Nel panorama della protezione dei dati, una componente essenziale è la data loss prevention, strategia che aiuta aziende ed enti a prevenire la perdita dei dati. Ecco cos’è e come riesce a essere efficace
Data loss prevention (DLP) è una strategia o, meglio, un insieme di strategie per mitigare le minacce di perdita di dati, specie quelli critici. Suona persino ridondante dirlo, ma è un presupposto fondamentale, in un mondo in cui si generano dati a velocità sempre crescenti. Statista prevede che la quantità totale di dati creati, acquisiti, copiati e consumati a livello globale passerà dai 64,2 zettabyte nel 2020 a oltre 180 ZB nel 2025.
Nella digital economy, i dati “entrano ed escono” dal cyberspazio a ritmi record. Si parla, addirittura, di sovranità dei dati. Ogni giorno un’azienda invia e riceve milioni di messaggi e-mail e scarica, salva e trasferisce migliaia di file tramite vari canali. Le aziende detengono anche dati sensibili che clienti, partner commerciali, autorità di regolamentazione e azionisti si aspettano che vengano protetti. Purtroppo, le aziende sono costantemente vittime di massicce perdite di dati e continuano a verificarsi fughe di dati di alto profilo che coinvolgono dati personali e aziendali sensibili. Per questo la data loss prevention è un requisito di sensibile utilità, anche perché la perdita di dati può costare da poche migliaia a milioni di euro, a seconda del volume dei dati persi.
Da qui si comprende l’interesse sempre crescente che conseguenza un valore di mercato in aumento tangibile. Secondo le stime di MarketsandMarkets, la dimensione del mercato mondiale DLP crescerà da 3,4 miliardi di dollari nel 2023 a 8,9 miliardi di dollari entro il 2028.
Contare su soluzioni in grado di evitare la perdita dei dati si rivela assai prezioso per diversi motivi che vanno dalla difesa delle informazioni sensibili alla protezione della proprietà intellettuale.
Le soluzioni DLP hanno come scopo principale di rilevare potenziali violazioni dei dati che possono verificarsi a diversi livelli. Si occupano principalmente del monitoraggio dati, ma non solo, come vedremo. Il concetto più forte riguarda l’importanza della sicurezza dei dati: data loss prevention è una componente essenziale della strategia di data security di qualsiasi organizzazione, pubblica o privata. Attraverso il monitoraggio e l’applicazione delle norme, la formazione dei dipendenti e altre best practice, le organizzazioni possono contribuire a garantire che i propri dati rimangano sicuri.
Cos’è la Data loss prevention
Il NIST definisce la data loss prevention (DLP) come la capacità dei sistemi di identificare, monitorare e proteggere i dati in uso, dati in movimento e dati inattivi (per esempio, sui dati archiviat) attraverso l’ispezione approfondita del contenuto dei pacchetti, l’analisi contestuale della sicurezza delle transazioni, in un quadro di gestione centralizzata.
Prima di illustrare come funziona la data loss prevention, è bene chiarire che perdita di dati non è la violazione di dati (data breach) e nemmeno una fuga di dati (data leak).
Con data breach s’intende, appunto, la violazione dei dati che si verifica quando una parte non autorizzata accede a informazioni sensibili o vengono rubate da criminali informatici. Purtroppo le violazioni dei dati sono eventi comuni che gravano anche sull’economia. Il costo globale è aumentato esponenzialmente nel giro di pochi anni con danni pesantissimi, alle grandi e alle piccole e medie imprese, come sottolinea la National Cybersecurity Alliance.
Data leak suppone l’esposizione involontaria di informazioni sensibili inattive o in transito. Ciò potrebbe verificarsi su Internet o su dispositivi fisici come dischi rigidi e laptop. Quando i dati sensibili vengono rubati a seguito di una violazione dei dati o di un attacco ransomware e pubblicati sul dark web, anche questi eventi vengono classificati come fughe di dati.
Per comprendere la prevenzione della perdita di dati è bene partire dalla sua natura di soluzione di sicurezza che funziona per garantire – è opportuno ribadirlo – la sicurezza dei dati. Identifica e previene l’uso improprio o la condivisione non autorizzata di informazioni sensibili.
