10 migliori pratiche per la vostra politica di prevenzione della perdita di dati (DLP)

Ogni organizzazione, indipendentemente dalle dimensioni o dal settore, ha bisogno di una strategia di prevenzione della perdita di dati (DLP) per evitare che i dati siano accessibili o cancellati in modo inappropriato. Questa strategia dovrebbe concentrarsi sulla protezione dei dati preziosi, sensibili o regolamentati, come le cartelle cliniche, i dati finanziari e la proprietà intellettuale. La DLP coinvolge tipicamente sia la tecnologia che la politica. Tecniche comuni includono la configurazione dei desktop degli utenti per bloccare l’uso di dispositivi USB e l’implementazione di politiche formali riguardanti la condivisione di dati riservati via e-mail.

Per una protezione più completa, molte organizzazioni impiegano un sistema di prevenzione della perdita di dati, che può aiutarle:

  • Controllare i diritti di accesso alle risorse informative
  • Monitorare le attività riuscite e fallite su workstation, server e reti, compreso chi legge o copia quali file o fa screenshot
  • Audire i flussi di informazioni dentro e fuori l’organizzazione, compresi quelli provenienti da postazioni remote tramite computer portatili e altri dispositivi mobili
  • Controllare il numero di canali per il trasferimento delle informazioni (ad esempio, l’uso di unità USB e applicazioni di messaggistica istantanea), compresa l’intercettazione e il blocco dei flussi di dati in uscita

Creare una politica di prevenzione della perdita di dati

Per creare la vostra politica di prevenzione della perdita di dati, iniziare determinando il livello di protezione richiesto. Per esempio, il vostro obiettivo è quello di identificare i tentativi di accesso non autorizzati o di monitorare tutte le azioni degli utenti?

Impostazioni di base

Queste sono le impostazioni di base da definire:

  • Quali dati organizzativi devono essere protetti. Identificare esattamente quali contenuti devono essere protetti. Per esempio, numeri di sicurezza sociale, informazioni sulle carte di pagamento, segreti commerciali, progetti, dati finanziari e informazioni personali (PII). Controlla se la tua organizzazione è soggetta a una politica di conformità; se è così, devi proteggere tutti i dati descritti nel modello di politica.
  • Dove si trovano questi dati. Per proteggere i dati, è necessario identificare tutte le posizioni in cui possono risiedere, comprese le unità di rete condivise, i database, i sistemi di cloud storage, le e-mail, le applicazioni di messaggistica istantanea e i dischi rigidi. Se i dipendenti possono utilizzare i propri dispositivi per accedere al vostro ambiente IT, anche i dati su questi dispositivi devono essere protetti.
  • Requisiti di accesso per diversi tipi di dati. Diversi tipi di dati richiedono diversi livelli di protezione. Per esempio, le organizzazioni condividono liberamente alcuni dati con il pubblico, mentre altri dati sono riservati e dovrebbero essere accessibili solo a un numero limitato di persone. Le etichette e le filigrane digitali permettono di definire l’accesso appropriato per ogni dato.
  • Azioni da intraprendere quando la sicurezza delle informazioni è minacciata. Specificare le azioni da intraprendere quando viene rilevata un’attività sospetta e chi è responsabile di ogni azione. Tenete a mente che le soluzioni DLP possono spesso reagire automaticamente, come il blocco di una transazione o l’invio di una notifica al dipartimento di sicurezza.
  • Quali informazioni dovrebbero essere archiviate e quando. La vostra politica DLP dovrebbe dettagliare le regole per l’archiviazione dei dati, compreso l’audit trail e le informazioni sugli incidenti di sicurezza IT. Proteggete il vostro sistema di archiviazione sia dagli aggressori esterni che dalle minacce interne, come un amministratore di sistema che potrebbe alterare i record aziendali nel sistema di archiviazione.
  • Minacce. La vostra politica dovrebbe considerare i possibili scenari di perdita e valutare sia la probabilità che si verifichino sia i danni che potrebbero derivarne.

