Quanto sono protetti i dati in azienda?

Spesso le strategie di sicurezza ICT si focalizzano sui prodotti e sull’implementazione, ma dimenticano la parte fondamentale: la gestione del dato.

Sfogliando una qualsiasi pubblicazione di grande diffusione o navigando per i siti di informazione, è possibile notare un numero crescente di notizie sugli attacchi alla sicurezza delle informazioni di imprese ed enti governativi, che portano a violazioni dei dati sensibili. Anche le aziende che hanno compreso la gravità di tali minacce e sono dotate di sistemi di sicurezza, rischiano di essere compromesse.

Si consideri che la gestione dei dati, oggi, si estende non solo alle sedi dislocate in tutto il mondo ma anche a partner, fornitori e gestori di servizi condivisi. Dal momento che i dati vengono raccolti, condivisi, trattati e memorizzati su network sempre più complessi, le aziende si trovano ad affrontare un rischio maggiore di furto, perdita o dispersione.

Le tradizionali difese
Le difese perimetrali tradizionali come firewall, dispositivi per il rilevamento delle intrusioni e antivirus, non proteggono più dai rischi principali per i dati. Al fine di incrementare queste misure di difesa - e soddisfare nel breve periodo le normative di conformità - molte aziende adottano un approccio tattico per la sicurezza dei dati, implementando diversi prodotti in più punti. Questo schema di distribuzione frammentario offre una scarsa protezione, è costoso e difficile da gestire e non fornisce un quadro di riferimento per una crescita futura.

Il focus è sui dati
Per affrontare queste sfide le aziende devono adottare un approccio focalizzato sui dati, al fine di realizzare una reale protezione, cioè una strategia che protegga i dati stessi, così che siano al sicuro prima di entrare o lasciare la rete aziendale. Una protezione dei dati completa considera sia i dati in "movimento", che quelli "stabili" o in uso che si trovano: nei database, nelle applicazioni, nei network, nei file, nei nei dispositivi removibili.

La soluzione si compone di:

  • crittografia
  • gestione sicura delle chiavi
  • policy e controlli centralizzati
  • pratiche di formazione continua

La protezione dei dati ha inizio con l'analisi e la classificazione dei dati, in cui si determina quali di questi devono essere protetti, tenedno presente che i dati esistono in 3 differenti stati: dati in movimento, dati stabili e dati in uso. Qualsiasi dato comporti un rischio per l'azienda (legale o di business) è sensibile e come tale deve essere protetto.

Crittografia
La crittografia rappresenta l'elemento più importante per la sicurezza dei dati: è il processo di trasformazione delle informazioni per renderle illeggibili a coloro che non possiedono la chiave per la decodifica. La sicurezza deve seguire il processo di crittografia e non solo basarsi su un'infrastruttura protetta, in quanto essa assicura che questi non vengano compromessi durante il trasferimento verso altri network, mentre si trovano nel database, sui laptop o mentre vengono utilizzati dalle postazioni di lavoro.

Utilizzando una base di crittografia dei dati per proteggerli, le aziende assicurano la privacy e il controllo delle informazioni ovunque vadano. Dal momento che la stessa base può essere utilizzata per differenti applicazioni, le aziende possono aumentare l'efficienza operativa e allo stesso tempo garantire la privacy, gestire il rischio e raggiungere la conformità normativa.

Gestione sicura delle chiavi
Nel cuore del sistema di protezione si trovano le chiavi utilizzate per crittografare e decifrare i dati sensibili. Le aziende dovrebbero implementare una soluzione di gestione delle chiavi che consenta agli amministratori di gestire le chiavi in modo centralizzato. Un buon sistema di gestione delle chiavi dovrebbe inoltre permettere di conoscere quali altri dispositivi hanno una copia della chiave.

