Data Loss Prevention: di cosa si tratta e come attuarla. La protezione dei dati è diventata una delle attività più importanti per l’IT delle organizzazioni. Nell’era del digitale, i dati costituiscono il principale valore di cui le aziende dispongono per strutturare tutte le attività di business.
In questo contesto, sta emergendo in maniera sempre più importante l’esigenza di una strategia di Data Loss Prevention, capace di contrastare sia le minacce sul fronte della sicurezza informatica, in cui prevale l’agente doloso, che i rischi di perdita accidentale dei dati, dovuti ad un comportamento non corretto degli utenti o ad un malfunzionamento dei sistemi hardware/software.
Vediamo pertanto in cosa consiste la data loss prevention, quali sono gli elementi strategici che la caratterizzano e quali sono le principali soluzioni che oggi è possibile implementare in azienda.
Data Loss Prevention: cosa si intende?
Una definizione sintetica e al tempo stesso molto completa di data loss prevention è offerta da Wikipedia: “Data Loss Prevention (DLP) è un termine di sicurezza informatica che fa riferimento a tecniche e sistemi che identificano, monitorano e proteggono i dati in uso (ad esempio azioni degli endpoint), i dati in movimento (ad esempio azioni di rete), e dati a riposo (ad esempio la memorizzazione dei dati) all’interno o all’esterno dell’azienda, con il fine di individuare e prevenire l’uso non autorizzato e la trasmissione di informazioni riservate. La perdita dei dati può essere causata sia da attacchi informatici che da errori involontari che possono rendere disponibili dati sensibili. Con dati sensibili si intendono tutte quelle informazioni (sia di privati che di aziende) che riguardano la proprietà intellettuale, informazioni finanziarie o brevetti, dati di carte di credito o altri tipi di dati importanti per aziende o singoli individui”.
In questo contesto, è importante ricordare la straordinaria varietà che caratterizza i dati digitali con cui i sistemi aziendali si interfacciano ogni giorno. Da un lato abbiamo i cosiddetti dati strutturati, tipici dei database, a cui si affiancano i dati non strutturati, come i file multimediali, per cui sono previsti sistemi di gestione totalmente differenti.
Oggi le aziende devono saper valorizzare un patrimonio di dati estremamente eterogeneo, e farlo con una valenza strategica in funzione degli obiettivi di business prefissati. È innanzitutto fondamentale considerare come non tutti i dati presenti sui sistemi aziendali godano della stessa rilevanza in termini di riservatezza e criticità. Occorre quindi agire in maniera selettiva, anche in funzione di ottimizzare le risorse necessarie per dare concretezza ad una adeguata strategia di data loss prevention.
In ogni caso è opportuno ridurre la possibilità che il dato venga perso, sia esso trafugato da malintenzionati (data leak) o perso non intenzionalmente (data loss), tenendo presente l’impatto economico che può avere sull’azienda.
Cosa mette a rischio i dati?
L’integrità dei dati può essere messa a rischio sia in maniera intenzionale, quando avviene una violazione da parte dei cybercriminali che se ne impossessano in maniera illecita (data leak), che in maniera non intenzionale, a causa di errori umani o malfunzionamento dei sistemi IT (data loss).
Il cybercrime, in particolare grazie alla minaccia ransomware (qui la guida completa sul tema), è diventato un’autentica spada di Damocle sulla testa delle aziende, ormai costrette a considerare la cybersecurity non come una semplice voce di costo, ma come una componente in grado di generare valore aggiunto per garantire la salvaguardia stessa del business.
Ogni giorno i media ci informano in merito ad attacchi di varia entità condotti nei confronti di enti pubblici e privati, in tutti i settori di business, con una particolare preferenza per i mercati più ricchi in termini di fatturato d’azienda o di responsabilità nel ruolo che ricoprono. Si pensi a chi eroga servizi finanziari, garantisce la fornitura dell’energia o i servizi legati alla sanità.
Strategie di data loss prevention
Per garantire la salvaguardia dei dati aziendali è necessario pianificare ed eseguire in maniera concreta una consapevole strategia di data loss prevention, capace di comprendere almeno i seguenti step.
