CA Technologies, una delle principali società di software per la gestione dell’IT, ha divulgato i risultati di uno studio europeo sulla sicurezza informatica, secondo cui il 40% delle aziende italiane avrebbe adottato soluzioni di Data Loss Prevention (DLP). Questo dato si inserisce in un quadro europeo che vede l’Italia svettare su tutti gli altri Paesi europei per le apprensioni circa le ricadute delle norme sulla protezione dei dati sensibili (come il Codice della privacy) nei prossimi cinque anni, avendo totalizzato 3,7 punti su una scala di gravità del problema da 1 a 5 rispetto a una media europea di 3,2. In mancanza di una maggiore spinta ad adottare le misure necessarie a identificare i dati riservati presenti in tutta l’impresa per la tutela contro eventuali perdite o usi impropri, le aziende italiane rischiano gravi conseguenze derivanti dalla mancata osservanza di legge, da potenziali danni alla reputazione del brand e da un calo della competitività.“Secondo lo studio commissionato da CA Technologies, l’utilizzo delle soluzioni DLP fra le aziende italiane supera del 12% la media europea”, afferma Elio Molteni, Senior Technology Specialist di CA Technologies.“Sebbene questo dato possa apparire confortante, il livello di adozione delle tecnologie di sicurezza dei dati risulta ancora inadeguato, nonostante la diffusione delle norme emanate dal Garante della Privacy. Un’architettura COA (Compliance-Oriented Architecture) può ridurre il rischio della perdita di dati, in quanto associa l’utilizzo delle informazioni ai singoli utenti per mezzo di apposite policy ad applicazione obbligatoria”. Per essere efficace, una COA, definita come “un insieme di policy e best practice, applicate, ove possibile, con l’aiuto della tecnologia per ridurre al minimo la potenziale perdita di dati e consentirne la tracciabilità in caso di infrazione”, necessita di:1. Soluzioni IAM (Identity & Access Management) che consentano alle aziende di sviluppare una buona comprensione delle persone e dei rispettivi ruoli e responsabilità, nonché di definirne e applicarne i privilegi d’accesso; solo il 33% delle organizzazioni italiane dispone di un sistema IAM completo in azienda.2. Capacità di localizzare e classificare i dati; il 53% degli intervistati ha risposto di avere strumenti in grado di farlo3. Un sistema per l’applicazione delle policy che associ i ruoli degli utenti all’utilizzo dei datiMolti tool di Data Loss Prevention automatizzano il secondo e il terzo elemento in misura variabile. Inoltre, come già accennato, il 40% delle aziende italiane si avvale già di una tecnologia DLP. Un’architettura COA non deve partire da zero poiché può fondarsi su standard di sicurezza di larga adozione quale l’ISO 27001. In Italia l’utilizzo degli strumenti di IAM e delle tecnologie DLP è in linea con la diffusione della norma ISO 27001 fra le realtà italiane. Stando allo studio, il 57% dei soggetti italiani intervistati implementa già lo standard ISO 27001 (con o senza certificazione) contro una media europea del 39%. La più grande fonte di preoccupazione dei responsabili della gestione della sicurezza IT è l’eventuale impatto degli strumenti Web 2.0, voce che in Italia ha totalizzato 3,3 punti su una scala da 1 a 5, rispetto alla media europea di 2,6. Come prevedibile, è la condivisione dei dati fra gli utenti (spesso su Internet) a causare molti dei noti ‘incidenti’ che provocano la perdita di dati riservati. Le altre minacce di rilievo citate dagli intervistati italiani sono state il malware (con un punteggio di 3,3 contro una media europea di 2,9), la compromissione dei dati confidenziali (3,2 rispetto a una media europea di 2,7) e le attività degli utenti esterni (3,1 contro una media europea di 2,7).“Oltre a offrire la possibilità di individuare e classificare accuratamente i dati, una metodologia per la sicurezza dei dati incentrata sulle identità degli utenti serve anche a sorvegliarne l’utilizzo nel contesto aziendale, consentendo di monitorare e vigilare sulle informazioni senza rinunciare ad attuare policy predefinite e tarate sui diritti dei soggetti interessati” continua Molteni.