DLP (Data Loss Prevention)

La Data Loss Prevention (DLP) serve a evitare che gli utenti forniscano informazioni sensibili al di fuori della rete aziendale. Il termine DLP identifica quegli strumenti software che consentono agli amministratori di sistema di controllare quali dati possono essere trasferiti dagli utenti.

Gli strumenti DLP sono calibrati in base alle regole aziendali, per classificare e proteggere informazioni confidenziali così da impedire che gli utenti possano accidentalmente o in maniera intenzionale, esporre dati in grado di mettere a rischio la sicurezza dell’organizzazione. Ad esempio, se un dipendente tenta di inoltrare un’email al di fuori del dominio aziendale o prova a caricare file su un account personale Dropbox, scatteranno le misure di sicurezza e gli sarà impedito di farlo.

Le aziende stanno adottando strumenti per la Data Loss Prevention per via delle crescenti minacce che arrivano dall’interno dell’organizzazione, e per le sempre più stringenti leggi in materia di data privacy che richiedono una rigorosa protezione dei dati e controllo degli accessi ai dati. Oltre a monitorare le attività dei computer e dispositivi aziendali, alcuni strumenti DLP consentono di filtrare i flussi di dati in transito nella rete aziendale e proteggere i dati sensibili.

Ecco come mettere in atto una strategia di Data Loss Prevention: 

• Assegnare delle priorità ai dati
  Non tutti i dati hanno la stessa criticità. Ogni azienda ha i propri parametri per stabilire quali informazioni sono considerate critiche e quali meno. Il primo passo è stabilire quali dati causerebbero i danni più gravi se venissero compromessi. La DLP deve iniziare proprio dall’identificare le informazioni più preziose e sensibili che sono più a rischio di attacco da parte dei cybercriminali.
• Classificare i dati
  Un approccio semplice e scalabile è quello di classificare i dati in base al contesto. Cioè significa assegnare una classificazione all’applicazione, al dispositivo di memorizzazione o all’utente che ha creato i dati. Applicare tali etichette di classificazione ai dati, permette alle aziende di monitorare il loro utilizzo. L’ispezione del contenuto è altrettanto utile, in quanto consente di esaminare i dati per identificare formati specifici, come numeri di carte di credito, codici di documenti o parole chiavi come ad esempio “riservato”. L’ispezione del contenuto utilizza spesso regole predefinite basate su standard come PCI, PII ed altri.
• Comprendere quando i dati sono a rischio
  Ci sono molteplici rischi legati alla distribuzione dei dati tra i dipendenti, o condivisi con partner aziendali, clienti e fornitori. In questi casi, i dati sono al massimo livello di rischio nel momento in cui vengono utilizzati dai destinatari, nei propri computer. Ad esempio allegare dati ad un’email o salvarli su una chiavetta usb esterna. Una strategia DLP efficace deve tenere conto di come i dati vengono trasferiti e stabilire quando sono a rischio.
• Monitorare i dati in transito
  È importante comprendere come vengono utilizzati i dati e identificare comportamenti che ne mettano a rischio la sicurezza. Le aziende devono monitorare i dati in transito per avere una visione globale su quello che sta accadendo ai propri dati sensibili e calibrare le proprie strategie di DLP in base alle esigenze.
• Comunicare e mettere in atto i giusti controlli
  Il passo successivo è quello di collaborare con i responsabili dei reparti per comprendere perché certi dati stanno circolando e mettere in atto gli opportuni controlli per ridurre il rischio di compromissione. Nelle fasi iniziali di un piano DLP, i controlli sull’utilizzo dei dati saranno relativamente semplici e si concentreranno principalmente sul monitoraggio di comportamenti comuni che sono considerati a rischio. Man mano che la strategia DLP si sviluppa le aziende possono perfezionare le politiche di controllo e mettere in atto un monitoraggio più granulare al fine di ridurre determinati rischi.
• Formare il personale e fornire supporto continuo
  Una volta compreso come si muovono i dati all’interno dell’azienda, una buona formazione del personale può ridurre il rischio di perdite di dati accidentali da parte dei dipendenti, che spesso non sono consapevoli dei rischi che le proprie azioni comportano per la sicurezza dei dati, e una volta ricevuta un’adeguata formazione, saranno più attenti e responsabili. Le soluzioni avanzate di DLP offrono specifiche interfacce utente che consentono di informare i responsabili dell’azienda, sull’eventuale utilizzo di dati in violazione delle politiche aziendali o che comunque sono considerati a rischio. Oltre ovviamente ai controlli che bloccano direttamente tali attività.
• Rollout
  In alcune organizzazioni, saranno ripetuti i passi visti fin qui, man mano che le informazioni disponibili sull’utilizzo dei dati aumentano, e attueranno un controllo più esteso al fine di identificare e classificare i dati in transito e permettere così di perfezionare i controlli. Concentrandosi nel mettere in sicurezza un ristretto gruppo di dati considerati più a rischio, il piano DLP risulta più semplice da implementare e gestire. Un iniziale programma DLP di successo, prevederà fin dalle prime battute, la possibilità di espansione. Col passare del tempo, sarà esteso ad una percentuale crescente di dati sensibili, con la minima interferenza sulle attività lavorative quotidiane.