- Definire i domini. Fase di ascolto e ricognizione utile a conoscere gli stati relativi alla conservazione e all’utilizzo dei dati, sia in funzione di quelli che sono gli aspetti tipicamente IT, che per quanto concerne l’effettivo impiego da parte delle linee di business aziendali, ai fini di realizzare una mappatura dei processi di business in funzione dei dati con cui interagiscono. La definizione dei domini rappresenta pertanto una fase analitica orientata alla conoscenza, anche per individuare con chiarezza quali sono i dati più critici, quelli che in caso di violazione potrebbero influenzare in maniera decisamente negativa le sorti del business stesso.
- Verificare del piano di backup & recovery. Oltre ad accertarsi della sua esistenza, è opportuno verificare in maniera capillare lo stato della sua implementazione nei processi aziendali, per garantire a tutte le linee di business la possibilità di rientrare quanto prima in possesso dei dati nel caso in cui si verifichi un incidente. Il piano va inoltre perfezionato per garantire l’isolamento delle zone più critiche, l’effettiva ridondanza dei backup e l’eventualità di tenere almeno alcune risorse del tutto offline.
- Vulnerability assessment. Una volta ben nota la mappatura dei dati e dei sistemi IT è opportuno eseguire apposite operazioni per individuare e correggere le eventuali vulnerabilità a livello di rete e applicazioni. Le scansioni utili ad individuare le falle presenti riprendono sostanzialmente gli stessi metodi e le stesse tecniche utilizzate dagli attaccanti.
- Incident response. Per quanto i sistemi e i dati siano al sicuro e puntualmente monitorati, nessuno potrà garantire la loro totale integrità. Minimizzare i rischi non è sufficiente ad escludere l’eventualità che un attacco informatico vada a segno. È pertanto necessario farsi trovare pronti, con un vero e proprio piano di incident response, capace di mitigare e rimediare i possibili effetti di un’azione cybercriminale.
Per rivelarsi efficienti nel garantire la continuità di business aziendale, i sistemi di data loss protection (DLP) devono necessariamente proteggere i dati nelle loro tre condizioni di stato:
- Data in Transit Protection: si riferisce al dato nella sua condizione di transito nella rete privata aziendale o nella rete internet, focalizzando l’attenzione sulla sicurezza del percorso, prima ancora che sul dato stesso.
- Data in Use Protection: il dato in uso è inteso nella condizione di modifica e aggiornamento da parte di utenti ed applicazioni e può coinvolgere vari stadi di criticità. La protezione è soprattutto nei confronti degli attacchi esterni, a partire dall’individuazione delle potenziali vulnerabilità presenti nella rete e nelle applicazioni.
- Data at Rest protection: rappresenta tutto l’ambito di attività previste per proteggere i dati archiviati negli storage aziendali, on-premise e in cloud. Il fatto che il dato sia “dormiente” non implica che sia sicuro. Spesso i cybercriminali utilizzano movimenti laterali per accedere alle copie di backup, in quanto ben consci che godano di minori attenzioni rispetto ai sistemi destinati all’utilizzo corrente. Un errore spesso pagato a caro prezzo, in quanto causa di possibili data leak.
Strumenti di data loss prevention
Una strategia complessa come quella richiesta dalla data loss prevention necessita di un ecosistemi di strumenti molto ampio e variegato, per automatizzare una serie di operazioni di routine per assicurare i dati sensibili dai possibili data leak e data loss a cui possono essere soggetti.
Tra le piattaforme software più ricorrenti nell’ambito della data loss protection ritroviamo i SIEM, essenziali nell’azione di monitoraggio, per correlare gli eventi generati da molte fonti diverse, le stesse da cui vengono acquisiti i dati da analizzare in tempo reale.
Per quanto riguarda i device in dotazione al personale dipendente è essenziale disporre di sistemi Endpoint Detection and Response (EDR) con funzioni anti-malware supportate da tecniche di intelligenza artificiale.
Per monitorare lo stato della rete è opportuno utilizzare una soluzione di IDS (Intrusion Detection System) capace di assicurare un’adeguata protezione sia all’interno che all’esterno della rete stessa.
Nell’implementazione di tecnologie innovative per supportare una strategia di data loss protection non si deve trascurare né l’ambito tecnico-normativo del dato, né le policy necessarie per assicurare la conformità ai disposti normativi in merito alla conservazione e al trattamento dei dati (normativa GDPR).