Che cos’è la sicurezza dei dati e perché è necessaria? La sicurezza dei dati è la protezione delle informazioni in tutto il loro ciclo di vita ed è necessaria perché i dati digitali sono ovunque. Basta guardare alle quantità che vengono inviate online ogni settimana, ogni giorno, ogni ora o addirittura ogni secondo, per capire quante informazioni vengano condivise. Stando ai numeri, all’inizio del 2020 il totale dei dati era stimato attorno ai 44 zettabyte (1 ZB = 1021 byte ). Pensando a quanti dati vengono creati ogni giorno, gli esperti prevedono che ci saranno probabilmente 175 zettabyte di dati nel 2025.
Lavorando, noi stessi ogni giorno condividiamo informazioni. La quantità e la varietà di entità e persone con cui li condividiamo sono cresciute esponenzialmente. Non c’è più il semplice limite del perimetro aziendale: ora il confine si è allargato fino a includere partner, fornitori, clienti, prospect e influencer in tutto il mondo.
Di conseguenza la sfida per le maggior parte delle aziende è: come possiamo condividere i dati in modalità protetta e sicura?
- Più normative, più data breach
- Prevenire gli accessi a informazioni sensibili e confidenziali
- Avere un approccio di cybersecurity “risk based”
- Conclusioni
1 – Più normative, più data breach
La buona notizia è che ci sono più regole per gestire i dati, regole che impongono alle organizzazioni di proteggerli da accessi non autorizzati. Tuttavia, la cattiva notizia è che ci sono ancora più data breach. E se per caso i vostri dati possono essere oggetto di attacchi da parte di cybercriminali o anche solo per un errore umano, purtroppo dovete prepararvi a pagare. Secondo l’indagine di IBM, il costo medio di un data breach è stimato attorno ai 3.86$ (in Italia 3.19$).
In aggiunta a tutto ciò c’è il fatto che il lavoro da remoto è diventato una pratica comune e quotidiana per molte aziende, con persone che hanno bisogno di collaborare in modalità protetta da qualsiasi sede; è facile immaginare quanto velocemente si ampli il rischio, con una superficie d’attacco così estesa.
La sfida è trovare una soluzione che sia in grado di gestire lo scambio di file o lo scambio sicuro di informazioni confidenziali regolarmente. Spesso può essere impegnativo tracciare cosa succede alle informazioni dopo che sono state condivise o capire se avessero dovuto essere condivise, in prima luogo.
2 – Prevenire gli accessi a informazioni sensibili e confidenziali
Le aziende devono di conseguenza avviare i dovuti processi per prevenire accessi non autorizzati alle informazioni sensibili e confidenziali e per prevenire la perdita accidentale o la cancellazione di qualsiasi tipo di dato personale. Per fare un esempio, le aziende del settore pubblico britanniche utilizzano delle forme di Protective Marking System per agevolare il compito di capire quali siano i dati riservati che devono essere protetti. Con questo sistema si evidenzia la riservatezza delle informazioni e diventa facile per il personale decidere quali come e con chi condividere i dati in sicurezza.
Le aziende del settore privato di solito non utilizzano queste politiche e così capita di lasciare i dipendenti incerti su quale sia un’informazione sensibile o confidenziale. È quindi importante che le aziende cerchino di impostare una politica di sicurezza grazie alla quale i dipendenti siano istruiti e addestrati su come schedare adeguatamente i dati, gestirli, inviarli e cancellarli. E naturalmente che abbiano gli strumenti e le tecnologie giuste che permettano loro di fare tutto ciò in modo efficiente, proattivo e sicuro.
3 – Avere un approccio di cybersecurity “risk based”
Le aziende dovrebbero avere un approccio “risk based” per determinare quali siano le misure di sicurezza più adatte. Per esempio, quando un impiegato invia informazioni confidenziali deve essere sicuro che il destinatario capisca prima di tutto lo scopo della condivisione e in secondo luogo le condizioni alle quali a sua volta potrà o non potrà ri-condividerle con altri. Le persone devono anche essere sicure che qualsiasi passaggio di informazioni successivo a quello compiuto da loro sia protetto. Questo vale sia per le condivisioni interne all’azienda che per quelle al suo esterno.
Ogni azienda ha bisogno di capire quali sono i dati di cui i propri partner avranno bisogno e perché, oltre a capire quale rischio questi dati comportano. Parimenti, devono capire quali controlli hanno messo in campo i partner, per proteggere i dati e per proteggersi da minacce in entrata e in uscita. Questa attività deve essere monitorata, registrata e regolarmente rivista e si dovrebbe stabilire una routine essenziale di controllo e verifica, tra le aziende e i loro partner esterni.
Siamo orgogliosi del nostro approccio stratificato alla data security, che comincia con il capire e classificare i vostri dati e identificando le informazioni da proteggere. Gli strumenti di Data Classification sono fondamentali per assicurarsi che dati sensibili siano adeguatamente trattati e archiviati durante il loro ciclo di vita e anche eliminati al termine del loro utilizzo, secondo la loro importanza per le aziende. Grazie a una corretta catalogazione questo approccio protegge le organizzazioni dal rischio di esfiltrazione di dati sensibili.
Può capitare che i dipendenti mandino dati riservati alla persona sbagliata o inviino un documento protetto ma che contiene metadati nascosti critici per l’azienda. Ci sono innumerevoli tipi di scenari che possono mettere a rischio una struttura: per proteggersi da questi rischi bisogna avere una soluzione che individua e sanifica i dati in tempo reale, prima del furto o della perdita di dati. Le aziende hanno bisogno limitare i danni preventivamente e questo significa anche che i documenti caricati o scaricati dal web devono essere analizzati in profondità. Per farlo hanno bisogno di una soluzione di DLP integrata, che sia in grado di rimuovere i rischi da email, web e end point mentre si mantiene inalterato il flusso di informazioni.
Dopo essersi assicurati che i dati siano identificati e catalogati, ripuliti da dati potenzialmente sensibili e autorizzati per invio a destinatari certi, bisogna trasferirli in modo sicuro. Questo obiettivo può essere raggiunto grazie alla crittografia o, in caso di grandi quantità di dati, con una soluzione di MFT.
Infine, per proteggere e poter condividere i dati sempre e ovunque, un software di Digital Rights Management fornisce alle aziende la possibilità di tracciare, monitorare e revocare l’accesso in qualsiasi momento, crittografando i dati con chiave unica nel cloud.
4. Conclusioni
Stratificare le soluzioni di data security è un approccio proattivo per proteggere i dati confidenziali e le informazioni personali. La Data Security è potente solo quanto i vari elementi che la compongono. Disporre di più livelli di soluzioni per assicurarsi che i dati siano protetti dall’inizio alla fine vi aiuterà a evitare compromissioni, insieme ai danni economici e di reputazione che le accompagnano.
Se siete interessati a scoprire di più su vari casi di best practise per la condivisione sicura di dati, scaricate la nostra guida.
Traduzione in italiano da https://www.clearswift.com/