Il 43% dei data breach sono interni all’azienda

Un errore comune è quello di pensare che la compromissione dei dati avvenga principalmente per mano di cybercriminali che attaccano le reti aziendali. Ma in realtà, i data breach esterni costituiscono poco più della metà di tutti i data breach, con la restante parte proveniente da compromissioni interne alle aziende stesse.

L’84% dei dirigenti IT afferma che la DLP è più difficile da gestire in caso di forza lavoro remota

Con l’aumento del personale che lavora da casa, gli amministratori devono affrontare l’ulteriore sfida di proteggere i dati sui dispositivi personali e archiviati nel cloud. Ciò rende la DLP più complessa, poiché la forza lavoro remota aggiunge rischi rispetto alla conservazione dei dati all’interno dei dispositivi controllati dall’azienda.

Dal 60 al 70% dei data breach sono stati resi noti pubblicamente

Questo dato può essere dannoso per la reputazione di ogni azienda. Uno studio condotto da Intel ha rivelato che il 70% degli incidenti di data loss nelle aziende di piccole e medie dimensioni, sono stati resi noti pubblicamente o hanno avuto un impatto finanziario negativo.

Le soluzioni DLP funzionano in due modi: analizzando i dati alla ricerca di contenuti contestuali e analizzando i contenuti sulla base di corrispondenze di stringhe. Proprio come l’analisi delle lingue, le parole hanno un significato basato sul contesto. La soluzione DLP può filtrare gli attacchi in base alle parole, ma deve anche comprenderle in base al modo in cui le parole sono formattate e inserite nella comunicazione. Questa tecnica è importante soprattutto per la cybersecurity e la DLP per le email.

Una soluzione DLP funziona con le seguenti strategie:

• Corrispondenza di espressioni regolari: le soluzioni di DLP corrispondono a condizioni di dati specifici, come il rilevamento di numeri di carte di credito a 16 cifre nelle email o di numeri di telefono a 9 cifre, in questo modo determinano se la comunicazione contiene dati sensibili.
• Fingerprinting dei dati strutturati: i dati archiviati in un database possono essere analizzati alla ricerca di specifici dati sensibili per determinare se sono protetti correttamente.
• Analisi del checksum dei file: determinare se il contenuto del file è cambiato utilizzando algoritmi di hashing per produrre hash dei dati del file e confrontarli in base alla data di salvataggio del file.
• Corrispondenza parziale dei dati: con questa strategia, la soluzione DLP esegue una corrispondenza su alcuni dati, ad esempio per trovare moduli e modelli compilati da più persone.
• Corrispondenza lessicale: i dati non strutturati possono essere analizzati utilizzando i termini del dizionario e altre corrispondenze basate su regole per rilevare le informazioni sensibili.
• Analisi statistica: utilizzando l’apprendimento automatico e metodi avanzati, le soluzioni DLP individuano le informazioni sensibili più nascoste che non possono essere trovate con altri metodi.
• Categorizzazione: grazie alla categorizzazione dei dati, la soluzione DLP può determinare se i dati sono altamente sensibili e violano le normative di conformità.

