Emiliano Massa di Proofpoint spiega come trovare il giusto approccio alla Data Loss Prevention per la protezione dei dati sensibili.

data-loss-prevention

La trasformazione digitale può mettere un’azienda moderna di fronte a un bivio. I professionisti della security si trovano spesso a dover scegliere tra proteggere efficacemente l’organizzazione e garantire produttività e privacy dei dipendenti.
Quando le aziende utilizzano strumenti di prevenzione della perdita di dati (Data Loss Prevention), sono in genere costrette a prendere una decisione binaria quando si tratta di proteggere la proprietà intellettuale aziendale. Nello specifico, devono scegliere tra:

  • Applicare rigorosi controlli di prevenzione e impiegare un monitoraggio completo (approccio rigoroso).
  • Limitare il più possibile l’impatto sulla produttività e sulla privacy dei dipendenti (approccio flessibile).

Nel determinare quale sia l’approccio migliore, sarà necessario bilanciare attentamente una serie di priorità concorrenti, tra cui i tre aspetti seguenti:

  1. Sicurezza delle informazioni: proteggere i dati sensibili dell’azienda.
  2. Produttività degli utenti: garantire loro l’accesso ai dati di cui hanno bisogno.
  3. Privacy dei dipendenti: rispettare la loro privacy quando utilizzano le risorse aziendali.

Sicurezza delle informazioni

La protezione delle informazioni sensibili non può essere un approccio unico, perché la loro definizione può essere diversa per ogni organizzazione. I servizi finanziari possono preoccuparsi di proteggere i numeri delle carte di credito, mentre le agenzie governative quelli di previdenza sociale. Le aziende biotecnologiche e di scienze biologiche devono salvaguardare la ricerca scientifica, mentre quelle manifatturiere e high-tech probabilmente i progetti di ingegneria.

Il primo passo è quindi quello di capire quali informazioni sia necessario proteggere. Una soluzione moderna per la sicurezza dei dati deve fornire un modo per classificarli e rappresentarli nell’ambito di policy Data Loss Prevention in modo unificato.

Produttività degli utenti

La protezione delle informazioni sensibili è il fulcro di qualsiasi soluzione Data Loss Prevention, ma non può avvenire a scapito della produttività degli utenti, sulla quale si base il funzionamento dell’azienda.

La protezione dell’organizzazione da utenti a rischio non richiede l’implementazione di un approccio restrittivo per tutti. Le aziende devono valutare l’impatto sulla produttività quando i dipendenti non sono in grado di svolgere efficacemente le attività a causa delle limitazioni imposte all’accesso e alla condivisione dei dati.

Una moderna soluzione di protezione delle informazioni deve quindi essere abbastanza flessibile da implementare diversi criteri di sicurezza, in base al dipendente che tratta le informazioni (contesto) e ai dati trattati (contenuto).

Privacy dei dipendenti

La policy sulla privacy di un’azienda è in genere dettata da due aspetti concorrenti:

  1. Le norme regolamentari e di conformità applicabili al luogo in cui i dipendenti vengono monitorati.
  2. La cultura aziendale del rispetto della privacy dei dipendenti.

La conformità alle normative sulla privacy è obbligatoria e stabilisce, ad esempio, quali dati vengono monitorati, come e dove si utilizzano, e come e per quanto tempo vengono conservati. Al di fuori di queste normative, la cultura aziendale e fattori quali le sedi di lavoro dei dipendenti (virtuali o fisiche) rappresentano ulteriori sfide per l’implementazione di pratiche efficaci di gestione dei dati.

Indipendentemente dai driver e dal peso attribuito ai diversi fattori, una soluzione efficace per la protezione delle informazioni deve fornire almeno quanto segue:

  • Gestione flessibile delle policy per monitorare gli utenti a rischio in modo più intensivo rispetto agli altri.
  • Opzioni di archiviazione dei dati geograficamente diverse per gestire la sovranità dei dati a livello globale.
  • Accesso granulare per garantire che i dati dei dipendenti siano disponibili solo in base alla necessità di conoscerli.
  • Anonimizzazione per proteggere l’esposizione ingiustificata di informazioni di identificazione personale, informazioni sanitarie protette e identità degli utenti.

Per proteggere in modo efficace l’organizzazione senza mettere produttività e privacy a rischio, esistono due approcci di massima:

  1. Rigido
  • Iniziare con i controlli di prevenzione più forti su tutti gli utenti:
    • Educare gli utenti sul perché di queste verifiche e quando avanzare richieste di eccezioni.
    • Concedere eccezioni tramite escalation per supportare le esigenze aziendali
  1. Flessibile
  • Iniziare con le policy di monitoraggio per comprendere i potenziali comportamenti a rischio.
  • Educare gli utenti alle migliori pratiche di condivisione delle informazioni aziendali.
  • Stabilire controlli di prevenzione basati sull’osservazione di comportamenti a rischio.

Seguendo entrambi gli approcci, il rispetto della privacy dei dipendenti rimane una preoccupazione condivisa che viene affrontata in base alle normative locali e alle esigenze di compliance. Ad esempio, le schermate delle attività dei dipendenti vengono generalmente acquisite quando dati sensibili sono a rischio o se l’utente fa un uso improprio delle risorse. Tuttavia, tale acquisizione viene quasi sempre evitata se c’è il rischio di catturare informazioni personali di un dipendente.

Determinare l’approccio giusto alla Data Loss Prevention

Come si può immaginare, la scelta dell’approccio corretto alla Data Loss Prevention è più un’arte che una scienza. Per trovare un equilibrio tra sicurezza, produttività e privacy, è opportuno porsi le seguenti domande:

  • Quali sono le esigenze aziendali e i requisiti di conformità? Quale il settore e gli obiettivi desiderati per il programma DLP?
  • Come si allineano i vantaggi agli obiettivi aziendali?

Se si opera in un settore regolamentato e si deve limitare l’accesso ai dati sensibili per motivi di conformità, l’approccio più adatto potrebbe essere quello rigoroso. Se invece si vuole consentire ai dipendenti di condividere rapidamente i dati e rimuovere gli ostacoli all’innovazione, si può prendere in considerazione un approccio flessibile.

Se un’azienda collabora con molti fornitori di terze parti, il rischio è più elevato e quindi potrebbe essere necessario un approccio rigoroso. Meglio ancora, una soluzione che offra la flessibilità di selezionare solo gli utenti a rischio darà la possibilità di bilanciare l’approccio rigoroso con uno flessibile, noto anche come approccio ibrido:

data-loss-prevention

Panoramica di un approccio ibrido per la Data Loss Prevention

di Emiliano Massa, Area Vice President Sales, Southern Europe, Proofpoint