TechTarget

I sette gradini per arrivare a una policy di data loss prevention



Indirizzo copiato

Per evitare una perdita di dati serve protezione e pianificazione proattiva e reattiva della sicurezza. E serve anche scoprire come impostare una policy di DLP (Data Loss Prevention) di successo.

Pubblicato il 17 mag 2024



data loss prevention policy

Quando si perdono dei dati, l’impatto può essere devastante, anche dal punto di vista finanziario, con tanto di problemi legali e di reputazione. La lotta contro le minacce va quindi cominciata con una policy di data loss prevention ben progettata, in modo costante

Una politica DLP è un insieme di processi, procedure e strumenti per prevenire la perdita, l’uso improprio o il trasferimento non autorizzato di dati sensibili. Non è solo tecnologia, ma anche strategia e collaborazione. Servono quindi anche una buona formazione dei dipendenti e una governance dei dati per farla funzionare.

Un’idea comune sulla DLP è che sia semplicemente negativa e preventiva. Per essere efficace non deve solo erigere muri, ma gettare le basi per una maggiore innovazione e agilità. Con le giuste protezioni, utenti, analisti e sviluppatori possono esplorare, sperimentare e innovare più liberamente con i dati.

Creare una policy DLP

Questi sette passaggi sono quelli necessari per costruire una solida policy di DLP per salvaguardare le risorse di dati fondamentali e raggiungere gli obiettivi strategici. I data specialist devono classificare i dati, ricercare le fughe, creare un set di strumenti, ottenere il consenso dell’azienda e testare, preparare e monitorare per assicurarsi una protezione costante.

1. Individuare i dati sensibili

Il primo passo fondamentale nella creazione di una policy DLP è sapere quali dati proteggere. Iniziate identificando le principali categorie di dati riservati. Questi tipi di dati includono i seguenti:

  • Informazioni di identificazione personale di qualsiasi tipo.
  • Informazioni finanziarie su persone e aziende.
  • Proprietà intellettuale.
  • Dati di clienti e partner.
  • Piani aziendali, come previsioni e rapporti interni.

Va eseguita anche una verifica approfondita di tutti i sistemi di archiviazione dei dati. Esaminate i database legacy e altri archivi vulnerabili che potrebbero essere scarsamente protetti. Probabile anche la presenza di risorse non ufficiali, come cloud storage o server di fortuna, che potrebbero contenere dati sensibili. Per individuare le aree di dati nascoste, sono da consultare le unità IT, di sicurezza, legali e aziendali chiave durante l’audit.

Il risultato è un inventario classificato dei dati, mappato in posizioni specifiche e classificato per livelli di rischio. Per essere efficace, serve documento essere sempre aggiornato, quindi servono scansioni regolari per aggiornare l’inventario, soprattutto in base all’evoluzione delle esigenze organizzative e dei sistemi.

2. Individuare i rischi di fuga dei dati

Dopo aver identificato ciò che deve essere protetto, valutare come i dati sensibili potrebbero essere potenzialmente esposti. La conoscenza dei punti deboli aiuta a creare una politica DLP che sia proattiva e adattabile.

In un ambiente aziendale e tecnologico dinamico, in cui le minacce si evolvono continuamente, una politica DLP statica può fare più danni che mai.

Esistono molti modi in cui le persone potrebbero trasferire i dati al di fuori dei confini del sistema. I potenziali canali di fuga dei dati includono e-mail, cloud storage, upload sul web e dispositivi endpoint come telefoni e unità USB.

Identificare le potenziali minacce esterne e interne a questi canali di dati vulnerabili. L’analisi delle minacce fornisce informazioni sui canali a più alto rischio. Questo processo potrebbe richiedere che gli esperti di cybersecurity analizzino i rischi in dettaglio e tengano conto di varie forme di rischio.

Non ci si deve limitare a parlare di DLP solo con gli esperti di sicurezza, meglio allargare anche al personale che gestisce dati sensibili nel quotidiano. Le loro intuizioni possono rivelare punti deboli che potrebbero non essere evidenti attraverso una lente puramente tecnica, come ad esempio le cattive pratiche di archiviazione dei backup.