Il costo di una violazione dei dati è in media di 4,25 milioni di dollari per incidente, ma il danno a lungo termine al nome del marchio può influire sulle entrate future per anni. Le aziende sono vittime di attacchi informatici ogni 11 secondi e per questo motivo le DLP solutions sono più importanti che mai. Per gli amministratori è sempre più arduo difendere l’ambiente da numerosi rischi, per questo motivo le soluzioni DLP rilevano potenziali attacchi e altre anomalie.

La soluzione DLP scelta andrà di pari passo con le strategie di riduzione del rischio. Il rischio non può mai essere ridotto del 100%, quindi le soluzioni DLP rilevano gli attacchi sofisticati che eludono le difese di cybersecurity. Inoltre, mantengono l’ambiente conforme in modo che l’organizzazione eviti multe salate per violazione delle normative.

Una soluzione DLP risolve molte delle attuali sfide di cybersecurity e conformità che non possono essere risolte senza un aiuto. Gli amministratori sono alla continua ricerca delle minacce più recenti per trovare la soluzione giusta per rilevarle e bloccarle. Una soluzione DLP può essere utile per:

• Conformità: diverse normative di conformità richiedono il monitoraggio e la protezione dei dati. Se la tua organizzazione deve seguire gli standard HIPAA, PCI-DSS, GDPR o qualsiasi altro standard di conformità, una soluzione DLP ti aiuta a mantenere la tua organizzazione all’interno delle linee guida.
• Protezione della proprietà intellettuale: Non è raro che le organizzazioni conservino la proprietà intellettuale nei file di documenti, una soluzione DLP impedirà agli aggressori di accedere e rubare i segreti commerciali.
• Visibilità dei dati: la tracciabilità dei dati sia a riposo che in transito è un requisito di conformità e aiuta le organizzazioni a comprendere i tipi di dati archiviati negli endpoint.

Poiché gli aggressori hanno numerosi modi per rubare i dati, la giusta soluzione DLP dispone di soluzioni di rilevamento che coprono gli svariati modi in cui i dati possono essere divulgati. Le tipologie di soluzioni DLP includono:

• Posta elettronica: proteggono l’azienda da phishing e social engineering con il rilevamento dei messaggi in entrata e in uscita.
• Gestione degli endpoint: per ogni dispositivo che conserva dati, una soluzione DLP endpoint monitora i dati quando i dispositivi sono connessi alla rete o offline.
• Rete: i dati in transito sulla rete devono essere monitorati in modo che gli amministratori siano a conoscenza di eventuali anomalie.
• Cloud: con un numero crescente di dipendenti che lavorano da casa, gli amministratori sfruttano il cloud per fornire servizi al personale che lavora da casa. Una soluzione DLP per il cloud garantirà il monitoraggio e la protezione dei dati archiviati nel cloud.

Con l’evoluzione del panorama della cybersecurity, le organizzazioni devono tenersi al passo con le ultime tendenze. Le dinamiche della sicurezza possono essere difficili da seguire, ma una soluzione DLP consente di mantenere la tua azienda conforme e in regola grazie a un monitoraggio efficace. La popolarità delle soluzioni DLP continua a crescere perché:

• La figura del CISO: le organizzazioni riconoscono sempre di più l’importanza di un Chief Information Security Officer (CISO) che spesso suggerisce l’adozione di soluzioni DLP.
• Normative di conformità: gli standard di protezione dei dati cambiano di pari passo con l’evoluzione del panorama della cybersecurity e una soluzione DLP viene adottata per contribuire a rendere la protezione dei dati conforme agli standard.
• Endpoint aggiuntivi: i dati nel cloud e sui dispositivi degli utenti aggiungono rischi all’ambiente, quindi con una soluzione DLP è possibile monitorare migliaia di endpoint nel cloud e internamente per garantire la protezione dei dati.

