L’assunto di partenza è semplice e lapidario: nella società dei dati, sono i dati che devono essere protetti. I software di Data loss prevention non sono di conseguenza un’opzione, così come non possono essere applicate su base volontaria le norme per la protezione delle informazioni.
La Data loss prevention (DLP) è da considerare, per gravità, al pari del furto di dati pure considerando che, in quest’ultimo caso le informazioni vengono letteralmente trafugate da soggetti terzi esterni all’azienda mentre, quando si parla di Data loss, è l’impresa stessa che disperde dati ritenuti sensibili.
Dati è una parola contenitore, tant’è che non tutti i dati sono uguali ma questo non esclude a priori la necessità di proteggerli, ed è in questo contesto che subentrano i software per la Data loss prevention.
Data loss prevention: definizione e principali vantaggi per le aziende
Consultando diverse fonti si ottengono definizioni differenti e non c’è da stupirsi. Le descrizioni, soprattutto quelle tecnologiche, tendono a essere multiforme e a cambiare con l’espandersi della portata delle tecnologie stesse.
Tuttavia, in linea con quanto vedremo più avanti, abbozziamo una definizione che a nostro avviso bene si addice a ciò che la Data loss prevention è oggi: “un insieme di tecniche utili a identificare e proteggere i dati da usi non autorizzati tanto all’interno di un’azienda, quanto al suo esterno”. Definizione certamente incompiuta ma attuale.
La Data loss prevention (DLP) si estende a tutto il ciclo di vita del dato, sia quando è in transito, quando viene elaborato, impiegato e anche quando è memorizzato e archiviato. La sensibilità del dato è invece un concetto variabile a seconda dell’azienda e del contesto in cui questa si situa ma ci sono alcuni capisaldi, così come impongono le norme nazionali e sovranazionali in materia di privacy e compliance.
Oltre all’aspetto normativo il cui rispetto, tra le altre cose, è un vantaggio per le imprese, chi adotta politiche e strumenti di DLP ottiene altri benefici a cominciare dalla maggiore possibilità di evitare dispersioni di dati che si trasformano in sfiducia da parte del mercato, degli stakeholders e – in particolare – da parte degli investitori.
Altri vantaggi immediatamente spendibili sono:
- l’allestimento di politiche di protezione e di accesso dei dati all’interno e all’esterno dell’impresa
- la scoperta tempestiva delle interazioni e degli accessi ai dati non autorizzati
- la diffusione della cultura digitale all’interno dell’azienda
- la diffusione della cultura della cyber security tra tutti i collaboratori
Non da ultimo, ma si tratta di un beneficio a latere, sapere trattare i dati sensibili è uno degli standard minimi attesi dal mercato e dal legislatore. Farlo nel modo corretto coincide con la sopravvivenza di ogni impresa, organizzazione o ente.
I tool di Data loss prevention: panoramica completa
Considerando la Data loss prevention al pari di una combinazione di tool e procedure dedite al monitoraggio e alla valutazione dei dati, tali tool sono da intendere come una suite di strumenti che possono anche essere riuniti in gran parte in un unico software ma che, per propria natura, sono da valutare nell’ottica dell’implementazione modulare che dipende anche dalle tecnologie di cyber security già in uso in ogni singola azienda.
Di norma i software DLP monitorano i dati in tre momenti diversi:
- endpoint, ossia l’analisi dei dati sui dispositivi che si connettono a internet. Per esempio, il software può impedire che i dati vengano salvati su supporti non autorizzati
- data discovery, uno strumento che esegue lo scan di ogni risorsa di archiviazione (locale o in cloud, supporti di backup, eccetera) e valuta i dati che vi sono contenuti
- appliance di rete, il traffico dati viene costantemente esaminato per supervisionare lo scambio di dati tra utenti e applicazioni
I tre momenti sono riconducibili a quelle fasi del ciclo dei dati che vengono chiamate “Data in transit”, “Data in use” e “Data at rest”.
Data in transit fa riferimento ai dati che stanno transitando sulla rete interna o esterna, Data in use riguarda la protezione dei dati quando vengono elaborati o modificati mentre Data at rest è afferente ai dati memorizzati nei dispositivi adeguati e autorizzati.
