Data loss prevention e Backup: alcune best practice

Data Loss Prevention: ogni azienda moderna deve dare priorità alla prevenzione della perdita di dati ecco alcuni suggerimenti in questa guida per una strategia completa per la prevenzione della perdita di dati.

Data loss prevention (DLP) e Backup quali sono le best practice?

Prima di approfondire le strategie, è importante avere una solida conoscenza della prevenzione della perdita di dati (DLP) nel suo insieme.

DLP: cosa succede se?
Quando affrontiamo il tema del backup aziendale con i nostri clienti, spesso ci vengono elencate come principali misure:

  • copia su dispositivo USB
  • copia in cloud (google drive ad esempio)
  • copia su hard disk di rete

ma cosa succede se un utente non autorizzato accede ai dati di backup ne fa una copia e cancella gli originali? o se il dispositivo di archiviazione si deteriora? o se vengono smarrite o peggio trafugate le credenziali di accesso allo spazio cloud?

Quando si parla di backup è necessario affrontare anche il tema della Data Loss Prevention (DLP) ovvero la strategia per mitigare la perdita dei dati.

La prevenzione della perdita di dati può essere definita come una strategia o un processo che rileva le violazioni dei file.

Avere in cassaforte una copia di un patrimonio di valore non serve a nulla se la stessa cassaforte può essere prelevata e portata via.

In pratica: conservare i dati è inutile se si corre costantemente il rischio di perdere anche la copia.

Quanto sono a rischio i tuoi dati? Fai il nostro test gratuito e ricevi il primo audit via mail

Dornick è progettato per monitorare, rilevare e bloccare i dati sensibili in tre scenari distinti:

  • Azioni dell’endpoint: mentre i dati sono in uso
  • Traffico di rete: mentre i dati sono in movimento
  • Archiviazione dei dati: mentre i dati sono inattivi

In breve, le strategie di data loss prevention comprendono ogni aspetto dei dati aziendali importanti. Dall’archiviazione cloud e locale alla trasmissione e all’utilizzo dei dati, copre tutto.

Quanto vale una violazione dei dati?

Secondo un rapporto del 2021 di IBM, il costo medio di una singola violazione dei dati in tutto il mondo è di 4,24 milioni di dollari.

Ecco perché è così importante prendere sul serio la prevenzione della perdita di dati.

Quali dati proteggere?

Qualsiasi cosa, tutto dipende dal tipo di attività e dal settore, è necessario proteggere tutto da un elenco di nomi, numeri di telefono e indirizzi di clienti a altro come documenti finanziari.

Dornick è la soluzione sempre più adottata perché è DLP ready
Le nostre best practice per data loss prevention non solo proteggono la tua azienda e i tuoi clienti, ma mantengono anche la tua organizzazione conforme agli standard di sicurezza dei dati.

Il primo errore? Preoccuparsi solo degli hacker

È comune associare la perdita di dati agli hacker e alle minacce informatiche. Spesso la sicurezza informatica in genere, si concentra su minacce esterne come malware o truffe di phishing. Questo è solo un aspetto della protezione dei dati sensibili.

La sicurezza informatica da sola non tiene conto della negligenza dei dipendenti o delle minacce interne, che rappresentano una parte significativa delle violazioni dei dati.

Ancora una volta, se hai una cassaforte aziendale ma tutti in azienda conoscono la combinazione, non saprai mai chi l’ha aperta e che operazioni ha svolto.

Le nostre misure DLP sono progettate per colmare questa lacuna.
L’aspetto unico delle misure DLP è che possono essere adattate o personalizzate per soddisfare le esigenze di qualsiasi azienda, settore o necessità di conformità.

Perdita o fuga?

Vale anche la pena notare che la prevenzione della perdita di dati è sinonimo di “prevenzione della fuga di dati”.

Diamo un’occhiata più da vicino all’ambito di base che devi definire per una strategia di prevenzione della perdita di dati:

1- Quali dati devono essere protetti: scopri esattamente quali dati sono importanti e devono essere inclusi nella tua strategia.

Ciò potrebbe variare da segreti commerciali a progetti, dati di carte di credito e informazioni di identificazione personale. Se la tua attività è soggetta a leggi di conformità del settore e/o nazionali, tali normative devono essere prese in considerazione.

2- Individua i dati: dove risiedono esattamente?
Considera cose come database, soluzioni di archiviazione cloud, e-mail, app di messaggistica interna e altro ancora.

Se il tuo personale può utilizzare i dispositivi personali per accedere al tuo ambiente IT, dovrai utilizzare soluzioni di protezione degli endpoint per applicare efficacemente queste best practice.

