You are here:
  1. Home
  2. Servizi IT
  3. Servizio Data Loss Prevention

Servizio di Data Loss Prevention

Perché sceglierci?

I dati per ogni azienda sono una componente fondamentale del business.
Sappiamo che i mezzi di comunicazione e le tecnologie oggi presenti nelle infrastrutture IT aziendali permettono di accedere alle informazioni in maniera molto più rapida ed efficiente, ma allo stesso modo hanno reso più difficile, se non impossibile, il controllo dei flussi attraverso strumenti standard di sicurezza.

Per questo motivo diventa necessario investire in soluzioni utili a prevenire perdite o furti di informazioni sensibili. In aggiunta e integrazione ai classici sistemi di protezione  esistono diverse tecnologie di supporto che possono contribuire ulteriormente alla cyber-sicurezza aziendale.

Il Data Loss Prevention rappresenta quindi l’approccio grazie al quale è possibile controllare i dati in base ai contenuti indipendentemente da dove il dato risieda o transiti.
Le soluzioni adottabili si classificano principalmente in  importanti punti  che uniti o combinati offrono il supporto necessario a potenziare la protezione delle informazioni.

Crittografia

Proteggere la riservatezza e l’integrità di messaggi

La crittografia delle e-mail e dei file rappresenta una tecnologia di sicurezza specializzata per proteggere la riservatezza e l’integrità di messaggi e allegati o per impedire l’accesso a informazioni sensibili.

Ecco perché è il primo potente alleato che le aziende devono tenere in considerazione in un’ottica di tutela del patrimonio informativo. Fino a pochi anni fa il metodo crittografico consisteva nell’utilizzo di un’unica chiave sia per proteggere il messaggio che per renderlo nuovamente leggibile. Nel corso del tempo la tecnica crittografica si è notevolmente evoluta ed oggi si utilizzano chiavi diverse per cifrare e per decifrare le informazioni.

 

Questo ha semplificato i processi, in quanto non è necessario nascondere le chiavi o le password: esiste una chiave per crittografare, che chiunque può vedere, e una per decifrare, che conosce solo il destinatario senza necessità quindi di riceverla (scambiarla) dal mittente. Le applicazioni della crittografia moderna sono diffuse nell’ambito informatico e delle telecomunicazioni in tutti casi in cui è richiesta confidenzialità dei dati ad esempio in messaggi e file presenti su supporti di memorizzazione, nelle comunicazioni wireless per garantire la confidenzialità (ad es. WEP e WPA), nella Rete Internet per oscurare la comunicazione dati in transito tra client e server (protocolli SSH, SSL/TSL, HTTPS, IPsec), nelle transazioni finanziarie-bancarie (home banking), nella pay per view per impedire la visione di contenuti audiovisivi a pagamento ai non abbonati.

Mobile Device Management

Garantisce il controllo degli accessi

Scegliere una soluzione di mobile device management può aiutare a prevenire la perdita di dati nel caso in cui i prodotti Data Loss Prevention in uso non abbiano già integrata un’applicazione per la protezione dei dispositivi mobili. Gli IT manager devono scegliere se cavalcare l’onda della mobility o lasciare che ciascun utente si organizzi autonomamente, utilizzando soluzioni personali fuori da qualunque controllo aziendale. Per aiutare gli utenti a lavorare come e dove preferiscono è necessario definire le linee della governance utilizzando piattaforme di nuova generazione che, pur supportarndo la produttività individuale, mantengono elevati le policy di presidio e di controllo. Integrare in una startegia di Mobile Device Management l’instradamento dei flussi applicativi in tunnel cifrati, ad esempio, aiuta a gestire meglio la sicurezza.

 

La creazione di una VPN SSL (Secure Sockets Layer)  garantisce il controllo degli accessi ma anche delle interazioni in ambito applicativo e di servizio. L’SSL, attraverso la creazione di un tunnel cifrato e quindi più sicuro, è in grado di abilitare i collegamenti ad applicazioni specifiche, aumentando i livelli della governance. Non a caso questo approccio è stato esteso a smartphone e tablet di qualsiasi tipo.

Role-Based Access Control

Prevenire la perdita dei dati

Il controllo di accesso basato sui ruoli (RBAC – Role-based Access Control) consente agli amministratori di creare un sistema di accesso ristretto alle informazioni sensibili solo per utenti autorizzati. Sulla base delle diverse funzioni professionali vengono così accordati i permessi per eseguire specifiche operazioni e accedere a determinati dati legati alle singole attività. Ciò è particolarmente importante nella prevenzione della perdita di dati perché evita che personale non più idoneo rimanga autorizzato ad accedere a determinate informazioni sensibili (come nel caso in cui il dipendente abbia cambiato ruolo e quindi funzioni professionali).