Le soluzioni DLP aiutano a proteggere la proprietà intellettuale, le informazioni sui clienti e i registri finanziari da accessi non autorizzati, usi impropri o perdite, garantendo la conformità delle informazioni e salvaguardando la reputazione di un’organizzazione. Gli elementi essenziali di una strategia DLP includono l’identificazione e la classificazione dei dati.
Un primo chiarimento riguarda EDR e DLP. Mentre l’Endpoint Detection and Response (EDR) fornisce informazioni sulla sicurezza e rilevamento delle minacce in tutta l’azienda, Data Loss Prevention è un componente di EDR che si concentra sulla prevenzione della perdita di dati durante la trasmissione.
A proposito, invece, di software DLP essi monitorano, rilevano e impediscono perdite di dati. Ciò implica il monitoraggio dei dati in entrata e in uscita dalle reti aziendali. La maggior parte dei software DLP si concentra sul blocco delle azioni, e possono anche impedire ai computer dei dipendenti di leggere e scrivere su chiavette USB per impedirne la copia non autorizzata.
Categorie DLP per prevenire e gestire gli incidenti
Per prevenire o gestire incidenti che prefigurano una data loss si adottano diverse soluzioni tecnologiche suddivisibili in determinate categorie che possiamo illustrare così: misure di sicurezza standard e avanzate e sistemi DLP designati.
Misure standard
Esse comprendono firewall, sistemi di rilevamento delle intrusioni (IDS) e software antivirus: si tratta di prodotti comunemente disponibili che proteggono i computer da attacchi esterni e interni. L’impiego di un firewall, per esempio, impedisce l’accesso di estranei alla rete interna e un sistema di rilevamento delle intrusioni rileva i tentativi di intrusione da parte di estranei. Gli attacchi interni possono essere evitati tramite scansioni antivirus che rilevano trojan che inviano informazioni riservate e mediante l’uso di thin client che operano in un’architettura client-server senza dati personali o sensibili archiviati su un dispositivo client.
Misure avanzate
Le misure di sicurezza avanzate utilizzano algoritmi di machine learning e di temporal reasoning per rilevare accessi anomali ai dati (database o sistemi di recupero delle informazioni, per esempio) o scambi anomali di e-mail, honeypot per rilevare personale autorizzato con intenzioni dannose e verifica basata sulle attività e monitoraggio dell’attività dell’utente per rilevare accessi anomali ai dati.
DLP –Data loss prevention designato
Sono sistemi che rilevano e impediscono tentativi non autorizzati di copiare o inviare dati sensibili, intenzionalmente o meno, principalmente da parte di personale autorizzato ad accedere alle informazioni sensibili. Per classificare determinate informazioni come sensibili, questi utilizzano meccanismi come la corrispondenza esatta dei dati, il rilevamento delle impronte digitali dei dati strutturati, metodi statistici, corrispondenza di regole ed espressioni regolari, lessici pubblicati, definizioni concettuali, parole chiave e informazioni contestuali come la fonte dei dati.
Tipologie di sistemaData loss prevention
È possibile nominare tre tipi principali di soluzioni DLP: rete, endpoint e cloud. Ognuna di queste soluzioni offre funzionalità di protezione dei dati distinte, soddisfacendo le esigenze e i requisiti specifici delle organizzazioni.
Le soluzioni DLP di rete si concentrano sulla protezione dei dati in transito all’interno della rete di un’organizzazione, monitorando e controllando i flussi di dati.
Salvaguardando i dati mentre attraversano le reti, tra cui Internet, intranet ed extranet, queste soluzioni di data loss protection aiutano le organizzazioni a mantenere il controllo sulle proprie informazioni sensibili e a prevenire l’accesso non autorizzato. Il software DLP di rete offre ulteriori vantaggi, in termini di maggiore visibilità nel traffico di rete, ispezione dei contenuti per impedire l’accesso non autorizzato o l’esfiltrazione di informazioni sensibili
Le soluzioni DLP endpoint proteggono i dati a livello utente monitorando e controllando l’accesso e l’utilizzo dei dati su dispositivi come laptop, desktop e dispositivi mobili.
Queste soluzioni si concentrano sulla prevenzione della fuga di dati dai dispositivi endpoint, consentendo alle organizzazioni di mantenere il controllo sulle proprie informazioni sensibili e garantire che non vengano utilizzate o gestite in modo improprio. Le soluzioni DLP endpoint rilevano potenziali fughe di dati monitorando i trasferimenti di dati, come e-mail, caricamenti/download di file, utilizzo del dispositivo di archiviazione USB e accesso alla stampante.