Stato dei dati

Quando sviluppate la vostra politica, considerate i dati in tutte le sue forme:

  • Dati a riposo – Informazioni memorizzate in database, archivi cloud, computer, laptop, dispositivi mobili, ecc.
  • Dati in transito – Dati trasmessi tra le parti (ad esempio, durante le transazioni di pagamento)
  • Dati in uso – Dati con cui gli utenti lavorano attivamente e che probabilmente cambieranno

Sfrutta questa conoscenza per definire i flussi di dati all’interno della tua organizzazione e i percorsi di trasmissione consentiti per diversi tipi di record. Creare regole che specificano le condizioni per elaborare, modificare, copiare, stampare e qualsiasi altro uso di questi dati. Includere i processi di business in esecuzione in applicazioni e programmi che accedono a dati riservati.

Legali e questioni correlate

Valutate attentamente le potenziali ramificazioni legali della vostra politica DLP. In particolare, la registrazione video delle azioni dei dipendenti può essere considerata una violazione dei loro diritti costituzionali, e i falsi allarmi del vostro sistema DLP possono generare conflitti con i dipendenti le cui azioni legittime sono segnalate come sospette. Per affrontare queste preoccupazioni, le opzioni possono includere la modifica dei contratti di lavoro e la formazione dei dipendenti sulle politiche di sicurezza.

Come funzionano le soluzioni DLP

Una volta creata la vostra politica DLP sulla carta, concentratevi sulla configurazione delle politiche appropriate nel vostro sistema DLP. In genere, un sistema DLP ha un insieme specifico di regole che sono strettamente applicate dal programma. Ogni regola include una condizione e le azioni da intraprendere quando questa condizione è soddisfatta. Le regole sono prioritarie e il programma le elabora in questo ordine. Alcune soluzioni includono tecnologie di apprendimento automatico che creano o migliorano le regole.

Il processo potrebbe, per esempio, andare in questo modo:

  • Una regola identifica un incidente (per esempio, un utente che tenta di inviare informazioni sensibili via instant messaging).
  • La soluzione blocca l’invio del messaggio.
  • La soluzione genera un rapporto contenente i dettagli dell’incidente, compreso l’utente coinvolto, e lo invia a un indirizzo e-mail specifico (ad esempio, al responsabile della sicurezza IT) o lo memorizza in una condivisione specifica, come specificato nella vostra politica DLP.

Tecniche di rilevamento

La funzionalità principale di un sistema DLP è il rilevamento di informazioni riservate in un flusso di dati. Sistemi diversi impiegano metodi diversi, tra cui:

  • Creazione di impronte digitali per le informazioni protette
  • Applicazione di tag alle informazioni
  • Ricerca di determinate parole chiave ed espressioni regolari che si trovano spesso in vari tipi di documenti sensibili (ad esempio, nei contratti o nei rendiconti finanziari)
  • Utilizzo dell’analisi del testo

La precisione è, naturalmente, fondamentale. Falsi negativi – incapacità di individuare informazioni effettivamente sensibili; possono portare a fughe di notizie non rilevate. Falsi positivi – che fanno scattare allarmi in relazione a dati che in realtà non sono sensibili; sprecano le risorse del team di sicurezza e portano a conflitti con utenti accusati erroneamente di comportamenti inappropriati. Quindi è necessario cercare una soluzione DLP che minimizzi sia i falsi negativi che i falsi positivi.

Buone pratiche di prevenzione della perdita di dati

La prevenzione della perdita di dati (DLP) e le tecniche di auditing dovrebbero essere utilizzate per applicare continuamente le politiche di utilizzo dei dati. L’obiettivo è quello di sapere come i dati vengono effettivamente utilizzati, dove stanno andando o dove stanno andando, e se questo soddisfa o meno la politica di conformità, come il GDPR. Quando viene rilevato un evento sospetto, le notifiche in tempo reale dovrebbero essere inviate agli amministratori in modo che possano indagare. I trasgressori devono affrontare le conseguenze definite nella politica di sicurezza dei dati.

