Controlli sulla sicurezza dei dati

Apr 15, 2023 | Protezione dei dati aziendali

I controlli di sicurezza dei dati, o più specificamente, i controlli di cybersecurity incentrati sui dati si basano su un approccio alla sicurezza che enfatizza la sicurezza dei dati stessi rispetto alla sicurezza di dispositivi, applicazioni, server o reti.

La trasformazione digitale delle organizzazioni e l’aumento delle aziende che si affidano ai dati più che mai(organizzazioni data-driven, McKinsey) per guidare le loro operazioni commerciali, sta facendo crescere la sicurezza incentrata sui dati più che mai. Con i dati aziendali archiviati in luoghi diversi come il cloud, i sistemi locali, i database distribuiti, ecc. si rafforza la necessità di quadri e strategie di sicurezza come Zero-Trust (promosso da Forrester) o SASE (promosso da Gartner).

In questo articolo, parleremo dei controlli di sicurezza incentrati sui dati da un approccio principalmente tecnologico rispetto a un approccio di processo o organizzativo. In particolare:

Indice

Aumento del rischio sui dati aziendali. Riassunto.

 
Secondo il rapporto pubblicato da Risk-Based Security 2020 Year End Report Data-Breach, nel corso del 2020 si è registrato un aumento del 141% rispetto all’anno precedente dei record compromessi a causa di fughe di dati. L’aumento delle perdite dovute a un attacco ransomware è cresciuto del 100%, con il settore sanitario che è stato il più attaccato con il 12,5% dei furti di dati segnalati, seguito da vicino in terza posizione dal settore finanziario e assicurativo.

Sono in aumento anche i gruppi organizzati che, dopo aver perpetrato attacchi e furti di dati alle organizzazioni, rendono pubblici questi dati, come il caso di “ShinyHunters” che nell’ultimo trimestre del 2020 ha pubblicato i dati sensibili estratti da circa 17 aziende di diversi settori.

Nel 62% delle fughe segnalate, è stato confermato l’accesso a dati sensibili. Il 77% dei furti è dovuto ad attacchi di origine esterna e il 16% di origine interna. Di questi ultimi, il 69% era dovuto a errori e fallimenti.

Secondo il rapporto Verizon “2020 Data Breach Investigations Report“, i furti di dati in cui l’attacco compie un numero maggiore di passi per raggiungere il suo obiettivo, causati principalmente da Hacking e Malware, compromettono per lo più la Riservatezza e l’Integrità dei dati rispetto alla Disponibilità. Gli aggressori si fanno strada in modo persistente attraverso la rete aziendale per raggiungere il loro obiettivo, i dati, e comprometterne la riservatezza.

In molti casi, gli aggressori passano inosservati come utenti interni, quindi le misure di controllo della rete o del perimetro non sono più efficaci.
 

Elementi chiave della sicurezza centrata sui dati

 
Ci sono diversi elementi chiave per un efficace sistema di sicurezza incentrato sui dati:

  • Identificazione, scoperta e classificazione delle informazioni sensibili: L’obiettivo di un aggressore, interno o esterno, è di solito l’informazione più sensibile e preziosa: i dati attraverso i quali può ottenere vantaggi diretti o indiretti. D’altra parte, ci sono anche dati legati a qualche tipo di regolamento come EU-GDPR, PCI o altri. In alcune organizzazioni questi dati sono archiviati in determinati repository noti ai team, ma possono anche essere distribuiti e in questi casi, gli strumenti che permettono di identificare dove si trovano, possono essere utili per un’organizzazione che vuole implementare controlli di sicurezza incentrati sui dati.
  • Protezione incentrata sui dati: I controlli di sicurezza incentrati sui dati si concentrano sulla sicurezza dei contenuti preziosi dell’organizzazione, in modo da proteggerli da potenziali uscite non autorizzate dalla rete, dal cloud o dalla fuga di dati. Possiamo sapere dove si trovano le informazioni sensibili dell’organizzazione, ma sarà poco utile se non applichiamo misure per proteggere queste informazioni ovunque viaggino.
  • Audit e monitoraggio dell’accesso ai dati: Per determinare il livello di rischio sui dati aziendali, è importante poter analizzare il loro utilizzo e determinare se i modelli di comportamento degli utenti sui dati sono al di fuori di un certo standard.
  • Amministrazione e gestione delle politiche sui dati: Chi deve o non deve avere i permessi di accesso ai dati non è qualcosa che si stabilisce in modo statico e duraturo. Dovete essere in grado di applicare politiche dinamiche sui dati, in modo che se smettete di collaborare con qualcuno o se viene rilevato che una certa persona può essere a rischio, possiamo revocare l’accesso ai dati o cercare di impedire che lascino la rete aziendale.