3- Condizioni per l’accesso ai dati: stabilire controlli di accesso per diversi tipi di dati.
Ad esempio, potresti limitare determinati tipi di dati in base ruolo gerarchico. In alternativa, potresti avere autorizzazioni di accesso ai dati personalizzate per ogni singolo dipendente.

4- Procedure per le violazioni: cosa succede quando viene rilevata un’attività sospetta?
Chi è responsabile del monitoraggio? È necessario stabilire passaggi chiari per questo processo e l’automazione di questa procedura è sicuramente una best practice per la prevenzione della perdita di dati.

5- Archiviazione dei dati: individuazione delle regole specifiche per quando i dati vengono archiviati.
Questo processo dovrebbe includere un audit trail e tutte le informazioni su potenziali violazioni della sicurezza IT. Una volta archiviato, il sistema deve essere protetto anche da minacce interne ed esterne.

Compila il nostro audit gratuito della privacy aziendale clicca qui

Backup e DLP: facciamo un esempio

Ora diamo un’occhiata a un semplice scenario che mette in pratica queste best practice.

Ecco cosa succede con un processo DLP attivo:

  • un dipendente tenta di inviare dati sensibili tramite un’e-mail;
  • una regola definita nel sistema identifica il tentativo e blocca l’invio dell’e-mail.

La soluzione DLP Dornick crea un report dell’incidente, incluso il tipo di dati a cui è stato effettuato l’accesso e chi vi ha effettuato l’accesso e invia il report a un amministratore della sicurezza IT.

Ecco tre esempi unici di best practice per la prevenzione della perdita di dati applicate. Ognuno copre uno scenario di dati diverso: dati in uso, dati in movimento e dati inattivi.

Esempio 1: Conformità HIPAA nel settore sanitario
Secondo lo stesso rapporto IBM a cui abbiamo fatto riferimento in precedenza, il settore sanitario ha subito le violazioni dei dati più costose di qualsiasi altro settore, con una media di 9,23 milioni di dollari per violazione.

Che si tratti di un ospedale, di un centro medico, di uno studio medico o di qualsiasi altra struttura sanitaria, i dati sensibili vengono costantemente utilizzati.

Ad esempio, un infermiere deve accedere ai dati sanitari del paziente prima di fornire il trattamento.
Un addetto alla reception in un ufficio di chirurgia ambulatoriale dovrebbe accedere alle cartelle cliniche dei pazienti per fissare appuntamenti, gestire la programmazione e fornire le istruzioni post-operatorie appropriate.

In questi scenari, le soluzioni di protezione degli endpoint verrebbero utilizzate per la prevenzione della perdita di dati.

Il sistema Dornick può essere applicato a laptop, desktop, telefoni cellulari e altri endpoint in cui si accede quotidianamente a dati sensibili.
Questo aiuta a prevenire l’uso e la trasmissione non autorizzati dei dati dei pazienti, che violerebbero le normative HIPAA.

Esempio 2: conformità PCI per l’elaborazione delle carte di credito
L’elaborazione delle carte di credito è un eccellente esempio di dati in movimento.

Ogni volta che si verifica una transazione con carta di credito, ci sono più parti associate alla vendita. Ci sono anche diversi dati chiave da proteggere, tra cui il numero della carta, il codice di verifica, la data di scadenza e le informazioni sul titolare della carta.

I dati della transazione vengono inviati dal commerciante al sistema di processo dell’ordine. Da lì, il sistema instrada i dati transazionali dalla banca acquirente all’emittente. È compito della banca emittente verificare i fondi disponibili e approvare o rifiutare la transazione.

Tale approvazione viene rispedita attraverso il flusso, dalla banca emittente alla banca acquirente, all’elaboratore e di nuovo al commerciante.

Questi dati sensibili passano di mano più volte in pochi secondi. Per proteggere questi dati mentre sono in movimento, i commercianti e i processori devono applicare gli standard di conformità PCI.

Esempio 3: conformità al GDPR nell’UE
Il regolamento generale sulla protezione dei dati (GDPR) è stato emanato nel 2016. Questa legge disciplina il modo in cui i dati dei consumatori e la privacy devono essere protetti nell’Unione europea. Le sanzioni relative al GDPR incidono in percentuale sul fatturato a seconda della gravità.
Ecco un esempio che mostra la prevenzione della perdita di dati per i dati inattivi (archiviazione dei dati).

Il GDPR impone che i dati sensibili dei clienti non possano essere archiviati con identificatori univoci.