All’interno di una organizzazione i ruoli sono creati per diverse funzioni di lavoro. I permessi per eseguire specifiche operazioni sono assegnate a specifici ruoli. Ai membri di un gruppo sono assegnati particolari ruoli e, attraverso queste assegnazioni, questi acquisiscono il permesso di eseguire specifiche funzioni. Poiché i permessi non sono assegnati direttamente agli utenti ma vengono acquisiti solo tramite il ruolo (o i ruoli) ad essi assegnati, la gestione dei diritti individuali per un utente diventa una semplice assegnazione dei ruoli appropriati per l’utente stesso. Questo semplifica le operazioni comuni, come l’aggiunta di un utente o il cambio di reparto.

Le tre regole fondamentali di un modello RBAC:

  1. Assegnazione dei ruoli: un soggetto può eseguire una transazione solo se il soggetto ha selezionato o è stato assegnato ad un ruolo.
  2. Autorizzazione dei ruoli: un ruolo attivo per un soggetto deve essere stato autorizzato per il soggetto. Insieme alla regola 1 questa regola garantisce che gli utenti possono avere esclusivamente ruoli ai quali sono stati autorizzati.
  3. Autorizzazione alla transazione: un soggetto può eseguire una transazione solo se la transazione è autorizzata per il ruolo attivo del soggetto. Insieme alle regole 1 e 2 questa regola garantisce che l’utente possa eseguire solo transazioni alle quali è stato autorizzato.

Possono anche essere applicati vincoli aggiuntivi ed i ruoli possono essere combinati in una gerarchia dove livelli più alti sono composti dai permessi dei ruoli dei livelli inferiori.

Digital Rights Management

La gestione dei diritti digitali rappresenta quell’insieme di sistemi tecnologici utili a tutelare, esercitare e amministrare i diritti d’autore sul piano digitale. Occorre pensare al Digital Rights Management – e in particolare all’Information Rights Management (IRM) – come ad un sottoinsieme limitato di funzionalità di Data Loss Prevention.

I prodotti di Information Rights Management spesso riguardano solo un particolare tipo di condivisione delle informazioni che avviene attraverso specifiche applicazioni, come Microsoft Office, Exchange / Outlook e SharePoint. A questo proposito l’Information Rights Management (IRM) consente agli autori di contenuti di controllare in modo centralizzato le azioni che gli utenti possono eseguire sui documenti scaricati da raccolte documenti come, ad esempio, con Microsoft SharePoint Server 2010. In questo caso l’IRM crittografa i file scaricati e definisce limitazioni in relazione agli utenti e ai programmi autorizzati a decrittografare tali file, nonché ai diritti degli utenti autorizzati a leggere i file in modo che non possano eseguire azioni quali stamparne copie o copiarne il testo.

Condivisione protetta dei file

Nel caso in cui i dipendenti debbano inviare file di notevoli dimensioni all’esterno dell’azienda, per praticità, spesso optano per siti di file-sharing basati sul cloud. La protezione dei dati che transitano su circuiti esterni all’azienda e gestiti da provider di calibro internazionale su soluzioni di public cloud vanno comunque presidiati. Pertanto è essenziale condurre un esame approfondito della sicurezza del vostro provider affinché possa garantire una buona governance di sicurezza. Se internamente all’ azienda non esistono risorse per effettuare tali verifiche, i fornitori di servizi dovrebbero essere in grado di fornirvi i risultati di verifiche indipendenti e di penetration test. In ogni caso, per valutare il livello di sicurezza che un provider cloud mette a disposizione, le certificazioni e normative a cui questo risponde non bastano.

Un’azienda che non vuole grattacapi in futuro è sempre bene che convalidi le certificazioni che vengono offerte dal provider e ne controlli l’effettiva validità e valuti se queste corrispondono alle proprie esigenze di sicurezza. Per fare questo un’azienda dovrebbe affidarsi a un consulente di terze parti che possa svolgere in totale indipendenza questo controllo.

dataloss-1

Il DLP richiede importanti risorse interne che devono essere sempre gestite e mantenute.

dataloss-2

Il DLP richiede almeno un periodo di 18 mesi per fornire risultati ed indicazioni.

dataloss-3

Il DLP richiede una pianificazione iniziale per la creazione delle policy.