 

I controlli sulla sicurezza dei dati cercano di offrire alle organizzazioni i seguenti vantaggi

 

  • Mitigare o prevenire le fughe di dati derivanti da azioni inappropriate da parte dei dipendenti, sia accidentali che dolose: cercare di bloccare l’uscita dei dati sensibili dalla rete o, a seconda della tecnologia, le informazioni viaggiano protette e solo gli utenti che hanno i permessi su di esse potranno accedervi.
  • Facilitare la collaborazione sicura stabilendo diverse misure di accesso o collaborazione a seconda del livello di sensibilità delle informazioni. Può lasciarlo condividere con terzi o meno, oppure lasciare un controllo di accesso limitato a seconda che sia altamente confidenziale o meno.

 
Vantaggi della protezione dei dati Controlli di sicurezza aziendali
 

  • Aiuta a rispettare le normative sulla protezione dei dati: Regolamenti come l’EU-RGPD, obbligano le aziende che possiedono i dati personali di qualcun altro a farli controllare. Crittografandoli, bloccando l’uscita dalla rete e controllando il loro utilizzo, si cerca di facilitare la conformità a questo tipo di normative.
  • Si protegga dalle violazioni della sicurezza di rete che possono portare all’esfiltrazione dei dati: La stampa riporta continuamente notizie di attacchi di ogni tipo, come il ransomware, in cui vengono esfiltrati documenti, e-mail e dati interni delle aziende, che vengono estorte con la pubblicazione di questi dati. Le vie d’ingresso per questo tipo di minacce nella rete aziendale sono molteplici, e in questo caso quelle che crittografano i dati aggiungono un ulteriore livello di controllo, che protegge i dati da una possibile violazione della rete.

Per implementare una strategia di sicurezza incentrata sui dati, troviamo sul mercato diverse tecnologie e controlli di sicurezza con obiettivi diversi. Alcuni dei più noti sono riassunti di seguito.
 

Tecnologie nel campo della sicurezza dei dati

 

Tecnologie di crittografia

 
Le tecnologie di crittografia proteggono le informazioni inattive e quando sono in transito. Tuttavia, una volta decriptato, l’utente ne ha il controllo completo e il controllo degli accessi non può più essere garantito. Esistono diversi tipi di tecnologie di crittografia, evidenziando le seguenti in termini di implementazione nelle aziende:

  • Crittografia del disco: Sono stati incorporati nei produttori di hardware o addirittura nel sistema operativo stesso (Windows, produttori di cellulari, ecc.), dove è possibile criptare il disco. Si limita a prevenire la perdita di dati se il dispositivo è stato smarrito.
  • Crittografia delle e-mail: Un livello di SMIME/TLS è integrato nell’e-mail per trasmettere la crittografia end-to-end. In pratica, fornisce protezione durante il trasporto.
  • Crittografia dei file: Esistono molteplici strumenti basati sulla gestione di password o certificati, come il PGP (chiave pubblica/privata). Forniscono protezione quando sono inattivi e in transito, ma non in uso.

 

 

Tecnologie DLP (prevenzione della perdita di dati)

 
Un sistema di protezione dei dati di tipo DLP cerca di bloccare l’uscita di informazioni riservate dalla rete inviate via e-mail, copie su USB, ecc. Sono focalizzati su un modello di sicurezza perimetrale e non si adattano bene al nuovo contesto aziendale senza perimetro. Si concentrano sul fatto che le informazioni sensibili non lascino il “castello”.

La rapida adozione da parte delle aziende del cloud e l’arrivo delle piattaforme mobili (iOS, Android) hanno rappresentato una sfida per questo tipo di tecnologia, che ha avuto difficoltà ad adattarsi alla realtà. Questo ha portato alla nascita di prodotti specifici per controllare la sicurezza sui dispositivi mobili, come le piattaforme EMM (Enterprise Mobile Management) o MDM (Mobile Device Management), le piattaforme CASB (Cloud Access Security Brokers), e c’è stata una maggiore evoluzione delle tecnologie E-DRM / IRM verso ciò che viene chiamato IPC (Information Protection and Control) con l’obiettivo di proteggere le informazioni in qualsiasi luogo.

