no consumer

Prevenire la perdita dei dati per proteggere gli asset aziendali

Quentyn Taylor, Direttore della divisione Information Security di Canon Europe

Qualsiasi manager di oggi se interrogato su quali siano le risorse più importanti di un’azienda, risponderebbe secondo il parere tradizionale, che il personale rappresenta uno degli asset più rilevanti di una società. Alla stessa domanda posta a un CIO o a un IT manager si riceverebbe una risposta molto differente, ovvero “è l’informazione a determinare il successo del business”.

Naturalmente l’informazione è generata dalle persone, dunque il ruolo degli operatori è fondamentale, ma i dati finanziari, relativi a clienti, concorrenti, informazioni sul mercato o i record HR e la protezione degli stessi costituisce un fattore determinante per la competitività e la crescita di un’azienda.

Per questo non ci stupisce che le parole “perdita dei dati” siano le più temute dai reparti IT e sicurezza di una società.

Esempi di grande importanza come la perdita dei dati che determinò la caduta della società di sicurezza HBGary Federal, o la perdita del database di posta elettronica del colosso legale ACSlaw, entrambi contenenti dati sensibili relativi alle persone coinvolte, dimostrano chiaramente l’entità dell’impatto della violazione dei dati su larga scala. Le cause di questi incidenti informatici sono da attribuire solitamente a eventi accidentali o ad attacchi esterni da parte di hacker, in ogni caso il risultato non cambia e si traduce in una situazione critica per i clienti e per l’azienda, che può generare danni alla reputazione del brand, oppure conseguenze più gravi come crolli finanziari e provvedimenti penali.

In alcuni settori sono attive regolamentazioni specifiche come Basilea II e PCI DSS in ambito finanziario, o la direttiva Europea per la protezione dei dati, normative che regolano i controlli sulla gestione dell’informazione nelle aziende. Queste ultime sono sottoposte a controlli severi che verificano se i sistemi IT impiegati per la protezione dei dati aziendali e personali, corrispondono ai requisiti previsti dalla legge.

Nonostante questi provvedimenti, continuano a verificarsi casi di perdita di dati di grande entità che evidenziano come le aziende potrebbero fare molto di più per proteggere queste importantissime risorse.

L’Information Data Loss Prevention (IDLP) – Prevenzione della Perdita dei Dati – è diventata una delle attività prioritarie per la sicurezza delle aziende, per questo sono disponibili sul mercato una serie di soluzioni software progettate per prevenire la perdita dei dati aziendali. Queste soluzioni enterprise generalmente impiegano metodi di classificazione dei dati che li suddividono in tre stati: “in archivio”, “in uso” oppure “nella rete”.

Di seguito sono definite alcune procedure per stabilire in quali casi consentire che le informazioni vengano processate, quando modificare l’utente o semplicemente quando registrare le attività, basandosi sulla classificazione stessa o sulle richieste degli utenti che le utilizzano.

Tuttavia, nonostante questa crescente attenzione nei confronti dell’IDLP, si verificano ancora incidenti nei processi di protezione dei dati che, se violati, possono causare gravi conseguenze.

Prendiamo l’esempio dei dispositivi multifunzione con funzionalità di rete (MFP). Lo scorso anno sono state divulgate informazioni negli Stati Uniti e nel Regno Unito che attiravano l’attenzione sul quantitativo di dati sensibili contenuti negli hard disk di questi dispositivi, potenzialmente esposti a rischio di violazione.

Se le soluzioni IDLP standard sono molto diffuse per la gestione delle procedure di sicurezza negli archivi aziendali, la stessa attenzione nella prevenzione della perdita dei dati non è riservata alle fasi di passaggio dei dati, di cui gli hard disk dei multifunzione sono l’esempio più eclatante. Questa tendenza mette in evidenza che l’implementazione e l’amministrazione dei MFP sono spesso gestite al di fuori del controllo del team IT e della sicurezza informatica.

Se si considera che circa un quarto delle violazioni di sicurezza coinvolge i documenti cartacei (Ponemon Institute, LLC), è facile dedurre a quali rischi è esposta qualsiasi tipo di azienda.

I dispositivi multifunzione sono spesso condivisi da diversi reparti aziendali, gruppi di lavoro e team di progetto (in alcuni casi anche tra aziende diverse), per questo il margine di rischio è estremamente elevato. Attraverso i multifunzione è possibile trasferire dati per mezzo di e-mail, ftp, Internet e server eFax, ma spesso questi mezzi non hanno lo stesso livello di controllo che viene attribuito ai web server e ai server di posta elettronica aziendali.

Per dare l’idea di questo scenario consideriamo che in azienda qualsiasi addetto che abbia accesso a uno di questi dispositivi potrebbe copiare un documento lasciato incustodito e mandarlo all’esterno dell’azienda, ad esempio per mezzo di eFax, senza utilizzare un PC o un server di rete, eludendo completamente – sia accidentalmente sia deliberatamente – le soluzioni DLP attive. Questo non è un esempio ipotetico, infatti in Europa si sono verificati una serie di incidenti di perdita di dati proprio con questa modalità.

Data la frequenza con cui si ha notizia di aziende private o enti pubblici che hanno inavvertitamente divulgato documenti aziendali riservati o dati sensibili relativi a clienti, attraverso la posta elettronica o perché reperibili da PC non adeguatamente protetti, risulta chiara la necessità di implementare un sistema adeguato di sicurezza. Ad esempio i sistemi di eFax sono dotati di funzionalità di riconoscimento dei dati sensibili contenuti in un documento, e possono essere programmati per inviare automaticamente la richiesta di conferma per l’invio all’esterno. Questa tecnologia intelligente può evitare che si verifichino perdite di dati. Chiaramente perché ciò avvenga è indispensabile che la protezione  sia estesa a tutti i punti attraverso i quali passa l’informazione, di conseguenza anche ai multifunzione.

Fortunatamente oggi esistono sistemi in grado di salvaguardare le informazioni e i dati aziendali, che vengono trattati sui multifunzione, consentendo di rendere più completa l’infrastruttura DLP. Il primo passo per mettere a punto una soluzione adeguata è definire quali informazioni non stiamo proteggendo, quanto ci costerebbe se le perdessimo, in che modo potrebbe avvenire una violazione dei dati e come potremmo prevenirla.

Proteggere quelli che abbiamo definito i più importanti asset di un’azienda significa considerare l’intero flusso di informazioni che riguarda le attività di una società, e questo include anche i MFP. Implementare l’IDLP in alcuni casi può essere difficoltoso, soprattutto laddove non sono presenti direttive che regolamentano queste procedure, ma bisogna considerare questa attività come un’assicurazione contro la peggiore delle conseguenze. Proteggere le informazioni mettendole in un armadietto chiuso a chiave non è più il modo migliore per impedire un’eventuale perdita di dati e dei conseguenti effetti negativi.

Funzionalità di protezione e sicurezza, anche ad alto livello, come ad esempio la tecnologia basata sul riconoscimento attraverso parole chiave che permettono la classificazione automatica dei dati contenuti nei documenti processati, così da determinare come essi debbano essere impiegati, sono i punti di forza della piattaforma uniFLOW. Questa soluzione modulare e flessibile, sviluppata da NT-Ware società del gruppo Canon, si integra in qualsiasi tipologia di architettura di rete e di infrastruttura. Questa piattaforma è in grado di fornire alle aziende strategie specifiche, ottimizzando i flussi di lavoro estendendo la prevenzione di perdita dei dati alle multifunzioni.

Scarica il comunicato in formato pdf [PDF, 50 KB]
spacer
					image