Dopo la valutazione, vanno classificati nuovamente i rischi in base alla loro probabilità e al loro impatto. Concentrate gli sforzi iniziali della DLP sulle vulnerabilità più critiche.

3. Scegliere gli strumenti DLP

Gli strumenti software sono un componente essenziale di una strategia DLP efficace.

I team che si occupano dei dati possono utilizzare una suite DLP dedicata o integrare i controlli nei sistemi esistenti. Gli strumenti DLP offrono funzionalità complete, ma le organizzazioni devono soppesare le funzionalità rispetto all’investimento in un nuovo software. L’integrazione della DLP negli stack di sicurezza esistenti, soprattutto se l’infrastruttura attuale è distribuita su una grande piattaforma cloud, richiede meno spese e cambiamenti, ma in genere fornisce un controllo meno granulare dei criteri.

Quando si sceglie uno strumento, bisogna considerare le seguenti funzionalità:

  • Gamma di metodi di rilevamento.
  • Capacità di affinare i criteri.
  • Flussi di lavoro per l’escalation degli incidenti.
  • Analisi.
  • Interoperabilità con lo stack di dati esistente.

Quando si configurano gli strumenti, non bisogna adottare un approccio unico. Allineare le policy e i controlli alle categorie di sensibilità e di rischio identificate nelle prime due fasi. I dati finanziari altamente sensibili richiedono controlli più severi rispetto alle comunicazioni aziendali generali. L’obiettivo è una politica DLP che garantisca la sicurezza senza ostacolare inutilmente l’agilità.

4. Creare il caso aziendale

Ora viene il momento cruciale: Creare un caso aziendale convincente per garantire l’adesione al programma DLP da parte della leadership e dei reparti interessati.

La definizione del caso in questa fase del processo di creazione della policy DLP, piuttosto che in quella precedente, consente di formulare una proposta mirata e credibile. Se si cerca di ottenere l’approvazione del piano con delle generalizzazioni piuttosto che con dei dettagli, si rischia di commettere degli errori nella definizione del budget, nella selezione degli strumenti e nel supporto. Anche le tempistiche del progetto potrebbero essere poco realistiche. Fare i compiti a casa in anticipo crea un caso più realistico per l’implementazione della politica DLP.

Il primo passo è identificare i rischi potenziali dell’organizzazione. Utilizzare statistiche aiuta, come anche studi e casi reali di fornitori o analisti per illustrare i costi finanziari e di reputazione degli incidenti di data loss

L’investimento necessario per l’implementazione della DLP deve comprendere i costi del software, della formazione ed eventualmente delle assunzioni. Confrontate i costi di implementazione con le perdite finanziarie che l’organizzazione potrebbe subire a causa di una violazione dei dati. Stabilire un possibile ritorno sull’investimento che giustifichi i costi iniziali.

Oltre a prevenire la perdita di dati, una politica DLP ben implementata può dare ai team la fiducia necessaria per innovare e migliorare la gestione dei dati. È fondamentale illustrare questi vantaggi agli stakeholder anche se non hanno un impatto finanziario quantificabile.

5. Testare la politica

È il momento di testare la policy nella pratica. L’obiettivo è convalidare le regole riducendo al minimo le interruzioni dell’attività e i falsi positivi, che possono minare la fiducia e l’adozione.

Prima di testare, stabilite una linea di base per le metriche chiave, come l’utilizzo delle risorse di sistema, i falsi positivi e le misure di esperienza dell’utente.

Iniziate con un test pilota che coinvolga un piccolo gruppo rappresentativo dell’organizzazione. Un test pilota aiuta a mostrare le prestazioni dei criteri in un ambiente reale senza influenzare l’intera azienda. Regolare le regole in base ai risultati del test.