“Le aziende devono riuscire a realizzare un giusto equilibrio fra la tutela efficace del patrimonio informativo e la messa in atto di misure di sicurezza flessibili che consentano il massimo rendimento degli utenti”. Le soluzioni di Data Loss Prevention sono sempre più utilizzate per il controllo delle informazioni, anche alla luce del fatto che le Authority tendono a prescrivere sanzioni sempre più aspre nel tentativo di imporre una maggiore disciplina e fungere da deterrente. Alcune organizzazioni, ad esempio, si servono già di tool DLP dotati di funzioni dettagliate di analisi dei contenuti per individuare e impedire accordi sui prezzi, appalti truccati e altre forme di collusione. Altre li impiegano semplicemente per verificare che vengano distribuite solo le versioni più recenti dei resoconti destinati alla diffusione pubblica.Gli strumenti DLP servono anche a educare i fruitori delle informazioni, promuovendo in tutta l’azienda una cultura fondata sulla conformità normativa ¯ ad esempio, avvertendo gli utenti che, in base al loro ruolo lavorativo, l’esecuzione di determinate operazioni su certe tipologie di dati costituisce una violazione delle procedure aziendali in materia di sicurezza. Con il proliferare delle organizzazioni che adottano ambienti di cloud computing per trattare e conservare i dati su infrastrutture gestite da soggetti esterni, si avverte più che mai la necessità di applicare policy di sicurezza a livello dei dati. Lo studio commissionato da CA Technologies evidenzia che la sicurezza informatica è un fattore chiave per la diffusione del cloud computing nelle aziende italiane (con un totale di 2,9 punti su una scala da 1 a 5). Le tecnologie di Data Loss Prevention aiutano a comprendere la criticità dei dati, permettendo di operare decisioni in tempo reale sui dati da trattare e/o conservare nell’ambiente cloud. I dipendenti non devono essere necessariamente al corrente di tutte le problematiche e possono tranquillamente ignorare, ad esempio, che copiando un documento da un luogo a un altro se ne provoca il trasferimento da un’infrastruttura gestita internamente a un’infrastruttura esternalizzata.“L’indagine di CA Technologies, intitolata ‘Identity-Centric Data Loss Prevention¯Avoiding Damage to Brand, Reputation and Competitiveness Through the Loss and Misuse of Data’, mostra in maniera chiara e puntuale che una schiacciante maggioranza delle aziende italiane ha bisogno della tecnologia DLP per supportare efficacemente le proprie esigenze di compliance, tutelare il valore del brand e incrementare la competitività,” ha dichiarato Shirief Nosseir, EMEA Security Product Marketing Director di CA Technologies. “Con la progressiva scomparsa di confini perimetrali netti nella rete appare chiara la necessità di salvaguardare i dati durante tutto il loro ciclo di vita, anziché limitarsi alle risorse comprese nella rete. È opportuno comprendere e classificare correttamente le informazioni, applicando apposite policy per stabilire chi ha il permesso di utilizzarle e in quali modalità. Il raccordo fra DLP e IAM offre la combinazione ideale: permettere alle aziende di localizzare, monitorare e controllare le informazioni sensibili ovunque esse si trovino, verificando allo stesso tempo che vengano utilizzate solo dai soggetti autorizzati, nelle modalità consentite e subordinatamente ai rispettivi ruoli e privilegi. In pratica, con la proliferazione delle informazioni riservate fra imprese, questa accoppiata rende possibile realizzare un sistema pratico per applicare il principio del ‘privilegio minimo’ a livello dei dati stessi”.
Bob Tarzey, Analyst e Director di Quocirca Ltd., ha commentato: “Le recenti clamorose violazioni dimostrano che i dati memorizzati in formato elettronico sono spesso mal custoditi. La mancata protezione dei dati costa cara, anche alla luce delle ingenti pene pecuniarie comminate dalle autorità. A ciò si aggiunge il danno alla reputazione e la potenziale perdita del vantaggio competitivo. Oggi esiste una tecnologia in grado di collegare tramite apposite policy l’uso dei dati ai relativi fruitori che permette di realizzare un’architettura COA basata su standard di sicurezza largamente accettati quali l’ISO 27001. Tale architettura permetterà alle aziende italiane una condivisione sicura delle informazioni ¯ sia all’interno che verso l’esterno ¯ garantendo sia la continuità dei processi aziendali che un adeguato governo dei dati”.
