Tutela delle informazioni: serve una protezione completa dei dati riservati

Il garante della privacy ha sanzionato, di recente, l’amministrazione pugliese per 40mila euro: nel 2005 pubblicò un bando per l’acquisto di strumenti informatici “per facilitare la connettività sociale di soggetti con disabilità motorie e sensoriali”, violando però le regole di riservatezza sulla salute dei cittadini. Ben 4.500 soggetti disabili, tra cui diversi minorenni, si trovarono improvvisamente un po’ troppo connessi: nome, cognome e grado di disabilità… tutti i dati risultavano pubblici; bastava digitare nome e cognome e in rete apparivano tutte le informazioni riservate (fonte: Il Fatto Quotidiano, 21 dicembre 2010).
Ricordiamo questo recente fatto di cronaca con Antonio Forzieri, Principal Security Consultant in Symantec, perché ben identifica il problema della tutela delle informazioni, oggi diventato la priorità numero uno nelle strategie di sicurezza aziendali. “Si è passati nell’ultimo decennio da un modello di It security, basato sulla protezione dei confini aziendali dalle minacce esterne, a un modello incentrato sulla tutela dell’informazione – osserva Forzieri – in contesti dove non si può più parlare di confini e dove le minacce sono altresì esterne e interne e non necessariamente legate a eventi volontari. Pensiamo, per esempio, alla perdita o al furto di un notebook o di uno smartphone utilizzato da una persona abituata a lavorare in mobilità; anche in buona fede, potrebbe bastare una piccola negligenza per esporre la propria azienda a dei rischi elevati”.
“Il rischio di potenziali perdite di dati è elevato – evidenzia Forzieri – e non si deve commettere l’errore di focalizzare le azioni di protezione e tutela solo sulle informazioni ritenute maggiormente sensibili (per esempio, la protezione dei brevetti o dei disegni progettuali, ecc.). La perdita di informazioni critiche rappresenta un grave disagio per l’azienda e gli attuali criminali informatici proliferano usando le informazioni che riescono a raccogliere senza autorizzazione, sfruttando proprio vulnerabilità e falle che, a volte, possono essere di comportamento e non di sistema”.
L’invio accidentale di informazioni riservate, spiega Forzieri, può avvenire anche tramite e-mail. Anche un documento archiviato nel posto sbagliato o senza il rispetto di determinate policy può rivelarsi un’azione dannosa. Cosa fare allora? “Innanzitutto, affrontare le minacce alle informazioni riservate con un approccio proattivo basato sul concetto di rischio e, quindi, mitigazione dello stesso – precisa Forzieri -. L’azienda deve guadagnare la massima visibilità sulle attività legate ai dati riservati (storage, trasmissione e utilizzo delle informazioni) per identificare le maggiori aree di esposizione; proteggere dagli abusi interni o dalle configurazioni errate dei sistemi, anche attraverso apposite policy e sistemi di controllo delle stesse; crittografare portatili, desktop, dispositivi multimediali rimovibili e comunicazioni di rete dei dipendenti; ridurre il rischio di perdita di dati con azioni correttive per la conformità dei documenti e aumentare la sensibilizzazione dei dipendenti in tema di standard di sicurezza per mezzo di notifiche in tempo reale”.
“Rilevazione, monitoraggio, protezione e gestione sono i quattro capisaldi su cui le aziende dovrebbero costruire una solida strategia di sicurezza improntata alla tutela delle informazioni”, interviene Lina Novetti, Head of Security Sales Mediterranean Region di Symantec.
Rilevare dove sono archiviati i dati significa fare ricerche accurate sia a livello di network sia di endpoint per identificare errori, dati archiviati in modo non corretto, copie di dati obsolete o non protette presenti sui dispositivi personali, ecc. “Anche il monitoraggio è un’attività che deve essere svolta sia a livello di rete che di dispositivi – osserva Novetti -. I controlli, che devono essere quanto più automatizzati possibile, devono coinvolgere tutte le attività e gli strumenti utilizzati per lo scambio e la trasmissione delle informazioni, comprese le e-mail, le chat, l’archiviazione su cd-rom o supporti usb in modo da bloccare in tempo reale eventuali scambi pericolosi, magari dovuti anche a semplice distrazione (motivo per cui i messaggi di alert possono anche essere personalizzabili, con l’obiettivo di “guidare” e sensibilizzare l’utente)”.
La protezione, infatti, deve seguire un approccio orientato alla prevenzione e, oltre a strumenti di crittografia e protezione automatica (come per esempio la messa in quarantena automatica o la riparazione di file danneggiati), servono sistemi che, per esempio, a livello di network possano bloccare l’invio di comunicazioni di rete in violazione delle policy di sicurezza, rimuovere contenuti dannosi dai messaggi e-mail o crittografarli in modo automatico al loro invio. “A livello di endpoint – aggiunge Novetti – adottare un approccio preventivo significa impedire che documenti e informazioni vengano scaricati su unità locali, copiati su dispositivi mobili, stampati o inviati via fax o e-mail, ecc. In questi casi le notifiche automatiche sono un valido aiuto anche per “educare” i dipendenti e ricordare loro le policy di sicurezza vigenti”.
Infine, la gestione. “Symantec Data Loss Prevention fornisce una soluzione unificata per rilevare, monitorare e proteggere i dati riservati ovunque siano archiviati o utilizzati – evidenzia Novetti -. Symantec offre copertura completa dei dati riservati a livello di endpoint, rete e sistemi di storage garantendo una riduzione misurabile del rischio, dimostrando la conformità e proteggendo al contempo l’immagine e la proprietà intellettuale delle aziende”.
“Dal punto di vista della gestione – conclude Novetti – la Data Loss Prevention (Dlp) Enforce Platform di Symantec consente di applicare automaticamente policy universali per la prevenzione della perdita dei dati tramite una piattaforma centralizzata per la rilevazione, il workflow e l’automazione degli interventi di rimedio degli incidenti, il reporting, la gestione e la sicurezza dei sistemi. Il vantaggio è che si ha un’unica soluzione per la gestione universale delle policy Dlp e per l’applicazione automatica di policy specifiche da distribuire ovunque”.