Opinioni

Salvaguardare i dati sensibili? E’ una questione di fiducia

In che modo le organizzazioni possono instaurare un rapporto di fiducia con i propri dipendenti e collaboratori rispetto alla protezione di dati e informazioni? E’ necessario un approccio in due fasi: coinvolgere l’utente nel processo di sicurezza e usare sistemi di crittografia forte

Pubblicato il 20 Feb 2013

sicurezza-121130123702

“Questo non accadrà a noi, perché è sempre stata una questione di fiducia” cantava Billy Joel nel 1986 in “A Matter Of Trust”.

E’ una frase che potrebbe facilmente descrivere l’approccio che molte organizzazioni hanno adottato nel corso degli ultimi cinque anni per tutelare i dati personali e riservati di cui vengono in possesso.

Rilevazioni internazionali mostrano come il numero di violazioni di dati nell’ultimo quinquennio sia generalmente decuplicato, con una conseguente forte riduzione della fiducia generale da parte degli utenti nella capacità di salvaguardare le informazioni personali – da parte sia di aziende private che di organizzazioni pubbliche.

Un sondaggio effettuato lo scorso dicembre 2012 su un campione di oltre 2.000 aziende del settore pubblico nel Regno Unito ha mostrato come per il 50% degli intervistati la fiducia nel governo ed organismi del settore pubblico fosse diminuita a causa di violazioni e perdite di dati personali, mentre parallelamente il 44% riportava lo stesso calo di fiducia verso le aziende private.


Di chi ci si può fidare?
Va detto che la maggior parte dei “lavoratori della conoscenza” non sempre adotta le stesse precauzioni che consiglia nelle proprie practice di lavoro.

La stessa indagine ha rilevato che il 34% dei lavoratori invia regolarmente documenti e file ai propri indirizzi email personali, in modo da poter continuare a lavorare anche fuori dall’ufficio.

Il 40% degli intervistati inoltre controlla regolarmente la posta elettronica di lavoro dal proprio telefonino, tablet o computer portatile personali mentre il 33% trasferisce dati di lavoro su chiavette di memoria USB non crittografate e – infine – il 17% utilizza servizi di cloud storage insicuri.

Inoltre, il 25% dei lavoratori dichiara di comportarsi in questo modo nonostante le policy IT della propria azienda lo vietino, mentre un ulteriore 23% non è neppure a conoscenza di ciò che le regole aziendali prescrivono.

Naturalmente nella maggior parte dei casi non vi è alcun dolo da parte del dipendente, che in genere è concentrato sullo svolgimento efficace del proprio lavoro e non certo sulla possibilità che qualche dato vada perso. Ma questo produce l’effetto perverso di innalzare la pericolosità – in termini di sicurezza – di tali azioni.

Nell’odierno clima di business sempre più ricco di regole, le organizzazioni non possono permettersi di essere imprudenti mettendo a repentaglio la propria reputazione, incorrendo in costi maggiori e rischiando inoltre di perdere credibilità.

Ma come possono le aziende colmare questo “gap di fiducia” in modo da poter serenamente affidare ai propri dipendenti dati da gestire in modo responsabile, proteggendosi contro semplici errori umani quali lo smarrimento di un laptop o uno smartphone o magari un errore nel digitare un indirizzo email? E come fare a dimostrare a soggetti esterni la propria attendibilità?


Un approccio in due fasi
E’ necessaria una soluzione che preveda due fasi: una che educhi gli utenti in tempo reale sulle loro azioni e un’altra che garantisca sicurezza, senza che l’utente sia in grado di condizionarla o renderla inefficace. Procediamo per gradi: vediamo prima come possono essere bloccate le violazioni di dati via email, successivamente come proteggere invece i dati relativi ai documenti, indipendentemente dal mezzo o dispositivo su cui vengono inviati o trattati.


Quando l’email conta
Le tradizionali soluzioni di Data Loss Prevention (DLP) hanno già cercato di affrontare la questione email ottenendo però scarsi risultati.

Di solito impiegano molto tempo per essere impostate e necessitano di settimane di training intenso perché la soluzione possa classificare accuratamente i dati sensibili e i file di un’azienda, oltre a richiedere un coinvolgimento ed eventuale intervento del personale IT, sia per consentirne l’accesso che per bloccare account email di utenti.