Una volta che il team ha fiducia nella policy testata, iniziate a diffonderla in tutta l’organizzazione per fasi. Un approccio graduale consente alle organizzazioni di gestire la politica e di apportare modifiche rapide in caso di nuovi problemi.

6. Prepararsi agli incidenti

Nessun sistema è completamente sicuro. Bisogna essere pronti a rispondere a eventuali perdite di dati o accessi non autorizzati.

Un piano di risposta agli incidenti formalizzato deve delineare le procedure e le responsabilità per affrontare gli incidenti di perdita di dati. Includere le fasi di contenimento immediato, indagine e rimedio.

Il piano di risposta agli incidenti deve designare un team interfunzionale composto da membri dell’IT, dell’ufficio legale, delle comunicazioni e delle unità aziendali per rispondere agli incidenti. I membri del team devono essere formati sul loro ruolo nel processo di risposta agli incidenti. Stabilite procedure operative standard per gli scenari tipici degli incidenti, in modo che il team disponga di guide di riferimento rapido durante le crisi.

Definire le procedure di indagine forense per determinare le cause, la portata e gli effetti delle violazioni dei dati. Se necessario, stipulare contratti con specialisti per assistere nelle indagini su larga scala.

Non aspettare una crisi per testare le capacità di risposta. Simulare regolarmente incidenti con perdita di dati per verificare la preparazione, identificare le lacune del piano e adeguarsi di conseguenza.

7. Continuare a monitorare

In un ambiente aziendale e tecnologico dinamico, in cui le minacce si evolvono continuamente, una politica DLP statica può essere peggiore di una politica inesistente. Il monitoraggio continuo e l’adattamento delle policy sono fondamentali per una difesa efficace contro le minacce.

Rivedere regolarmente i dati gestiti dall’organizzazione. Le aziende aggiungono a volte nuovi tipi di dati e quelli vecchi possono cambiare di importanza. Esaminare periodicamente i repository per individuare nuove fonti di dati riservati che richiedono protezione. Anche in questo caso, è necessario adattare le policy di conseguenza.

Stabilite dei KPI per le policy, come i falsi positivi, le fughe di dati evitate e l’utilizzo delle risorse di sistema. I KPI offrono indicazioni sull’efficacia. Analizzate regolarmente i KPI per identificare i punti deboli.

Modificare le regole per allinearle ai cambiamenti dei flussi di lavoro, delle reti, dei dispositivi e del software. I criteri statici diventano obsoleti molto rapidamente. Per esempio, estendere le funzionalità DLP al cloud per adeguarle alla migrazione dei dati.

Confrontare le metriche DLP con gli standard di settore e le best practice per individuare carenze e opportunità di miglioramento. Tenere aggiornati e coinvolti regolarmente i principali stakeholder: le loro opinioni e i loro feedback sono importanti.

L’elemento umano è fondamentale per tutte le politiche aziendali. Le persone aggirano controlli troppo rigidi, spesso esponendo involontariamente i dati. Le policy devono stare al passo con le pratiche di lavoro.

Potenziali insidie nell’implementazione e nella gestione della DLP

Gli errori possono compromettere l’efficacia di un programma DLP. Le trappole più comuni sono:

  • Policy troppo complicate. Regole troppo complesse sono un peso. Mantenere le politiche il più possibile semplici.
  • Ignorare le minacce interne. Concentrarsi solo sulle minacce esterne rende l’organizzazione vulnerabile alle violazioni interne. Considerare i rischi insider sia intenzionali che non intenzionali.
  • Formazione inadeguata. I dipendenti che non sono ben informati sulle politiche possono non rispettarle.
  • Scarsa pianificazione degli incidenti. Senza un piano strutturato per gli incidenti, le risposte possono essere caotiche e inefficaci.
  • Politicy statiche. Una politica DLP che non viene regolarmente aggiornata e adattata cadrà gradualmente nell’obsolescenza.
  • Rispondere alle seguenti domande: Quali dati gestisce l’organizzazione? Dove si trova? Si tratta di dati sensibili? Farsi le stesse domande ogni settimana. È una policy dinamica

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4