Infine, le soluzioni cloud DLP sono progettate per salvaguardare i dati archiviati ed elaborati in sistemi basati su cloud, consentendo alle organizzazioni di rispettare le normative sulla protezione dei dati e bloccando l’accesso non autorizzato. Queste ultime soluzioni fanno sì che enti e aziende possano proteggere i dati sensibili archiviati nel cloud garantendo al tempo stesso la conformità alle normative. Ciò offre doppi vantaggi: mantenere il controllo sui propri dati sfruttando al tempo stesso i vantaggi degli ambienti cloud-based.
Strumenti necessari
Gli strumenti e i software DLP svolgono un ruolo fondamentale nel sostenere le politiche di sicurezza dei dati e nel prevenire la perdita di dati. Sul mercato ne sono presenti diversi e tutti hanno l’obiettivo di aiutare le organizzazioni a scoprire, classificare, monitorare e proteggere i dati sensibili, garantendo che i loro sforzi di protezione dei dati siano completi ed efficaci.
Gli strumenti e il software DLP offrono una gamma di funzionalità e funzionalità, tra cui il monitoraggio in tempo reale, la possibilità di svolgere analytics, di contare su flussi di lavoro automatizzati e di contare sull’integrazione con stack tecnologici già esistenti.
Strategie e best practices
I componenti e le migliori pratiche in tema di data loss protection sono svariati. Un primo, importante, passo in direzione DLP è identificare e classificare i dati in base alla loro sensibilità e importanza. I dati possono essere classificati come pubblici, interni, riservati o altamente sensibili. Questa classificazione aiuta le organizzazioni a capire quali dati richiedono la massima protezione.
Una volta identificati, occorre procedere alla identificazione dei dati. Le organizzazioni utilizzano strumenti e soluzioni DLP per scoprire dove risiedono i dati sensibili all’interno della propria rete e dei sistemi di archiviazione. Questo processo prevede la scansione e l’indicizzazione dei repository di dati per identificare e individuare informazioni sensibili.
Creare policy è un ulteriore passo. Le policy DLP sono regole e linee guida che specificano come devono essere gestiti i dati sensibili. Esse definiscono quali azioni sono consentite o limitate, come il blocco, la crittografia o il monitoraggio dei trasferimenti di dati. Inoltre, possono specificare le condizioni che attivano avvisi o azioni. Stabilire una politica di protezione dei dati e, in particolare, in tema DLP è davvero prezioso. Un quadro politico chiaro aiuta le organizzazioni a garantire che i loro sforzi in materia di protezione dei dati siano coerenti ed efficaci.
DLP spesso include meccanismi di crittografia dei dati, per proteggere dati a riposo (dati archiviati) e i dati in transito (dati trasmessi tra sistemi o su reti). La crittografia garantisce che, anche se i dati vengono intercettati o rubati, rimangono illeggibili senza le chiavi di decrittazione adeguate.
Proteggere gli endpoint è un’altra best practice attuata dalle soluzioni DLP. Esse possono essere implementate sugli endpoint (come laptop, desktop e dispositivi mobili) per monitorare e controllare le attività di trasferimento dei dati su questi dispositivi. Ciò aiuta a prevenire fughe di dati attraverso supporti rimovibili o servizi cloud.
Le soluzioni DLP lavorano per monitorare la rete e i flussi di dati per rilevare e bloccare trasferimenti di dati non autorizzati o tentativi di fuga di dati.
I sistemi DLP possono garantire una risposta agli incidenti: rilevano una violazione delle policy o una potenziale violazione dei dati, generano avvisi e notifiche. Un piano di risposta agli incidenti è fondamentale per affrontare questi incidenti in modo tempestivo ed efficace.
Una buona pratica da considerare sempre è quella di formare i dipendenti: fornire loro conoscenza sulle migliori pratiche di sicurezza dei dati è un aspetto essenziale della DLP. Le persone ben informate hanno meno probabilità di divulgare inavvertitamente dati sensibili.
Le organizzazioni devono puntare su controllo e conformità regolari: devono verificare regolarmente le proprie policy e configurazioni DLP per garantire che rimangano efficaci e conformi alle normative di settore e ai requisiti legali.
