Il concetto di protezione dei dati è strettamente legato ai rischi relativi alla loro riservatezza, integrità e disponibilità. Le rispettive definizioni convergono su questo punto: la riservatezza garantisce che le informazioni siano accessibili solo alle persone autorizzate; l’integrità assicura che le informazioni rimangano invariate durante il loro ciclo di vita; la disponibilità assicura che le informazioni siano fruibili senza soluzione di continuità entro un lasso di tempo specifico.
Insieme al concetto di tracciabilità, questi aspetti costituiscono i criteri di base per la messa in sicurezza delle informazioni.
Protezione dei dati personali: l’importanza di creare una cultura della consapevolezza
Indice degli argomenti
Crittografia e protezione dati: gli errori commessi
Per proteggere i dati in termini di integrità e riservatezza, la soluzione generalmente raccomandata è la crittografia. Tuttavia, è difficile districarsi nella giungla di termini associati all’argomento dal punto di vista normativo, ovvero valutare quali siano i dati effettivamente importanti, riservati/sensibili o critici da tutelare.
Per questo motivo, sebbene d’obbligo, la crittografia non viene attuata correttamente, molte aziende ritengono erroneamente di non disporre di dati di questo tipo e quindi di non dover proteggere i propri file e lo scambio degli stessi, dimenticando che questa necessaria protezione dei dati riguarda invece la totalità delle imprese.
I file dei clienti, i registri contabili o altri documenti importanti sono tutti elementi essenziali per lo svolgimento delle attività quotidiane. Perdere un anno di contabilità può avere conseguenze disastrose per qualunque azienda, indipendentemente dalle sue dimensioni.
Per affrontare il problema, occorre definire correttamente quali informazioni sono strategicamente importanti per la propria organizzazione, tenendo presente che, in realtà, tutti i dati generati sono rilevanti ai fini della produttività aziendale.
Allo stesso tempo, è necessario approfondire se e in che modo tali dati sono accessibili e di conseguenza vulnerabili agli attacchi.
Considerando che il percorso di un cyber criminale per accedervi può passare attraverso un singolo terminale, privato o aziendale, o accedendo direttamente alla rete aziendale attraverso servizi erogati dagli Initial Access Brokers o tramite trojan, occorre includere la tutela dei client e del perimetro nella strategia di cyber security.
Nel caso di un attacco tramite trojan, ad esempio, i cyber criminali hanno accesso a tutto ciò che viene visualizzato sullo schermo del sistema infetto e spiano quanto viene digitato sulla tastiera. Questi attacchi possono essere estremamente mirati e finanziati dai Governi, ma non solo.
I trojan utilizzati per carpire password e dati di accesso, specie quelli bancari dei privati, possono annidarsi facilmente in qualsiasi sistema scaricando e installando un gioco, un’estensione del browser o anche un password manager.
Spesso si pensa solo al computer, ma anche lo smartphone è una porta di accesso per la diffusione di questo tipo di malware. Ciò sottolinea l’urgenza di proteggere le postazioni di lavoro, ma costituisce anche un ulteriore punto a favore della limitazione dell’uso di dispositivi aziendali ai soli scopi lavorativi.
Crittografia, cos’è: guida alla tecnologia che protegge dati e privacy anche delle aziende
Come proteggere meglio i dati
Paradossalmente più i dati sono rilevanti più devono essere facilmente accessibili. Sono quindi più vulnerabili durante lo scambio, perché lasciano l’enclave (teoricamente) protetta del loro supporto di archiviazione.
Lo scambio può assumere diverse forme: le informazioni vengono inviate per e-mail, condivise nel cloud o salvate su una chiavetta USB.
Si tratta di modalità di scambio e, soprattutto, di tecnologie diverse, che vanno però messe in sicurezza nello stesso modo: cifrando completamente i dati.
Le moderne soluzioni per la crittografia si avvalgono di robusti meccanismi di autenticazione per garantire che le informazioni possano essere lette in chiaro solo dal mittente e dall’effettivo destinatario.
In questo modo, i dati restano fuori dalla portata di intrusi, curiosi e di chi eventualmente li divulgherebbe. Per costoro i dati risultano illeggibili.
Ma affinché la cifratura sia efficace ovunque, l’azienda che vuole proteggere i propri dati ne deve avere il controllo esclusivo. Le chiavi cifratura devono quindi essere di esclusiva proprietà della rispettiva azienda e facilmente gestibili. Solo in questo modo la protezione dei dati può essere completamente agnostica rispetto al luogo di archiviazione.
A causa dell’utilizzo di dispositivi mobili e dell’impiego massiccio di strumenti di collaborazione, la condivisione di alcuni dati non viene monitorata costantemente dall’azienda. Qualora si impieghino suite software SaaS per l’ufficio, una soluzione indipendente per la cifratura dei dati può garantirne l’effettiva riservatezza.
Data la facilità d’uso di queste suite online per la produttività aziendale, la sfida per i fornitori di tali soluzioni è quella di integrare la crittografia in modo trasparente per gli utenti finali, garantendo non solo un’adeguata sicurezza ma anche un’esperienza d’uso semplice ed efficace.
Dopo file ed e-mail, vanno crittografati anche i dati scambiati direttamente tramite browser web.
Backup dei dati: cos’è, a cosa serve e le soluzioni per farlo, anche sul cloud
L’importanza del backup e della gestione dei diritti di accesso
Se la crittografia dei dati soddisfa i requisiti obbligatori di integrità e riservatezza, che dire della disponibilità? In fondo, i dati accessibili a chiunque, anche se criptati, possono comunque essere cancellati, che si tratti di un abuso criminale o di un errore umano.
Un ulteriore passo nella messa in sicurezza efficace dei dati è il purtroppo spesso sottovalutato backup. Un processo che deve essere eseguito regolarmente. I file prodotti devono naturalmente essere altrettanto cifrati, possibilmente archiviati offline e non manipolabili.
Sia il team IT sia i commerciali condividono in egual misura la responsabilità di considerare tutti i parametri necessari per la creazione delle copie di sicurezza, inclusa la gestione del recupero delle chiavi del sistema di cifratura.
È inoltre preferibile avere un piano di ripristino di emergenza (Disaster Recovery Plan, DRP) o un piano di continuità aziendale (Business Continuity Plan, BCP) archiviato in un luogo sicuro, che sia digitale o meno.
Allo stesso tempo, è necessario prevedere anche la gestione dei diritti di accesso ai dati. Questo per garantire che solo le persone autorizzate possano accedere ai dati sensibili, sia internamente che esternamente.
Si tratta, però, di una questione complessa, perché la gestione dei diritti e degli accessi (“Identity and Access Management” – IAM) concerne qualsiasi responsabile di ogni reparto o business unit di un’azienda.
Bisogna dunque essere in grado di stabilire chi nel team ha accesso ed è autorizzato a fare cosa secondo una strategia di security “Zero Trust”.
Un compito solo apparentemente semplice: rapportata al numero crescente di strumenti e al turnover aziendale, la gestione tempestiva dei diritti di accesso può trasformarsi rapidamente in una sfida importante.
Si tratta, in ogni caso, di una misura necessaria che contribuisce alla sicurezza dell’azienda, tanto quanto la cifratura dei dati e il backup degli stessi.