Policy e controlli centralizzati
Una soluzione di gestione delle chiavi ideale dovrebbe porre anche dei limiti sul tempo massimo in cui gli altri dispositivi possono mantenere le copie, sebbene questo richieda la fiducia dell'effettiva cancellazione sull'altro dispositivo. Il team di sicurezza potrebbe decidere di delegare la responsabilità ad altre funzioni aziendali, ma deve avere la capacità di riprenderne il controllo in caso di abuso o fallimento del sistema. L'autenticazione e la revisione centralizzate vengono abilitate per poter monitorare tutte le azioni degli utenti e degli amministratori.

La maggior parte delle aziende ha fatto riferimento a ciascuna di queste fasi quando ha adottato il processo di gestione delle chiavi: creazione, memorizzazione, archiviazione/backup, distribuzione, rotazione, scadenza e cancellazione. Tutte le fasi del ciclo di vita della gestione delle chiavi devono essere attuate in linea con le politiche di business e con i requisiti di sicurezza dell'azienda.

Un sistema di gestione basato su questa politica permette agli amministratori di definire le regole e di gestirle all'interno del sistema. Queste regole assumono la forma di “Se esiste una condizione, allora segue un'azione”, dove la condizione potrebbe essere: un utente o un gruppo, un'ora del giorno, un tipo di applicazione o un indirizzo di rete.

Le regole vengono poi distribuite alle risorse di rete. I sistemi  basati su politiche sono la soluzione migliore per i network di grandi dimensioni, dove un gran numero di dispositivi viene gestito da una postazione centrale.

I controlli sono essenziali per effettuare la revisione, l'autenticazione e il monitoraggio delle attività di rete. Un'azienda dovrebbe essere in grado di utilizzare tecniche multi-credenziali - l'autenticazione a tre fattori, oppure pratiche “k di n”, in cui un certo numero di utenti deve autorizzare una determinata operazione come i cambi di politica - per proteggersi da cattivi amministratori che potrebbero cercare di ottenere un accesso non autorizzato per creare o cancellare chiavi.

Questo livello di controllo granulare degli accessi permette alle aziende di controllare e monitorare da vicino le operazioni di amministrazione e di ridurre significativamente il rischio e l'esposizione agli attacchi interni.

La protezione dei dati pone le basi per le condizioni di espansione e integrazione futura. Se l'azienda cresce, gli ambienti IT si diversificano, la riservatezza dei dati va aumentata e il panorama di conformità si evolve, allora nuove tipologie o elementi di dati devono essere protetti.

Formazione continua
Infine, una strategia di protezione dati efficace prevede una formazione continua per gli amministratori della sicurezza e una gestione continuativa del sistema. Ciò include processi automatici come la rotazione delle chiavi per attuare la separazione delle funzioni, al fine di evitare che un amministratore abbia autorizzazioni sufficienti per effettuare un attacco interno. In altre parole, un amministratore dovrebbe avere accesso solo alle funzioni di configurazione del network, mentre un altro dovrebbe poter accedere solo ai controlli di gestione certificati.

Conclusioni
Quando si selezionano soluzioni per la sicurezza dei dati, le aziende spesso sbagliano poiché non capiscono come organizzare in maniera efficiente i dati aziendali, come gestirli insieme alle rispettive soluzioni, non cercano tecnologie basate su standard che lavorino insieme e non elaborano una pianificazione e una collaborazione adeguata. In poche parole le aziende non considerano vera la protezione dei dati.

La protezione dei dati assicura una soluzione di sicurezza efficace che riduce la complessità, la gestione e i costi di mantenimento dell'infrastruttura IT dell'azienda, fornendo una piattaforma di sicurezza integrata con gestione centralizzata e funzioni di reporting per i dati criptati, che non abbiano limiti ed economiche.

Questa soluzione inoltre stabilisce le basi per indirizzare le esigenze future di protezione dei dati, processi di business e mandati di conformità alle normative e, contrastando le violazioni dei dati, mitiga la pubblicità negativa dell'azienda.

*Corporate vice president and general manager, commercial data protection division, SafeNet, Inc.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome