenti
Valutare attentamente la qualità dei dati
Associare la sicurezza di un oggetto alla qualità e allo stato del suo contenitore è abbastanza naturale.
Tra una confezione danneggiata e una integra sul bancone di un supermercato con grande probabilità sceglieremo quella integra. La confezione danneggiata insospettisce, aumenta la diffidenza sul contenuto.
Ovviamente, la qualità del contenuto non dipende esclusivamente dal contenitore, il livello di fiducia che abbiamo sul prodotto è indirizzato dalla sensazione di sicurezza che il contenitore ispira.
Vi siete mai chiesti se avremmo lo stesso approccio se al posto di una bottiglia di vino troviamo dati digitali?
Se di fronte ad una bottiglia di vino abbiamo qualche dubbio, prima di versare il vino ai commensali a tavola assaggiamo il prodotto, quando si parla di dati digitali affidiamo in maniera incondizionata la percezione della sicurezza del contenuto al suo contenitore.
Vuoi perché consideriamo il dato come una stringa di zero e uno e pertanto immutabile nel tempo, vuoi perché l’idea con cui nasce la sicurezza digitale è molto legata alla difesa perimetrale (firewall, antivirus ecc.) ma che il contenuto possa essere legato a minacce che prescindono il contenitore è qualcosa di non istintivo e familiare.
La realtà, invece, è complessa tanto quanto la qualità del vino. Così come per un buon vino, il contenitore ha una grande importanza, ma non è l’unica contromisura da adottare.
Processi e pratiche per mettere in sicurezza i dati
Analizzando soltanto il contenuto all’interno del contenitore è possibile accorgersi che i dati sono adeguati e contengono contenuti attesi, che sono acceduti solo e soltanto da chi ha il diritto ad accedervi, che si tratta di dati originali e posseduti legalmente, che sono dati di cui è possibile fidarsi, veri e legittimamente utilizzabili.
Infatti, l’uso combinato di modalità di acquisizione di dati di tipo “aggressivo” è esacerbato anche dall’uso massiccio da parte di sistemi di intelligenza artificiale nelle sue forme più svariate: dai vari metodi di Machine Learning tradizionali a quelli di ultima generazione come quelli di tipo generativo per generare e/o raffinare modelli di AI, richiedono che i dati risiedano, vengano utilizzati e ri-utilizzati, transitino, migrino, giacciano ad insaputa ed a prescinde di chi li gestisce e talvolta li genera.
Per questo motivo negli ultimi anni sono stati studiati processi e pratiche di riferimento per mettere in sicurezza i dati proteggendoli ovunque questi risiedano e specie in ambienti multi-cloud per scoprire dove i dati giacciono geograficamente, identificarli, classificarli e catalogarli, valutare rischi in base a ciò che si ottiene, gestire policy di accesso e monitoraggio delle attività di accesso, valutare costantemente le vulnerabilità, mis-configurazioni e il rischio di non conformità come aspetti legali legati a normative esterne o regolamenti interni alla propria organizzazione fino a dare un nome all’insieme di queste pratiche.
Alcuni analisti hanno cominciato ad evidenziare la nascita di un vero e proprio segmento di mercato che racchiude queste pratiche: Data Security Posture Management (DSPM).
I sistemi di Data Security Posture Management
I sistemi di DSPM hanno l’obiettivo di rendere sicuri i dati che usiamo automatizzando i processi necessari per determinare la loro postura della sicurezza in ambienti multicloud guardando sia la sicurezza dei contenitori o data source ma anche, cosa più importante, entrando nel merito del contenuto e delle manipolazioni dei dati stessi.
Infatti, la tipologia e dinamicità con cui contenuti e contenitore cambiano, necessitano di una verifica continua e combinata. Per dirla con una metafora: non si è più sicuri se si rispettano i limiti di velocità solo quando c’è l’autovelox, forse si evita una multa ma non si è di certo “più sicuri”.
Si è “più sicuri” se si rispettano sempre i limiti di velocità. Analogamente per la sicurezza del dato non è possibile verificare la postura di sicurezza una volta ogni tanto, magari in prossimità di una ispezione o ex-post dopo un’incidente.