Pertanto, le aziende che memorizzano questi dati possono utilizzare l’anonimizzazione o la pseudonimizzazione per rimuovere o modificare qualsiasi informazione di identificazione personale associata a un individuo.

Queste pratiche funzionano indipendentemente dal fatto che i dati vengano archiviati in loco o nel cloud.

Come avviare le misure DLP nella tua azienda?

Puoi partire dal nostro test aziendale per avere un quadro di partenza della sicurezza dei tuoi dati.

Effettua lo screening gratuito Dornick

Alcuni utili passaggi per avviare un processo di Data Loss Prevention

Passaggio 1: identificare e classificare i dati più sensibili
Non è possibile applicare in modo efficace le best practice per la prevenzione della perdita di dati senza prima sapere quali dati devono essere protetti.

Il modo migliore per farlo è condurre un inventario e una valutazione dei dati dell’intera organizzazione.

Una volta identificati i dati stessi, è necessario determinare se sono importanti o meno. Informazioni riservate, proprietà intellettuale, informazioni sui consumatori e dati finanziari rientrano tutti in questa categoria.

Dopo aver classificato i dati, è necessario identificare dove sono archiviati. È in un database cloud o in un server fisico? Come si può accedere?

Dovresti anche assegnare un punteggio di rischio ai dati in base alla loro sensibilità. Ad esempio, i dati sui benefit e detrazioni per i dipendenti sono sensibili. Ma perdere quei dati comporta un livello di rischio diverso rispetto a una violazione delle cartelle cliniche di 10.000 pazienti.

Passaggio 2: ricerca di soluzioni per la prevenzione della perdita di dati
Inizia valutando le tue risorse interne, sicuramente partendo dal tuo team di sicurezza IT.

Verifica se disponi di soluzioni esistenti in grado di soddisfare le tue esigenze di prevenzione della perdita di dati.

Attraverso il metodo Dornick è possibile gestire un processo di Data Loss Prevention:

  • di rete
  • di archiviazione
  •  cloud
  • di Endpoint

Passaggio 3: stabilire controlli per la gestione e la correzione dei dati
Ora che i tuoi dati sono stati classificati è il momento di creare le policy per la gestione delle diverse categorie di dati.

I database dei clienti dovrebbero essere classificati separatamente dai dati sulla proprietà intellettuale. Ognuno di questi dovrebbe avere controlli univoci su come i dati vengono archiviati, accessibili e protetti.

Ad esempio, supponiamo che un dipendente stia per inviare un file classificato come dato aziendale interno a una fonte esterna. Potresti avere un controllo in atto che richiede un messaggio pop-up, chiedendo al dipendente di crittografare il file prima di inviarlo. In alternativa, puoi bloccare completamente il messaggio e avvisare un amministratore della sicurezza IT.

La risposta per ogni singola situazione alla fine si baserà sui controlli che stabilisci in questo passaggio.

Passaggio 4: implementa il tuo sistema DLP in più fasi
L’applicazione delle best practice per la prevenzione della perdita di dati su larga scala è un processo a lungo termine. Quindi, piuttosto che provare a fare tutto allo stesso tempo, è nel tuo interesse implementarlo in più fasi.

Il modo più semplice per farlo è dare la priorità ai dati più sensibili.
Questo dovrebbe essere abbastanza semplice una volta che hai classificato tutto nel primo passaggio.

Da lì, concentrati su un solo sistema, database o canale di comunicazione. Ad esempio, potresti iniziare proteggendo i database della fase cloud. Successivamente, potresti implementare una strategia di prevenzione della perdita di dati sui dispositivi endpoint.

Tutto ciò si baserà sul tipo di dati, sulla loro posizione e sul punteggio di rischio dei dati.

Passaggio 5: educa i dipendenti e gli stakeholder
La prevenzione della perdita di dati non è solo un’iniziativa IT o di sicurezza. È fondamentale che l’intera organizzazione comprenda queste politiche e il motivo per cui sono così importanti.

Il tuo personale e gli stakeholder devono essere consapevoli delle politiche di sicurezza in atto.

Prendi in considerazione la formazione di persona, i seminari, la formazione online e altre iniziative che danno priorità alla formazione dei dipendenti.

Puoi anche programmare e-mail periodiche che mostrano l’importanza della sicurezza dei dati.

Valuta l’adozione di sanzioni per le violazioni della tua politica. Le ripercussioni aiutano a garantire che il tuo personale prenda molto sul serio la prevenzione della perdita di dati.