Come per qualsiasi integrazione, le implementazioni DLP necessitano della giusta strategia per evitare errori costosi e tempi di inattività. Prima di implementare la tua soluzione DLP, ecco alcuni suggerimenti da prendere in considerazione:

• Definire i requisiti aziendali: prima di distribuire una soluzione, è necessario definire i requisiti aziendali alla base della strategia di distribuzione. I requisiti di business aiuteranno ad avviare un piano che creerà un processo di distribuzione più agevole.
• Definire i requisiti di sicurezza: la conformità e altri standard di cybersecurity definiranno anche il modo in cui le soluzioni DLP vengono implementate. Utilizza questi standard per determinare le modalità di monitoraggio e protezione dei dati.
• Verifica dell’infrastruttura: è necessario sapere dove vengono archiviati i dati e dove vengono trasferiti. Le soluzioni DLP proteggono i dati a riposo e in transito, quindi questa fase di pianificazione consente di scoprire gli endpoint e i punti di archiviazione dei dati.
• Determinare le responsabilità: ogni membro del personale IT deve essere coinvolto nelle implementazioni, in modo da comprendere le modifiche e poter rispondere alle domande dei clienti. Questo aiuta anche a risolvere i bug.
• Comunicare con la documentazione: documenta le modifiche apportate all’ambiente e le procedure da seguire. Mantenendo una documentazione accurata si evitano errori quando il personale non è a conoscenza delle modifiche apportate all’ambiente e del modo in cui la data loss protection funziona per monitorare i dati.

Lo strumento Email Data Loss Prevention di Proofpoint, offre la protezione integrata dei dati per email e allegati. È stato concepito per bloccare la divulgazione accidentale di dati e prevenire attacchi esterni via email. Può essere utilizzato in combinazione con altri strumenti Proofpoint per la protezione delle informazioni come Data Discover, Email Encryption ed altri.

Una suite completa per la data loss prevention è costituita da quattro elementi: un server centrale, un monitoraggio della rete, dei dispositivi di memorizzazione DLP ed infine un terminale DLP. In una configurazione base, il tutto potrebbe essere racchiuso in un unico server, gestito dal personale addetto. Le configurazioni più strutturate invece, possono includere diversi elementi distribuiti al fine di coprire specifici apparati della rete.

Grazie a questo strumento, le aziende sanno in ogni momento, dove risiedono i propri dati privati, come i dati finanziari, i dati sanitari, i dati di identificazione personale, quelli sulla proprietà intellettuale o qualsiasi altro dato. Aiuta le aziende ad individuare rapidamente e valutare i dati, così da permettere loro di attuare le opportune misure in caso di problemi.

• Individuare facilmente dati sensibili, ovunque siano conservati all’interno della rete aziendale. Il processo di ricerca semplificato, permette agli addetti alla sicurezza, di essere al corrente dei problemi, senza il bisogno di ricorrere a complesse soluzioni DLP o a misure drastiche di limitazione e restrizione dei dati su tutta la rete.
• Valutare dati storici e assicurare che i nuovi dati vengano catalogati, immediatamente in fase di creazione. Mettere in quarantena, spostare o eliminare qualsiasi file che viola le policy di sicurezza, così da evitare di venire danneggiati da materiale non sicuro. Ad esempio, se del materiale aziendale viene scoperto in una cartella di sincronizzazione Dropbox, l’utente verrà automaticamente allertato e i dati saranno spostati nell’apposito archivio destinato a tali file, e gestito dal dipartimento IT.
• Valutare i metadati ed il testo presente nei file. Ciò consente agli addetti alla sicurezza informatica, di identificare carte di credito, documenti di identificazione personale, informazioni sanitarie ed altro. Questo processo insegna inoltre agli utenti, le buone pratiche da adottare per la gestione sicura dei dati aziendali, senza ostacolare le regolari attività lavorative.