La postura di sicurezza va controllata continuamente e questo implica che i sistemi DSPM debbano preoccuparsi di automatizzare i processi per evitare che il processo resti puramente teorico.
Casi d’uso per un’adeguata postura di sicurezza consentono di identificare, ad esempio:
- record transazionali completi contenenti dati sensibili (come numero di carte di credito, CVV, articoli ordinati ecc.) individuati all’interno di un web server dimenticato attivo su un cloud pubblico ed esposto su internet;
- individuare potenziali accessi a dati sensibili contenuti nell’ambiente cloud;
- condividere una password in chiaro all’interno di un canale di comunicazione gestito da piattaforme per la condivisione;
- violazioni GPDR derivanti dall’attivazione di un flusso di dati sensibili da parte di una istanza cloud europea verso una in India;
- estrazione di dati sensibili in ambienti cloud di produzione per alimentare ambienti di sviluppo e test senza una previa anonimizzazione dei dati stessi.
Questi casi d’uso, per altro osservati nella pratica reale, sono solo alcuni esempi in cui si dimostra che i dati viaggiano in lungo e in largo negli ambienti cloud offerti tipicamente dai noti hyperscaler.
Inoltre, questi esempi evidenziano chiaramente come la sicurezza dei dati debba essere un elemento cruciale per qualsiasi organizzazione, e garantire che le informazioni sensibili (di ogni tipo) siano trattate con il massimo riguardo è fondamentale per la reputazione e la conformità normativa e gli stessi regolamenti e policy interne.
L’efficacia dei sistemi di Data Security Posture Management
Generalizzando, è possibile derivare almeno quattro principali aree dove le soluzioni DSPM sono particolarmente efficaci e contribuiscono a migliorare la posture di sicurezza di un’organizzazione:
Individuare dati e contenuti sensibili in “ombra” nell’organizzazione
La prima linea di difesa contro le violazioni dei dati è l’eliminazione delle potenziali fonti di esposizione. I dati devono essere condivisi in modo sicuro solo con i destinatari previsti ed in modo che siano inaccessibili a persone non autorizzate.
Le soluzioni DSPM aiutano in particolar modo ad individuare i dati in “ombra” o nascosti, di cui le stesse organizzazioni proprietarie non sono a conoscenza, in ambienti cloud o in app SaaS comunemente utilizzate come sistemi di condivisione file, documenti, discussioni e così via.
Per altro, la crescente diffusione di sistemi di AI e la necessità di disporre di grandi quantità dati di training di modelli ha per altro accelerato questa pratica ed esposizione di sicurezza.
Monitorare l’accesso ai dati da parte di flussi impropri
Proteggere i dati è fondamentale per tenere alto sia il livello di sicurezza che per essere conformi alle varie normative e policy interne.
È quindi necessario disporre di capacità in grado di monitorare il movimento delle informazioni sensibili mentre fluiscono all’interno di un ambiente cloud e tra diversi ambienti cloud o tra varie app aziendali SaaS.
Inoltre, supervisionare le transazioni di dati tra paesi e geografie diverse per garantire la conformità ai mandati normativi è importante per minimizzare il rischio di ricadere in violazioni e sanzioni.
Ridurre l’esposizione a terze parti
Derivare una panoramica completa sui fornitori di terze parti che possono accedere ai workload cloud dell’organizzazione, e quindi ai dati considerati sensibili, andando anche a verificare quali certificazioni tali fornitori possiedono.
Quest’area è molte volte trascurata o quanto meno presidiata in modo parziale.
Controllare la configurazione dei “data source”
Valutare se le best-practice di sicurezza sono applicate riguardo la configurazione e la gestione dei “contenitori” che contengono i dati.
Alcuni esempi possono essere la verifica sui “data source” critici dell’implementazione di pratiche come encryption e backup dei dati oppure di non esposizione pubblica in internet dei dati.
Conclusione
Proteggere i dati di un’organizzazione richiede un approccio completo ed un processo continuo che includa l’eliminazione dei dati esposti, la prevenzione della fuga di informazioni, il monitoraggio delle transazioni di dati e la riduzione dell’esposizione a terze parti.