Le seguenti best practice di prevenzione della perdita di dati vi aiuteranno a proteggere i vostri dati sensibili dalle minacce interne ed esterne:

Identificare e classificare i vostri dati sensibili

Per proteggere efficacemente i vostri dati, è necessario sapere esattamente quali tipi di dati avete. La tecnologia di scoperta dei dati analizza i vostri archivi di dati e riporta i risultati, dandovi visibilità sul contenuto che dovete proteggere. I motori di data discovery si basano tipicamente su espressioni regolari per le loro ricerche; sono molto flessibili ma abbastanza complicati da creare e mettere a punto.

La tecnologia di data discovery e classificazione permette di controllare l’accesso degli utenti ai dati e di evitare di archiviare dati sensibili in luoghi non sicuri. Di conseguenza, si riduce il rischio di perdita di dati. Tutti i dati critici o sensibili dovrebbero essere chiaramente etichettati con una firma digitale che ne indica la classificazione, permettendo di proteggerli in base al loro valore per l’organizzazione. Strumenti di terze parti come Netwrix Data Classification rendono più facile scoprire e classificare i dati e migliorarne l’accuratezza.

La classificazione può essere aggiornata quando i dati vengono creati, modificati, memorizzati o trasmessi. Tuttavia, i controlli devono essere in atto per impedire agli utenti di manomettere i livelli di classificazione. Per esempio, solo gli utenti privilegiati dovrebbero essere in grado di abbassare la classificazione dei dati.

Per creare una politica efficace di classificazione dei dati, seguite queste linee guida. E prendete in considerazione l’esecuzione del rilevamento e della classificazione dei dati come parte del vostro processo di valutazione del rischio IT.

Liste di controllo dell’accesso

Una lista di controllo dell’accesso (ACL) specifica chi può accedere a quale risorsa e a quale livello. Può essere un componente interno di un sistema operativo o di un’applicazione. Un’applicazione personalizzata può, per esempio, avere una ACL che specifica quali utenti hanno quali permessi in quale sistema.

Le ACL possono essere sia whitelist che blacklist. Una whitelist è una lista di elementi permessi, come una lista di siti web che gli utenti sono autorizzati a visitare utilizzando i computer aziendali o una lista di soluzioni software di terze parti che possono essere installate sui computer aziendali. Le liste nere contengono cose che sono proibite, come siti web specifici che i dipendenti non possono visitare o software che non possono essere installati sui computer client.

Le whitelist di controllo dell’accesso sono più comunemente usate e sono configurate a livello di file system. Per esempio, in Microsoft Windows, è possibile configurare i permessi NTFS e creare liste di controllo degli accessi NTFS da essi. Potete trovare maggiori informazioni su come configurare correttamente i permessi NTFS in questa lista di buone pratiche per la gestione dei permessi NTFS. Ricordate che i controlli di accesso devono essere applicati in ogni applicazione che ha un controllo di accesso basato sui ruoli (RBAC); i gruppi e la delega di Active Directory sono esempi.

Criptare i dati.

Tutti i dati critici devono essere criptati mentre sono a riposo o in transito. I dispositivi portatili dovrebbero usare soluzioni di crittografia del disco se è probabile che i dischi contengano dati importanti.

La crittografia del disco rigido di computer e laptop impedisce la perdita di informazioni critiche anche se gli attacchi accedono al dispositivo. Il modo più semplice per criptare i dati sui vostri sistemi Windows è attraverso la tecnologia Encrypting File System (EFS). Quando un utente autorizzato apre un file cifrato, EFS decifra il file in background e fornisce una copia non cifrata all’applicazione. Gli utenti autorizzati possono visualizzare o modificare il file, e EFS salva in modo trasparente le modifiche come dati crittografati. Ma gli utenti non autorizzati non possono vedere il contenuto di un file anche se hanno pieno accesso al dispositivo; ricevono un messaggio di errore “Access Denied”, impedendo una violazione dei dati.

Microsoft offre un’altra tecnologia di crittografia: BitLocker. BitLocker completa EFS fornendo un ulteriore livello di protezione per i dati memorizzati sui dispositivi Windows. BitLocker protegge i dispositivi endpoint persi o rubati dal furto o dall’esposizione dei dati, e cancella in modo sicuro i dati quando si toglie un dispositivo dal servizio.

