La tutela del dato secondo l’approccio delle 3P: Protection, Privacy e Policy
Ogni individuo mediamente memorizza sui propri dispositivi digitali una serie di beni intangibili che valgono fino a 35 mila dollari (Fonte: McAfee – 2014). Facile immaginare il fattore di moltiplicazione rispetto ai dati che ogni impresa conserva nei propri server o invia nel cloud.
Brevetti, progetti sviluppati insieme a partner e clienti, materiali coperti da copyright, archivi anagrafici e altri tipi di database. Si tratta di un capitale di valore, anche in considerazione del fatto che la reputazione di un’azienda oggi dipende da quanto si dimostri attenta nell’utilizzare e nel proteggere le informazioni sensibili di cui dispone.
Affrontare il tema da ogni angolazione
Tutelare i dati è una mission imprescindibile quando si affronta qualsiasi tipo di business che abbia una componente digitale. Occuparsi della gestione delle informazioni rischia però di rivelarsi una sfida persa in partenza se non si diventa consapevoli di un fatto: gli attacchi sono sempre più mirati e sofisticati. L’adozione di filtri tecnologici anche all’avanguardia potrebbe risultare inefficace se non si affronta il problema in maniera olistica.
Sono tre in particolare le sfaccettature di questo tema: Protection, Policy e Privacy.
Protection: cosa significa costruire un’infrastruttura sicura
Il primo passo per garantire la tutela del dato consiste nella realizzazione di un’infrastruttura su cui le informazioni possano viaggiare in maniera sicura. Come detto, con attacchi che si fanno sempre più mirati diventa difficile rispondere colpo su colpo, presidiando con strumenti e azioni di diversa natura ciascuno dei punti vulnerabili della filiera: gli hacker hanno ormai a disposizione dei toolkit (venduti sul mercato nero a poche migliaia di dollari) in grado di generare veri e propri assedi che minano le difese informatiche su più livelli e che vengono riconosciuti dai software tradizionali solo quando è troppo tardi.
Prevenire gli attacchi, costruendo una data Protection realmente proattiva, comunque è possibile. Le soluzioni di tipo sandbox, per esempio, permettono di ricevere e isolare tutti i file che cercano di oltrepassare il perimetro dell’azienda facendoli “esplodere” all’interno di un ambiente informatico protetto (il sandbox, per l’appunto) per analizzare gli effetti della loro esecuzione. Se sono innocui, vengono immessi nel sistema, al contrario vengono espulsi e segnalati. Ma per qualcuno si tratta di un approccio destinato a diventare presto obsoleto.
Il next step? Grazie agli analytics e ai big data o – spingendosi verso applicazioni ancora più sofisticate – alle learning machine, si possono creare strumenti su misura che proteggono l’impresa studiandone i verticali e comparandoli con quelli di organizzazioni simili che hanno già subito attacchi. In pratica è come se si sviluppasse un sistema immunitario che si evolve in tempo reale sulla base degli input e degli aggiornamenti interni ed esterni, costruendo anticorpi specifici che proteggono l’impresa da malware e attività malevoli nel momento stesso in cui si presentano. Il bello è che si possono fermare gli attacchi senza nemmeno contrarre la malattia.
Policy: ottemperare alle norme nazionali e internazionali, creare regolamenti interni ad hoc
Adeguare l’organizzazione alle leggi nazionali e internazionali per la tutela del dato significa tante cose. I data center che ospitano le informazioni e le applicazioni core delle aziende (che siano dislocati all’interno dell’Unione europea o in Italia), devono essere garantiti secondo i più rigidi criteri che definiscono la data security, dalle difese informatiche a quelle fisiche, passando per progetti architettonici a prova di emergenze energetiche o disastri ambientali.
Non sempre è possibile trasporre in azienda (specialmente se si parla di Pmi) le tecnologie e le soluzioni adottate dai professionisti dello storage. Ma c’è comunque molto da fare anche in sede: spesso infatti le minacce non arrivano dall’esterno, e anche quando accade il più delle volte i data breach (ovvero le fughe o i furti di dati) non dipendono dall’abilità degli attaccanti bensì dalla distrazione, dall’imperizia o da una precisa condotta dolosa dei collaboratori. Per evitare una falla dei sistemi è necessario istituire precise Policy aziendali a cui tutti devono attenersi nel momento in cui maneggiano informazioni, usano gli strumenti di comunicazione (mail, messaggistica, app) aziendali o private e accedono ai sistemi informatici.
Organizzare corsi di formazione è solo il primo passo per assicurarsi che colleghi, consulenti e collaboratori che accedono alla rete aziendale adoperino nel modo migliore possibile i propri strumenti di lavoro. È necessario redigere un vero e proprio decalogo che contenga le disposizioni, le condotte e le misure organizzative indispensabili per contrastare i rischi informatici endogeni ed esogeni.
Il documento dedicato alla Policy sulla sicurezza informatica deve diventare il punto di riferimento per chiunque abbia a che fare con i sistemi informatici, regolando:
- il sistema di autorizzazione e di autenticazione di soggetti e procedure
- la protezione e l’aggiornamento delle risorse hardware e software
- la gestione delle copie di sicurezza, dei backup e del ripristino della disponibilità dei dati, con precise specificità rispetto alle informazioni sensibili o di natura giudiziaria
- l’implementazione di meccanismi che forniscano traccia di tutte le operazioni effettuate dagli amministratori di sistema
- la definizione dei ruoli di responsabilità rispetto a tutti i temi della sicurezza informatica
Privacy: maneggiare e trasferire i dati, un’operazione da eseguire con cura
La Privacy dei dati infine va difesa evitando di utilizzare soluzioni o app di tipo consumer – spesso gratuite e comode, ma prive di quei requisiti minimi necessari a proteggere i dati – e creando barriere all’ingresso che disincentivino le intrusioni occasionali.
Dalla raccolta dell’anagrafica dei clienti alla trasmissione di fatture e documenti, passando per la condivisione di file in sessioni di unified communications and collaboration, è fondamentale adottare o implementare piattaforme che sfruttino sistemi di identificazione degli utenti efficaci, tecnologie crittografiche e firewall in grado di tenere all’esterno le potenziali minacce che si annidano in tutte le situazioni in cui l’organizzazione entra in contatto con l’ambiente esterno.
Può tornare utile anche l’installazione di software analitici che, monitorando in forma anonima e su base statistica l’attività dei dipendenti, rilevino e segnalino eventuali anomalie nella routine quotidiana, a partire dagli automatismi innescati nei client dai software malevoli introdotti attraverso attività di phishing andate a buon fine.