Secondo Gartner, i sistemi DLP si dividono in due aree:

  • DLP aziendale: offrono una console centrale per la gestione e il monitoraggio delle politiche e controllano l’uscita delle informazioni attraverso diversi scenari, come endpoint o postazioni utente, o rete. Si occupano anche della ricerca di informazioni.
  • DLP integrato: si tratta di soluzioni integrate nativamente con alcuni prodotti già estesi sul mercato. Un esempio potrebbe essere il server di posta elettronica Microsoft Exchange, che negli ultimi anni ha incorporato regole DLP per rilevare e bloccare la fuga di informazioni attraverso le e-mail.

stato informazioni DLP

 

Queste tecnologie operano nel campo della scoperta dei dati, della protezione (cercando di bloccare l’uscita delle informazioni dalla rete) e del monitoraggio delle informazioni mentre si trovano all’interno del perimetro. Naturalmente, una volta che le informazioni hanno lasciato la rete, non possono più fare nulla per proteggerle o monitorarne l’uso, a meno che non siano integrati con tecnologie IRM / E-DRM / IPC. D’altra parte, per evitare falsi positivi, sono spesso combinati con strumenti di etichettatura o classificazione delle informazioni.

 

Identificazione, scoperta e classificazione dei dati

 
Consentono di identificare e catalogare i dati in base al livello di riservatezza (riservato, interno, pubblico, ecc.). Consentono inoltre di scoprire i dati all’interno dell’organizzazione che possono essere collegati alla conformità con una determinata normativa, come PCI, EU-GDPR, normative nel settore sanitario, ecc.

Possiamo distinguerli in due tipi:

  • Individuazione, identificazione e classificazione automatiche: Individuano le informazioni sensibili sulla rete e le classificano automaticamente in base a diversi modelli, senza l’intervento dell’utente. Attraverso la scansione di determinati archivi e sulla base di dizionari legati a normative specifiche, permettono di discriminare e classificare i dati.
  • Classificazione manuale eseguita dall’utente: È l’utente che etichetta i documenti in base al livello di riservatezza (ad esempio, pubblico, riservato, ecc.). In questo caso, non c’è davvero un’identificazione, ma semplicemente un’etichettatura o una classificazione che, se effettuata dall’utente e non da un sistema automatico, può aiutare a evitare i falsi positivi.

Gruppi di informazione classificati
 

Sono strumenti che permettono di catalogare le informazioni sulla rete aziendale, ma da soli non proteggono le informazioni né ne verificano l’uso. In realtà, quando si tratta di protezione, sono ancora un complemento a una tecnologia DLP o IRM / E-DRM / IPC, poiché non proteggono le informazioni e si limitano a classificarle.
 

Tecnologie CASB (Cloud Access Security Brokers)

 
Gartner definisce il mercato dei CASB, o Cloud Access Security Brokers, come prodotti e servizi che affrontano le lacune di sicurezza nell’uso dei servizi cloud da parte di un’organizzazione. Questa tecnologia è il risultato della necessità di proteggere i servizi cloud, che vengono adottati a un ritmo significativamente elevato, e l’accesso ad essi da parte di utenti sia all’interno che all’esterno del perimetro aziendale tradizionale, oltre a un crescente accesso diretto del cloud al cloud.

I fornitori di CASB comprendono che per i servizi cloud l’obiettivo di protezione per l’organizzazione è il seguente: si tratta sempre dei suoi dati, ma elaborati e archiviati in sistemi che appartengono a qualcun altro. I CASB forniscono una posizione centrale per le politiche e la governance in modo simultaneo su più servizi cloud per utenti e dispositivi, e una visibilità e un controllo granulari sulle attività degli utenti e sui dati sensibili.

