Questo secondo articolo sul Managed File Transfer si occuperà dei benefici per i costi aziendali e per la conformità.
6 – Il Managed File Transfer previene le violazioni di dati
Leggiamo notizie di nuove violazioni di dati praticamente tutti i giorni quindi non dobbiamo stupirci se la sicurezza è diventata la massima preoccupazione per i professionisti dell’IT. I trasferimenti di file sono un’area in cui molte aziende sono purtroppo molto vulnerabili. L’FTP – il protocollo ancora più in uso per i trasferimenti – non è soltanto uno spreco di tempo ma ha anche dei rischi connaturati alla sua struttura che possono diventare una porta aperta per gli attaccanti. Altre note soluzioni per il trasferimento di file come alcune app gratuite comportano altri problemi di sicurezza, quali i controlli dei dati, l’esfiltrazione, lo spionaggio e la gestione delle chiavi.
Di sicuro le violazioni di dati sono costose: il rapporto elaborato da IBM Security e Ponemon Institute – Cost of Data Breach del 2022 – indica come costo medio di una violazione la cifra 4, 35 milioni di dollari. Le stime per l’Italia vedono un dato in crescita dal 2021, dai 3,61 milioni di dollari ai 3,74 del 2022. Per ogni record violato il costo è in media di 164 dollari. In quest’ottica ha senso che una soluzione di MFT per proteggere i vostri file transfer vi porti un ROI significativo, dato che serve a evitare violazioni.
Eppure, quando insistete per farvi approvare una spesa relativa alla sicurezza, dimostrare che questa ha un buon ROI può essere difficile. Una buona soluzione di sicurezza è per sua natura preventiva. Se non avete ancora subito un furto di dati (oppure è successo e non ve ne siete ancora accorti) probabilmente non avete un indicatore preciso per calcolare lo scambio costi-benefici.
I vostri dati hanno sicuramente un valore e sapete bene che dovete proteggerlo. Quindi come fate a sapere che state proteggendo i vostri trasferimenti di file con la soluzione che ha il miglior rendimento? Assicurandovi che il software di managed file transfer scelto possa occuparsi di tutte le minacce alla sicurezza con un’unica soluzione, senza ulteriori acquisti o richieste di script personalizzati.
7 – Una vasta gamma di protocolli di sicurezza
Si sa che l’FTP è vulnerabile. Per fare un esempio, nel 2014 i dati di 7.000 siti FTP, incluso un server gestito dal New York Times, sono stati divulgati in forum underground. In alcuni casi gli hacker hanno usato le credenziali esfiltrate per caricare file infetti.
È quindi fondamentale che le aziende si dotino di metodi per il trasferimento di file più moderni e sicuri dell’FTP come per esempio:
- SFTP e FTPS, questi protocolli FTP riducono significativamente il rischio durante lo scambio di dati usando un canale sicuro tra i due sistemi
- AS2, questo protocollo genera una “busta” per i dati, permettendo di inviarli usando certificazioni e crittografia digitali
- HTTPS, la versione sicura di http, crittografa le comunicazioni tra browser e sito
Il metodo che la vostra azienda deciderà di adottare potrà dipendere da vari fattori, come le richieste di conformità o il protocollo usato dai vostri partner. Le vostre necessità posso inoltre mutare nel tempo. Questa è la ragione per cui il miglior investimento è una soluzione per il trasferimento di file gestito che possa lavorare con il maggior numero di protocolli.
La soluzione di Fortra per il Managed File Transfer, GoAnywhere MFT, gestisce un’ampia gamma di protocolli . Inoltre la distribuzione e la ricezione dei dati potranno essere gestiti da un’unica piattaforma centralizzata, con notevole risparmio di tempo.
8 – Proteggersi dalle persone
Quando pensate a una minaccia informatica per la vostra azienda potreste immaginare degli hacker al lavoro senza sosta per accedere ai vostri sistemi e usare i vostri dati a scopi illeciti. La verità è che una delle più grandi minacce è probabilmente un collega nell’ufficio di fianco.
Secondo una ricerca, gli agenti interni sono i responsabili del 43% delle perdite di dati. In metà dei casi questo è voluto – impiegati scontenti o corrotti, aziende partner o fornitori che deliberatamente rubano i dati. L’altra metà invece è accidentale, cosa che si può risolvere con un software di Data Loss Prevention, facilmente integrabile nella vostra soluzione di Managed File Transfer. A tutti piace fare presto: se le regole di sicurezza vengono vissute come un rallentamento dell’attività quotidiana, sarà probabile che alcuni decidano di correre dei rischi per fare prima, mettendo in pericolo dati e file.
Qualsiasi soluzione di trasferimento di file con un buon ROI deve quindi poter fronteggiare anche la minaccia che arriva dall’interno dell’azienda. Vi servono opzioni di sicurezza basate su ruoli, che limitino gli accessi ai server e alle funzioni di managed file transfer che devono davvero utilizzare. Dettagliati registri di controllo significano che potete sempre sapere chi sta facendo cosa con la soluzione. In più, una soluzione di MFT dovrebbe potersi integrare con un software di Data Loss Prevention per prevenire la condivisione accidentale di dati confidenziali.
9 – Assicurare la conformità con il Managed File Transfer
In molte aziende policy di sicurezza inadeguate non mettono a rischio soltanto i dati dell’azienda stessa: queste pratiche possono mettere in pericolo anche informazioni altamente sensibili quali numeri di carte di credito e dati sanitari. Per questa ragione esistono dei regolamenti per proteggere i dati personali. I più noti sono PCI DSS, Sarbanes-Oxley, GDPR e HIPAA ma ogni azienda può avere i propri.
Stando alla ricerca del Ponemon Institute, il costo di una violazione può essere significativamente ridotto grazie a un piano o a un team di Incident Response, l’uso intensivo di crittografia e di strategie e tecnologie di BCM (Business Continuity Management) e DLP (Data Loss Prevention). I potenziali risparmi fanno vedere chiaramente quale sia il ROI dell’installare una soluzione di sicurezza e conformità.
Per i trasferimenti di file, la vostra piattaforma di Managed File Transfer dovrebbe avere una varietà di metodi di crittografia in grado di proteggere i dati sensibili, tra cui SSL, SSH, AES e Open PGP. Ci dovrebbero essere anche registri di audit così che si possa facilmente stabilire quali file sono stati inviati, quando e chi siano mittente e destinatario.