Funzionalità chiave dei tool di Data loss prevention
Si tratta quindi di avere una strategia che non può essere considerata univoca e standard ma che deriva da aspetti comuni i quali, in sostanza, devono tenere conto di aspetti i quali diventano pressoché in modo automatico le funzionalità che i software o gli strumenti di Data loss prevention devono possedere. Ovvero:
- classificare i dati. Si tratta a tutti gli effetti di creare categorie di dati in base all’applicazione che li usa o li genera, dell’utente che li tratta e dello storage nel quale sono conservati. In questo modo è possibile monitorarne l’uso e di sapere la natura del dato stesso in base alla sensibilità (numeri di carte di credito, nomi, nickname, indirizzi fisici, eccetera)
- stabilire la criticità dei dati. Non tutti i dati possono essere considerati sensibili e quelli che sono da trattare come tali possono sottostare a logiche diverse di priorità di protezione
- facilitare la comprensione del momento in cui i dati sono a rischio
- monitorare i dati in transito
Tutto ciò da solo non è sufficiente. I software DLP facilitano il compito all’essere umano ma non possono soppiantarne il potere decisionale e le qualità organizzative necessarie alla loro implementazione.
Occorre quindi che ogni azienda decida a tavolino le modalità con cui affrontare il dispiego dei software e degli strumenti DLP, tenendo conto che la scelta del software va tarata sulle esigenze dell’impresa stessa e queste potrebbero cambiare nel corso del tempo.
È necessario anche stabilire, magari per escalation, quali collaboratori devono intervenire nel caso in cui la soluzione DLP riscontrasse anomalie. Non da ultimo, tutto il personale dell’azienda deve essere formato all’uso di un software DLP e, per metterlo in condizione di operare al meglio, può essere necessario creare un’unità di supporto, un gruppo di persone il cui numero varia a seconda della grandezza dell’impresa.
Data loss prevention e compliance
Le norme e regole nazionali e sovranazionali puntano nella direzione della protezione della privacy. I dati sensibili racchiudono informazioni personali che possono persino ricondurre all’identità degli individui. I software DLP servono anche a trasmettere fiducia nelle persone che condividono i propri dati, le quali necessitano di sapere che questi sono custoditi nel modo più sicuro possibili.
Non a caso l’articolo 4 del GDPR stabilisce che un dato personale è “Qualsiasi informazione che riguarda una persona fisica identificata o identificabile”. Sono quindi da ritenere personali i dati quali nome e cognome, indirizzo fisico, indirizzo email, codice fiscale e così via. In Europa la questione viene approfondita in modo sostanziale, tant’è che il GDPR considera inviolabili anche il credo religioso, l’orientamento sessuale e tutte le informazioni riguardanti la salute. I software DLP devono quindi mettere a disposizione gli strumenti necessari a raggiungere la conformità (la compliance).
La Data loss prevention, giova ricordarlo, è un insieme di tool, software e processi. Un mix che va sapientemente implementato e distribuito lungo tutta la filiera dei dati delle imprese e, di conseguenza, si miscela anche con principi di cyber security.
Data loss prevention e cybersecurity
I software di Data loss prevention non sono in nessun modo comparabili alle difese delle aziende, tant’è che vanno accompagnati da soluzioni Endpoint Detection & Response (EDR) e soluzioni Intrusion Detection System (IDS).
Credere che un sistema DLP sia sufficiente a scongiurare il peggio in caso di incursione è fuorviante, basti pensare che uno dei punti apicali dei software LDP sono le risorse hardware sulle quali sono conservate i backup dei dati, vitali soprattutto in caso di attacchi ransomware.
Occorre anche adottare politiche di protezione delle risorse cloud, perché il dato va protetto lungo tutta la filiera e, in un mondo che si sposta sempre più verso le soluzioni As-a-Service, il perimetro della sicurezza aziendale è mutevole e non sempre chiaramente circoscritto.
Data loss prevention e trasformazione digitale
Ribadiamo quanto sostenuto in apertura: laddove i dati diventano sempre più fondamentali, questi vanno protetti con la medesima premura e solerzia con le quali ogni azienda protegge il proprio business.
Senza cultura del dato e senza capacità di renderlo sempre più difficilmente espugnabile, ogni transizione digitale è destinata a fallire.
La trasformazione digitale è in atto ed è inarrestabile, non c’è modo di tornare indietro. Una perdita di dati può risultare fatale a qualsiasi impresa.