Con l’abbattimento delle barriere entro le quali vengono generate, trasferite e utilizzate sempre più ingenti moli di dati sensibili relative a business e persone, l’approccio alla sicurezza (ferma restando la necessità di proteggere gli asset all’interno delle reti aziendali, con dispositivi di difesa perimetrale) non può che essere prima di tutto data-centric. Ne è sempre più convinta la società di analisi Forrester, che nel report TechRadar: Data Security and Privacy, Q4 2017 fa il punto sia sulle esigenze delle aziende in materia di security e privacy (spinte anche da frequenti ed eclatanti incidenti di sicurezza riportati sui media, oltre che dagli obblighi di compliance a nuove normative, fra le quali la General Data Protection Regulation, GDPR, che diventerà operativa nella UE nel maggio 2018) sia su venti tecnologie che permettono di affrontare in modo olistico questi problemi. Queste tecnologie sono state scelte dalla società di analisi in quanto hanno tutte la caratteristiche di mirare alla protezione dei dati, in alcuni casi integrando la sicurezza nel dato stesso: una security che il dato si può portare con sé anche quando “viaggia” all’esterno dell’azienda: in una email, in una conversazione attraverso un software di communication e collaboration, nel cloud, in laptop o dispositivi di archiviazione rimovibili.
Come prassi nella metodologia TechRadar, Forrester inserisce le tecnologie analizzate in diverse fasi di evoluzione. Da segnalare, prima di iniziare ad affrontarle, che Forrester sottolinea il fatto che spesso molte di queste tecnologie si trovano implementate all’interno di differenti soluzioni di security e non – o non solo – come soluzioni stand-alone. Questo fa sì che diversi prodotti di security oggi presenti sul mercato, acquistati e implementati separatamente dalle aziende, presentino delle sovrapposizioni di queste tecnologie (overlapping).
Tecnologie nella fase di Creazione
La prima delle fasi in cui si trovano le tecnologie analizzate nel report è quella di Creazione (Creation). Ricadono in questa categoria le Blockchain data integrity solutions e i tool di Secrets management.
- Le blockchain si configurano con contenitori in cui i dati si scrivono una volta sola (append-only), non sono ripudiabili, sono replicati in diversi store distribuiti, ma possono essere acceduti solo da chi ne ha diritto in quanto sono crittografati. Fra i vendor di soluzioni blockchain Forrester segnala Acronis, GuardTime, IBM, Thales e-Security e Tierion.
- Gli strumenti di secret management sono utilizzati per memorizzare centralmente e mettere in sicurezza informazioni confidenziali su applicazioni. Esempi sono API (Application programming interface), chiavi crittografiche, password, certificati secure socket layer (SSL) e credenziali di utenti. Queste soluzioni consentono di definire, assegnare, monitorare e revocare i diritti di accesso alle informazioni segrete. Secondo Forrester sono molto utili agli sviluppatori per rendere sicura la trasmissione di questi dati segreti tra applicazioni, compresi i container, anche quando si muovono verso e da ambienti cloud e durante i processi di DevOps. Fra i fornitori di soluzioni di secrets management, la società di analisi cita Confidant, Conjur, Docker, Hashicorp, IBM, KeyWhiz, Knox e Thales e-Security.
Tecnologie nella fase di Sopravvivenza
La tecnologie nella fase di Sopravvivenza (Survival) sono strumenti innovativi, da poco usciti dallo stadio precedente di Creazione, che vantano già una certa distribuzione commerciale e implementazione. Forrester inserisce in questa categoria quattro tipologie di soluzioni: Consent/data subject rights management, Data discovery and flow mapping, Data privacy management solutions e Secure communications. Vediamole molto in breve.
- Le soluzioni per il Consent/data subject rights management consentono alle aziende di identificare, segmentare, mascherare e cancellare singoli gruppi di dati strutturati e non strutturati in funzione di determinate esigenze. Per assolvere a questi compiti, le aziende devono sapere con chi condividono dei dati ed eventualmente poter attuare delle azioni su di essi anche se si trovano al di fuori dei firewall aziendali. I fornitori segnalati da Forrester sono: BigID, ConsentCheq, Evidon, IBM, Kudos, OneTrust, Proteus-Cyber, TrustArc e trust-hub
- Le tecnologie di Data discovery and flow mapping permettono di esaminare più risorse e repository alla scoperta di dati sensibili, quali numeri di carte di credito o, nel caso per esempio degli Usa, numeri di previdenza sociale. Per Forrester queste tecnologie hanno come prodotti “adiacenti”, ma non in grado di svolgere le stesse funzioni in ambito security e privacy dei dati, le soluzioni di storage optimization e data discovery. Fra i vendor di tecnologie di Data discovery and flow mapping si segnalano Active Navigation, ALEX Solutions, AvePoint, BigID, Covertix, Dataguise, Global IDs, Ground Labs, Heureka Software, IBM, Nuix, OneTrust, Spirion, TITUS, trust-hub e Varonis.