Un approccio differente è legato alla possibilità di coinvolgere i singoli dipendenti nel processo di sicurezza. Questo non solo aumenta la loro consapevolezza sul corretto utilizzo della posta elettronica ma rende anche la DLP una soluzione veramente preventiva, avvisando l’utente prima dell’invio di un messaggio di posta elettronica e avvertendolo dei possibili incidenti di perdita dati.

Normalmente un utente dopo aver composto il proprio messaggio email inserisce il destinatario e clicca “invia”.

La soluzione DLP dovrebbe analizzare il corpo dell’email, gli eventuali allegati e l’indirizzo del destinatario confrontandoli con una serie di caratteristiche predefinite per identificarne i dati potenzialmente sensibili.

Ciò potrebbe includere – ad esempio – alcune parole chiave nel corpo del testo email quali ‘report, ‘finanziario’, ‘confidenziale, ‘riservato’ e così via.

Anche i file allegati devono essere analizzati. Se la soluzione DLP rileva una potenziale violazione in base a questa analisi, automaticamente sostituisce l’istruzione ‘invia’ e mostra all’utente una finestra pop-up che lo informa del rischio potenziale e contestualmente gli chiede come desidera procedere. L’utente a questo punto decide se:

  1. inviare l’email ed i relativi allegati così come sono
  2. correggere il corpo del testo o rimuovere gli allegati sospetti.

Oltre a lasciare in parte la decisione all’utente, incoraggiandolo a rivedere ciò che ha in programma di inviare e a chi, la soluzione DLP conserva una traccia delle azioni effettuate, fornendo una base per una successiva analisi.

Questo aumenta la responsabilità dell’utente, e aiuta a correggere eventuali problemi di sicurezza prima che un incidente accada.


Solo per i tuoi occhi
Naturalmente i messaggi email non rappresentano l’unico possibile vettore di perdita dati.

Documenti ed altri file si trovano generalmente distribuiti nelle caselle di posta elettronica, spesso replicate anche sugli smartphone, ma anche su PC portatili, caselle di webmail o altre applicazioni cloud, oltre a supporti storage rimovibili.

Questo moltiplica le probabilità che documenti non protetti di particolare delicatezza vadano “fuori strada”, soprattutto perché la crittografia di un intero dispositivo non è sempre possibile.

La sicurezza dei documenti viene tradizionalmente garantita tramite password. Questo tuttavia non offre quasi nessuna difesa da strumenti online – liberamente disponibili – progettati proprio per individuare le password dei file.

Ciò che serve, invece, è un metodo di messa in sicurezza dei file utilizzando una crittografia forte, ma che al contempo garantisca l’accesso a questi file in base alle autorizzazioni degli utenti.

Ciò consentirebbe ai documenti nei vari formati (fogli di calcolo Excel, Word, PowerPoint e file Acrobat, e altri) di essere creati e messi insicurezza, con diritti di accesso differenti e assegnati a diversi utenti o gruppi di utenti. Una caratteristica predefinita di base dovrebbe essere quella di garantire che i documenti possano essere letti solo da personale autorizzato.

Gli utenti possono quindi accedere o visionare documenti una volta avute le necessarie autorizzazioni impostate dall’autore o dall’azienda.

Ad esempio, solo il personale addetto alle HR o nel reparto finance potrebbe essere in grado di accedere e modificare alcuni file con le proprie credenziali, con la certezza di utilizzare il client corretto sul proprio dispositivo, con tanto di nome utente e password.

I documenti possono anche essere condivisi al di fuori dell’organizzazione, con alcune restrizioni sul loro utilizzo – e visualizzate sia “nella nuvola” (una volta ottenuto l’accesso al servizio cloud utilizzando le relative credenziali) o grazie ad un client sicuro sul PC o dispositivo dell’utente.
Questo approccio in due fasi per la gestione dei dati e la prevenzione delle perdite impedisce l’accesso ai più comuni vettori di violazioni dei dati, comunicando e rafforzando – al contempo – l’applicazione di criteri di protezione dell’organizzazione verso i dipendenti e affidando loro qualche responsabilità in più sulle loro azioni. In questo modo le aziende possono altresì rafforzare il rapporto di fiducia con gli stakeholder. Dopo tutto, un buon affare è sempre stata una questione di fiducia.


*Country Manager Check Point Software Technologies Italia

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4