I dati per ogni azienda sono una componente fondamentale del business. Per questo motivo è necessario investire nelle soluzioni più utili a prevenire perdite o furti di informazioni sensibili. In aggiunta ai classici sistemi di DLP (Data Loss Prevention), esistono diverse tecnologie di supporto che possono contribuire ulteriormente alla cyber-sicurezza aziendale. Tra le varie soluzioni di mercato, glli esperti hanno compilato una lista delle 5 più importanti che offrono il supporto necessario a potenziare la protezione delle informazioni.
#1 Crittografia
La crittografia delle e-mail e dei file rappresenta una tecnologia di sicurezza specializzata per proteggere la riservatezza e l’integrità di messaggi e allegati o per impedire l’accesso a informazioni sensibili. Ecco perché è il primo potente alleato che le aziende devono tenere in considerazione in un’ottica di tutela del patrimonio informativo.
Fino a pochi anni fa il metodo crittografico consisteva nell’utilizzo di un’unica chiave sia per proteggere il messaggio che per renderlo nuovamente leggibile. Nel corso del tempo la tecnica crittografica si è notevolmente evoluta e oggi si utilizzano chiavi diverse per cifrare e per decifrare le informazioni.. Questo ha semplificato i processi, in quanto non è necessario nascondere le chiavi o le password: esiste una chiave per crittografare, che chiunque può vedere, e una per decifrare, che conosce solo il destinatario senza necessità quindi di riceverla (scambiarla) dal mittente. Le applicazioni della crittografia moderna sono diffuse nell’ambito informatico e telecomunicazionistico in tutti casi in cui è richiesta confidenzialità dei dati ad esempio in messaggi e file presenti su supporti di memorizzazione, nelle comunicazioni wireless per garantire la confidenzialità (ad es. WEP e WPA), nella Rete Internet per oscurare la comunicazione dati in transito tra client e server (protocolli SSH, SSL/TSL, HTTPS, IPsec), nelle transazioni finanziarie-bancarie (home banking), nella pay per view per impedire la visione di contenuti audiovisivi a pagamento ai non abbonati
#2 Mobile device management
Scegliere una soluzione di mobile device management può aiutare a prevenire la perdita di dati nel caso in cui i prodotti Data Loss Prevention in uso non abbiano già integrata un’applicazione per la protezione dei dispositivi mobili. Gli IT manager devono scegliere se cavalcare l’onda della mobility o lasciare che ciascun utente si organizzi autonomamente, utilizzando soluzioni personali fuori da qualunque controllo aziendale. Per aiutare gli utenti a lavorare come e dove preferiscono è necessario definire le linee della governance utilizzando piattaforme di nuoav generazione che, pur supportarndo la produttività individuale, mantengono elevati i pardigmi di presidio e di controllo. Integrare in una startegia di Mobile Device Management l’instradamento dei flussi applicativi in tunnel cifrati, ad esempio, aiuta a gestire meglio la sicurezza.
La creazione di una VPN SSL (Secure Sockets Layer), infatti, garantisce il controllo degli accessi ma anche delle interazioni in ambito applicativo e di servizio. L’SSL, attraverso la creazione di un tunnel cifrato e quindi più sicuro, è in grado di abilitare i collegamenti ad applicazioni specifiche, aumentando i livelli della governance. Non a caso, dunque, questo approccio è stato esteso a smartphone e tablet di qualsiasi tipo.
#3 Role-Based Access Control
Il controllo di accesso basato sui ruoli (RBAC – Role-based Access Control) consente agli amministratori di creare un sistema di accesso ristretto alle informazioni sensibili solo per utenti autorizzati. Sulla base delle diverse funzioni professionali vengono così accordati i permessi per eseguire specifiche operazioni e accedere a determinati dati legati alle singole attività. Ciò è particolarmente importante nella prevenzione della perdita di dati perché evita che personale non più idoneo rimanga autorizzato ad accedere a determinate informazioni sensibili (come nel caso in cui il dipendente abbia cambiato ruolo e quindi funzioni professionali).
All’interno di una organizzazione i ruoli sono creati per diverse funzioni di lavoro. I permessi per eseguire specifiche operazioni sono assegnate a specifici ruoli. Ai membri di un gruppo sono assegnati particolari ruoli e, attraverso queste assegnazioni, questi acquisiscono il permesso di eseguire specifiche funzioni. Poiché i permessi non sono assegnati direttamente agli utenti ma vengono acquisiti solo tramite il ruolo (o i ruoli) ad essi assegnati, la gestione dei diritti individuali per un utente diventa una semplice assegnazione dei ruoli appropriati per l’utente stesso. Questo semplifica le operazioni comuni, come l’aggiunta di un utente o il cambio di dipartimento.
Le tre regole fondamentali di un modello RBAC:
1. Assegnazione dei ruoli: un soggetto può eseguire una transazione solo se il soggetto ha selezionato o è stato assegnato ad un ruolo.
2. Autorizzazione dei ruoli: un ruolo attivo per un soggetto deve essere stato autorizzato per il soggetto. Insieme alla regola 1 questa regola garantisce che gli utenti possono avere esclusivamente ruoli ai quali sono stati autorizzati.
3. Autorizzazione alla transazione: un soggetto può eseguire una transazione solo se la transazione è autorizzata per il ruolo attivo del soggetto. Insieme alle regole 1 e 2 questa regola garantisce che l’utente possa eseguire solo transazioni alle quali è stato autorizzato.
Possono anche essere applicati vincoli aggiuntivi ed i ruoli possono essere combinati in una gerarchia dove livelli più alti sono composti dai permessi dei ruoli dei livelli inferiori.
#4 Digital Rights Management
La gestione dei diritti digitali rappresenta quell’insieme di sistemi tecnologici utili a tutelare, esercitare e amministrare i diritti d’autore sul piano digitale. Occorre pensate al Digital Rights Management – e in particolare all’Information Rights Management (IRM) – come a un sottoinsieme limitato di funzionalità di Data Loss Prevention.
I prodotti di Information Rights Management spesso riguardano solo un particolare tipo di condivisione delle informazioni che avviene attraverso specifiche applicazioni, come Microsoft Office, Exchange / Outlook e SharePoint. A questo propoisto l’Information Rights Management (IRM) consente agli autori di contenuti di controllare in modo centralizzato le azioni che gli utenti possono eseguire sui documenti scaricati da raccolte documenti come, ad esempio, con Microsoft SharePoint Server 2010. In questo caso l’IRM crittografa i file scaricati e definisce limitazioni in relazione agli utenti e ai programmi autorizzati a decrittografare tali file, nonché ai diritti degli utenti autorizzati a leggere i file in modo che non possano eseguire azioni quali stamparne copie o copiarne il testo.
Come spiegano gli esperti, questi sistemi possono evitare che un utente non autorizzato acceda a informazioni sensibili attraverso prove di accesso tradizionali, ma potrebbero non essere in grado di affrontare tentativi di furto più sofisticati.
#5 Condivisione protetta dei file
Nel caso in cui i dipendenti debbano inviare file di notevoli dimensioni all’esterno dell’azienda, per praticità, spesso optano per siti di file-sharing basati sul cloud. La protezione dei dati che transitano su circuiti esterni all’azienda e gestiti da provider di calibro internazionale su soluzioni di public cloud vanno comunque presidiati. Pertanto è essenziale condurre un esame approfondito della sicurezza del vostro provider affinché possa garantire una buona governance, preferibilmente nei confronti di un comprovato standard, come ISO 27001. Se non potete effettuarli da soli, i fornitori di servizi dovrebbero essere in grado di fornirvi i risultati di verifiche indipendenti e di penetration test.
In ogni caso, per valutare il livello di sicurezza che un provider cloud mette a disposizione, le certificazioni e normative a cui questo risponde non bastano. Un’azienda che non vuole grattacapi in futuro è sempre bene che convalidi le certificazioni che vengono offerte dal provider e ne controlli l’effettiva validità e valuti se queste corrispondono alle proprie esigenze di sicurezza. Per fare questo un’azienda dovrebbe affidarsi a un consulente di terze parti che possa svolgere in totale indipendenza questo controllo.
Come punto di partenza, il fornitore di cloud dovrebbe rispondere al questionario predisposto dalla Cloud Security Alliance, ovvero un elenco di domande che aziende e revisori dei conti dovrebbero sottoporre al potenziale fornitore di cloud. Inoltre, le aziende, dovrebbero sempre chiedere il massimo della trasparenza sulle pratiche di sicurezza del loro fornitore di cloud e, dove è possibile, mettere nero su bianco queste informazioni nel contratto di fornitura.
In generale, per evitare che l’utilizzo di questi strumenti comporti il rischio di una perdita dei dati occorre fornire al personale una soluzione di condivisione cloud-based che possa garantire all’azienda il controllo sulle informazioni sensibili, pur mantenendo la praticità di utilizzo tipica di questi strumenti. Un esempio può essere Proofpoint Secure Share.