- Con la denominazione Data privacy management solutions si intendono tecnologie che aiutano a gestire, fare scalare, documentare e analizzare (nel senso di audit) processi legati a programmi di protezione della privacy. Forrester segnala i seguenti vendor: Nymity, OneTrust, Proteus-Cyber e TrustArc.
- La soluzioni di Secure communications hanno come obiettivo fornire, in modo più sicuro, controllabile e standardizzato a livello aziendale, quelle funzionalità di comunicazione che oggi gli utenti trovano in servizi consumer quali Snapchat e WhatsApp. Fornitori inclusi da Forrester: CellTrust, Confide, Dispel, KoolSpan, Signal, Silent Circle, Vaporstream e Wickr.
Tecnologie nella fase di Crescita
Sono sette le tecnologie che TechRadar: Data Security and Privacy, Q4 2017 inserisce fra quelle nello stadio di Crescita (Growth), che si raggiunge quando la diversificazione e la robustezza delle soluzioni sono ormai in grado di soddisfare le esigenze di un mercato molto ampio. In maggioranza si tratta di tecnologie già ben conosciute, con un vasto numero di vendor, per cui si limiteremo a una trattazione più succinta.
- La prima è quella dell’Application-level encryption. L’obiettivo principale di questa tecnologia è rendere possibile la crittografia dei dati laddove questi sono generati e processati nelle applicazioni. Le soluzioni di Application-level encryption aiutano gli sviluppatori a integrare l’encryption e il key management nello sviluppo di nuove applicazioni e prima del loro rilascio.
- La seconda tecnologia in Growth è la Big Data encryption, l’evoluzione di quella che precedentemente la società di analisi chiamava database encryption and masking. L’innovazione riflette la crescita dell’importanza dei big data, memorizzati in appositi store.
- Crescono anche le tecnologie per la Cloud data protection (Cdp), che permettono di verificare e rinforzare la sicurezza dei dati che risiedono sui cloud (anche per obiettivi di compliance),
- e quelle di Data access government, tool che aiutano a chiudere il gap di visibilità e controllo fra le identità (di chi accede) e i dati. Fra gli obiettivi, permettere ai responsabili della sicurezza e della privacy di continuare a gestire efficacemente i privilegi a fronte di volumi di dati che crescono in modo esponenziale.
- Ricadono nella fase Growth anche tecnologie specificatamente dedicate alla Data classification, che risultano critiche per il successo di altre soluzioni di data security, come quelle di Data loss prevention (DLP), di rights management e di encryption.
- Ecco quindi le tecnologie di Enterprise key management (EKM), che consentono di memorizzare, distribuire, rinnovare e ritirare chiavi crittografiche in ambienti di grandi dimensioni con diversi prodotti di encryption utilizzati.
- Ultima tecnologia citata in questa parte del report è la Tokenization, che permette agli utenti di applicazioni critiche (come quelle di pagamento) di accedere in una prima fase solo con l’ID e la password, e quindi di dover inserire un codice valido sono una volta ricevuto via sms o generato da un device fisico.
Tecnologie nella fase di Equilibrio
Troviamo, infine, nella categoria delle tecnologie di data security e privacy che Forrester definisce nella fase di Equilibrio (Equilibrium), utilizzate da decenni e con ampi ecosistemi di fornitori e integratori:
- l’Archiving (i sistemi storage, che consentono una sicurezza maggiore della memorizzazione dei dati in luoghi parcellizzati),
- la Data loss prevention (costituita da una varietà di soluzioni per impedire la fuoriuscita fraudolenta di dati da email server, siti web, pc e dispositivi mobili),
- l’Email encryption, l’Enterprise rights management (ERM; soluzioni che controllano l’uso, la circolazione e la compartimentazione di documenti prodotti in un’azienda),
- la File-level encryption,
- la Full disk encryption
- i Managed file transfer.