Un CASB ha quattro funzioni che mirano a proteggere i dati aziendali:

  • Visibilità – Fornisce informazioni su quali servizi cloud vengono utilizzati.
  • Conformità – Garantire che i dati nel cloud soddisfino i requisiti di conservazione e conformità.
  • Sicurezza dei dati – Controllo degli accessi e gestione dei privilegi, ma mentre i dati sono nel cloud.
  • Protezione dalle minacce – Identificare le persone e gli account compromessi

Il CASB si trova tra gli utenti e il cloud, controllando e monitorando chi accede, se ha i privilegi di accesso, ecc. Impedisce i download in base alle politiche di sicurezza dell’azienda o agli avvisi di possibili minacce dovute alla presenza di “link pubblici” alle informazioni archiviate nel cloud.

Protezione delle informazioni DLP CASB

Tuttavia, l’approccio del CASB consiste nel controllare l’accesso alle informazioni nel cloud e l’identità di chi vi accede, ma presenta alcune limitazioni:

  • Se tutto il traffico di un’azienda viene intercettato e impersona il CASB, i grandi investimenti nella disponibilità e nella distribuzione geografica da parte dei fornitori di cloud non vengono sfruttati, apparendo punti di fallimento nell’architettura, poiché le risorse dei fornitori di CASB sono inferiori a quelle delle piattaforme cloud.
  • C’è solo un controllo mentre le informazioni sono nel cloud, ma non una volta che sono state scaricate e sono fuori dal cloud.
  • La riparazione si basa sul blocco dei soli download o sul controllo delle autorizzazioni e sulla crittografia dei dati informativi quando vengono archiviati. Una volta che la documentazione lascia il cloud, non possono fare nulla per proteggerla, controllarla o bloccarne l’accesso.

 

Gestione dei diritti delle informazioni (IRM) / Enterprise Digital Rights Management (E-DRM) / Protezione e controllo delle informazioni (IPC)

 
Protezione e controllo delle informazioni aziendali (IPC)
La capacità di controllare le informazioni anche al di fuori del cloud è a portata di mano grazie alle tecnologie IPC (Information Protection and Control), o IRM / E-DRM (Information Rights Management / Enterprise Digital Rights Management) che le consentono di proteggere le informazioni ovunque si trovi:

  • La protezione viaggia con la documentazione, ovunque si trovi.
  • Può limitare i permessi sulla documentazione (solo Visualizzazione, Modifica, Stampa, ecc.).
  • È possibile monitorare gli accessi alla documentazione, dove si trova.
  • È possibile monitorare l’accesso alla documentazione, ovunque ci si trovi.
  • L’accesso ai file può essere revocato, indipendentemente dalla loro ubicazione.

Nel caso di un approccio alla sicurezza incentrato sui dati, la protezione deve essere guidata dall’utente o gestita dall’amministratore per proteggere cartelle specifiche.

Se parliamo di un ambiente Cloud, le cartelle o i repository di documentazione vengono crittografati nei sistemi con O365, Box, ecc. in modo che tutto ciò che viene memorizzato in queste cartelle sia automaticamente protetto.

DLP vs IRM: come proteggere le informazioni sensibili?
 
Queste tecnologie possono funzionare integrate con strumenti di classificazione, proteggendo automaticamente i dati classificati a seconda del livello di riservatezza, DLP o CASB, facendo sì che le informazioni che viaggiano all’interno o all’esterno della rete aziendale, o del cloud, viaggino sempre protette e sotto controllo.
 

Quali controlli di sicurezza dei dati possono aiutarmi a raggiungere i miei obiettivi di protezione?

 
Dobbiamo rivedere all’interno dell’organizzazione quale sia la priorità nell’implementazione di una strategia di sicurezza incentrata sui dati:

  • Voglio iniziare a proteggere le informazioni che conservo in determinati archivi e computer senza avviare un processo di classificazione o identificazione?
  • Ho protetto alcuni dati critici, ma desidero individuare dove si trovano altri dati che potrebbero essere facilmente soggetti a perdite?
  • Ho la maggior parte dei miei dati all’interno del perimetro e voglio bloccare la sua uscita a tutti i costi?
  • Ho effettuato una rapida transizione al cloud e sono interessato ad avere controlli di sicurezza aggiuntivi rispetto a quelli offerti dalle piattaforme cloud stesse?
  • Il perimetro della mia organizzazione è più sfocato che mai, con i dati in rete e fuori dalla rete, e voglio controllare i dati ovunque viaggino?

Le risposte a queste domande ci faranno dare la priorità a una determinata tecnologia e soluzione e optare per essa.

Contattate il nostro team per ricevere una consulenza completa e personalizzata per la vostra organizzazione.