Crittografia hardware

Oltre alla crittografia software, si può applicare la crittografia hardware. Nelle impostazioni avanzate di alcuni menu di configurazione del BIOS, si può scegliere di abilitare o disabilitare un Trusted Platform Module (TPM), che è un chip che può memorizzare chiavi di crittografia, password o certificati. Un TPM può generare chiavi hash e proteggere dispositivi diversi dai PC, come gli smartphone. Può generare valori utilizzati con la crittografia del disco intero, come BitLocker. Un chip TPM può essere installato sulla scheda madre.

Rafforza i tuoi sistemi.

Tutti i luoghi dove possono risiedere dati sensibili, anche temporaneamente, dovrebbero essere protetti in base ai tipi di informazioni a cui il sistema può potenzialmente accedere. Questo include qualsiasi sistema esterno che può accedere alla rete interna attraverso una connessione remota con conseguenti privilegi, poiché la sicurezza di una rete dipende dall’anello più debole. Tuttavia, è importante considerare la facilità d’uso e trovare il giusto equilibrio tra funzionalità e sicurezza.

Stabilire una base del sistema operativo

La prima cosa da fare per rendere sicuri i vostri sistemi è assicurarsi che la configurazione del sistema operativo sia il più sicura possibile. La maggior parte dei sistemi operativi sono dotati di servizi non necessari che forniscono agli aggressori ulteriori opportunità di malizia. Gli unici programmi e servizi di ascolto che dovrebbero essere abilitati sono quelli che sono essenziali per il lavoro dei vostri dipendenti. Se qualcosa non ha un uso commerciale, dovrebbe essere disabilitato. Può essere utile creare un’immagine di riferimento sicura del sistema operativo, che sarà usata dagli utenti occasionali. Se qualcuno ha bisogno di funzionalità aggiuntive, abilita questi servizi o programmi caso per caso. I sistemi operativi Windows e Linux possono avere ciascuno la propria configurazione di riferimento.

Adotta una strategia rigorosa di gestione delle patch.

È fondamentale per la protezione dei dati e la sicurezza informatica garantire che tutti i sistemi operativi e le applicazioni nel tuo ambiente IT siano aggiornati. Mentre alcune cose, come gli aggiornamenti delle firme antivirus, possono essere automatizzati, le patch delle infrastrutture critiche devono essere testate a fondo per garantire che nessuna funzionalità sia compromessa e che non vengano introdotte vulnerabilità nel sistema.

Assegnare i ruoli.

Definire chiaramente il ruolo di ogni persona coinvolta nella strategia di prevenzione della perdita di dati. Specificare chi possiede quali dati, quali manager della sicurezza IT sono responsabili di quali aspetti delle indagini sugli incidenti di sicurezza, ecc.

Automatizzare il più possibile.

Più i processi DLP sono automatizzati, meglio è possibile distribuirli in tutta l’organizzazione. I processi manuali di DLP hanno una portata intrinsecamente limitata e possono essere adatti solo alle esigenze degli ambienti IT più piccoli.

Utilizzare il rilevamento delle anomalie.

Per identificare i comportamenti anomali degli utenti, alcune moderne soluzioni DLP integrano le semplici analisi statistiche e le regole di correlazione con l’apprendimento automatico e l’analisi comportamentale. Generando un modello del comportamento normale di ogni utente e gruppo di utenti, è possibile rilevare più accuratamente le attività sospette che possono portare alla fuga di dati.

La consapevolezza delle parti interessate.

Una politica DLP non è sufficiente. Investire nell’educazione delle parti interessate e degli utenti dei dati sulla politica, la sua importanza e ciò che devono fare per proteggere i dati dell’organizzazione.

Stabilire criteri di valutazione.

Misura l’efficacia della tua strategia DLP usando criteri come la percentuale di falsi positivi, il numero di incidenti e il tempo medio di risposta agli incidenti.

Non memorizzare dati inutili.

Un’organizzazione dovrebbe memorizzare solo le informazioni che sono essenziali per essa. I dati che non memorizzi non possono sparire.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *