Tracciamo con Orlando Arena, Sales Director Enterprise di SafeNet Italia, un ranking delle azioni da compiere per dare sicurezza alle proprie informazioni in un contesto di rete aperta.
Con Orlando Arena, Sales Director Enterprise di SafeNet Italia, affrontiamo il tema della violazione alla sicurezza dei dati cercando di capire se esistono gerarchie d’azione immediatamente praticabili.
Lo facciamo alla luce dei grandi casi di infrazione a basi dati che hanno riguardato operatori mondiali, e lo facciamo partendo da un contesto europeo.
La Commissione europea ha avviato una consultazione con gli operatori sulle regole da seguire per la notifica alle violazioni dei dati. Voi parteciperete? E cosa ne pensate delle tematiche che riguardano questo normalizzare la chiusura dalle stalle una volta usciti i buoi?
(qui il testo della consultazione)
Stiamo valutando la possibilità di partecipare. La scelta della Commissione della consultazione come approccio per delineare i cardini della legge è una pratica che permette ai legislatori di redarre un testo che sia il più adatto possibile a regolare la materia. Riteniamo che abbia perfettamente senso in quanto permette di esplorare il problema da molteplici punti di vista prima di metter mano alla stesura della direttiva.
In particolare, i dati si mettono al sicuro sorvegliando le porte o le persone che vi entrano?
Entrambi. In passato, e fino a tempi abbastanza recenti, quando si discuteva di information security in realtà ci si riferiva a come rendere sicuro il network delle organizzazioni: come proteggere e gestire il perimetro che separava l’interno dall’esterno. Questo però oggi è cambiato in quanto il traffico di dati elettronici è sempre più elevato e dunque, questa linea di demarcazione si va dissolvendo. Il volume di documenti che ogni giorno viene scambiato via posta elettronica o internet utilizzando anche nuovi dispositivi e metodi di accesso come tablet, smartphone, wi-fi, cloud, continuerà ad aumentare e quindi la necessità che tutti questi scambi di informazione siano resi adeguatamente sicuri si fa sempre più pressante. È infatti necessario che si abbia la certezza che dati altamente confidenziali siano visibili e accessibili solo da chi è effettivamente autorizzato. Questo vale sia per le persone interne alle organizzazioni che esterne. Ci vuole dunque un nuovo approccio alla sicurezza dei dati che preveda una protezione basata sui fruitori sia interni che esterni. In entrambi i casi l’uso della codifica dei dati per mezzo della crittografia è un metodo che permette alle organizzazioni di garantire che il loro flusso d’informazioni sia decifrabile solo da chi legittimamente autorizzato e dunque in possesso della relativa chiave. Questo si può fare adottando vari strumenti sia software che hardware. In questo modo, nonostante i criminali del cyberspazio adottino tecniche sempre più sofisticate ed in grado di penetrare nei sistemi di aziende ed organizzazioni, i dati, anche se rubati, diventano assolutamente inservibili.
Ancora una metafora, orwelliana: tutti i dati sono uguali o alcuni sono più uguali degli altri? Ossia esiste una classifica di sicurezza per i dati o sono tutti degni dello stesso livello di protezione?
Certamente esistono classifiche di sicurezza all’interno delle organizzazioni. Si immagini ad esempio il livello di confidenzialità di segreti industriali piuttosto che documenti legali, solo per citarne alcuni, e di conseguenza diversi livelli di sicurezza che si possono applicare a diversi gruppi di dati, ma questo non significa che non valga la pena proteggere tutti i dati di un’organizzazione. Basta guardare alle notizie recenti sul cybercrime, come il furto di dati sofferto dalla Sony.
Tale furto ha avuto un impatto terribile sulla reputazione dell’azienda che nessuno e’ in grado di valutare pienamente, come pure la perdita di giro d’affari, senza contare il crollo della fiducia dei propri utenti. Oggi ci sono strumenti tecnologici che sono economicamente accessibili e che offrono una concreta e provata soluzione per assicurarsi che i tutti dati siano protetti in ogni punto e ad ogni momento.
Fuor di metafora: qual è il ranking delle azioni che un’azienda, seriamente, deve mettere in atto oggi, non domani.
L’approccio alla sicurezza dev’essere senz’altro olistico e non deve riguardare
più solo il perimetro, ma i dati stessi. Ecco i passi.
Primo: applicare la crittografia a tutti i dati.
La crittografia dei dati è indicata all’unanimità da tutti gli esperti di sicurezza come il miglior meccanismo per proteggere i dati, sia che si trovino in un data center che su un personal computer o altro dispositivo mobile personale. La crittografia permette di proteggere dati quando vengono scambiati attraverso le reti e i sistemi di comunicazione aziendali, ma anche quando sono memorizzati da qualche parte nell’infrastruttura, at rest, a riposo. Il vantaggio della crittografia rispetto alle tecnologie Dlp è che è di facile applicazione in quanto non bisogna procedere prima a un completo data discovery.
Secondo: Adottare meccanismi di autenticazione forte per controllare l’accesso ai dati.
Utilizzare meccanismi adeguati per verificare l’identità dei propri dipendenti quando accedono alla rete aziendale: oggi, utilizzare solo User Id e password non è più sufficiente. Questo permette che solo chi è autorizzato fruisca di risorse e applicazioni ed abbia accesso alle informazioni che gli competono. Con la crittografia si può controllare e verificare chi usa che cosa e quando, per mezzo di chiavi diverse, per dati diversi, per persone diverse.
Terzo: Controllare l’accesso da parte dei dispositivi mobili. Siccome questi costituiscono una principale fonte di rischio, in quanto possono più facilmente essere persi o rubati, sono i primi che dovrebbero essere dotati di meccanismi per la verifica delle credenziali. SafeNet ha ad esempio appena lanciato una nuova funzionalità del proprio Authentication Manager (Sam) che permette alle organizzazioni di fare proprio questo a partire dai sempre più diffusi iPad e iPhone. Più in generale, grazie alle soluzioni che fanno parte del proprio Fully Trusted Authentication Environment, SafeNet consente di implementare una strategia globale di autenticazione per molteplici tipologie di endpoint, inclusi quindi i dispositivi mobili personali.
Quarto: Considerare la crittografia come un servizio centralizzato offerto dal proprio dipartimento It.
Esistono oggi soluzioni attraverso le quali i dipartimenti It possono offrire la crittografia dei dati come servizio centralizzato dell’azienda e che permettono loro di gestire completamente la sicurezza e l’accesso dei dati da un’unica piattaforma. In questo modo si gestiscono molto facilmente anche le chiavi di cifratura, evitandone la proliferazione. Questo solleva i singoli dipartimenti dal doversi occupare dell’aspetto sicurezza e invece gli permette di concentrarsi sui propri obiettivi.
Quinto: Monitorare regolarmente le attività attraverso tutti gli strumenti disponibili.
I data center hanno a disposizione altri mezzi, quali firewall e Ips per monitorare il traffico di dati. Ciò permette di porre in atto dei sistemi di allerta quando ad esempio si verificano dei picchi anormali di scambio, piuttosto che limitare il volume del traffico a certe ore del giorno.
Li sentite vibrare gli utenti italiani alla parola sicurezza, oppure è un investimento come un altro?
In Italia continuiamo a essere testimoni del fatto che la sicurezza ha rapidamente fatto la sua comparsa sulla lista delle priorità strategiche di aziende ed istituzioni pubbliche, e questo a seguito dell’esplosione del traffico di dati elettronici, che non solo non accenna a diminuire ma che continuerà la sua crescita esponenziale. Investire in sicurezza equivale a investire in reputazione dell’azienda e fiducia della propria clientela, due elementi assolutamente imprescindibili per il successo delle organizzazioni.
- SafeNet, la protezione dati va fatta ovunque
- Un partner program globale per SafeNet
- La sicurezza del datacenter agli Antipodi
- Cloud: la sicurezza parte dall’individuo
- Problemi di sicurezza con i provider per il 43% dei Cio
- Sicurezza cloud: Csa e Iso collaborano
- Sicurezza del cloud: la responsabilità è in mano all’utente
- Dieci file aperti alla voce sicurezza
- La sicurezza nel cloud? È questione di fiducia
- Sicurezza: cosa è endpoint e cosa no
- Cinque passi per mettere in sicurezza l’e-commerce
