Google Workspace: ecco le nuove misure per la sicurezza e la protezione dei dati - Cyber Security 360

LAVORO DA REMOTO

Google Workspace: ecco le nuove misure per la sicurezza e la protezione dei dati

Per andare incontro alle aziende che devono gestire un numero sempre maggiore di lavoratori da remoto (e per rispondere alle ultime mosse di Apple), Google ha annunciato che la suite Workspace verrà rinforzata quanto a protezione dei dati e misure di sicurezza. Ecco tutte le novità

17 Giu 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

L’esplosione della Covid-19 ha incrementato, parallelamente, la vita online di tutti noi e i relativi rischi di sicurezza informatica, ormai a livelli verticistici per tutti, privati ma soprattutto aziende che hanno torme di lavoratori da remoto: ecco perché Google ha annunciato che Workspace (ex-Google Suite, il diffuso pacchetto di produttività di cui fa parte Gmail come Documenti, Drive come Chat ecc.) verrà rinforzato quanto a protezione dei dati e misure di sicurezza.

Forse in tale decisione pesa anche la “lotta” tra Apple e Google, con la prima già da tempo auto-dichiarata paladina della privacy e la seconda che cerca di inserirsi nella scia tracciata dalla prima, come accaduto per le informative “nutrition label” recentemente introdotte.

L’informativa privacy “nutrition label” di Apple: ecco perché si impone più trasparenza agli sviluppatori di app

Workspace: le nuove misure introdotte da Google

L’azienda di Mountain View ricorda nel suo comunicato di aver già lanciato quest’anno BeyondCorp Enterprise, una soluzione zero-trust che consente l’accesso sicuro ad app e servizi per tutti i tipi di utenti aziendali, cioè i lavoratori, da qualsiasi luogo di connessione.

In tal modo sono implementabili – dal modello originario di BeyondCorp Remote Access – l’accesso Single Sign-On, criteri di controllo degli accessi, proxy di accesso e via dicendo. L’autenticazione e l’autorizzazione utente sono basate su fattori contestuali legati all’utente e al suo dispositivo, con relativa comunicazione criptata, sfruttando Google Cloud come “ponte” di interconnessione e filtro.

Single Sign-On, accesso facilitato alle risorse di rete: ecco come funziona

Lo strumento non impiega, invece, l’usuale VPN per una connessione crittografata da remoto, altrimenti di fatto obbligata per connettersi fuori dal perimetro fisico e logico della propria struttura.

Procedendo su questa linea, ora Google ha annunciato altre misure per rendere il pacchetto Workspace un unico collettore integrativo dei vari servizi offerti e integrati, ad es. evolvendo Chat e Rooms nella soluzione Spaces per l’organizzazione di persone, argomenti e progetti, creando community di lavoro suddivise per team.

Così come sta rafforzando l’uso della crittografia per proteggere gli utenti proteggendo, al contempo, i loro dati, sia che si tratti di crittografia “in transito” per la posta elettronica e la navigazione, oppure dell’attivazione di HTTPS per impostazione predefinita in Chrome oppure alla segnalazione di siti web privi di crittografia.

New call-to-action

La nuova crittografia lato client di Google Workspace

Circa la crittografia, Google ne estenderà l’uso di crittografia al lato client, così da fornire agli utenti il controllo delle chiavi di crittografia e rendere i dati indecifrabili alla stessa Google.

Come funziona? Il punto di partenza è la crittografia – già utilizzata da Google – per i dati “a riposo” e i trasferimenti interni a Google, le cui chiavi sono ora nella gestione di Google. Fornendo il controllo diretto delle chiavi di crittografia e del servizio di identità per l’accesso a tali chiavi, lato client Google permetterà al solo utente di poter criptare e decriptare i dati, senza che Google né terzi vi abbiano accesso in chiaro, anche “in transito”.

L’azienda di Mountain Views sottolinea che tale forma di crittografia lato client è particolarmente utile per le imprese che archiviano dati critici, come quelli particolari/sensibili ai sensi del GDPR oppure oggetto di altre discipline (come la proprietà intellettuale, le cartelle cliniche o i dati finanziari).

Inoltre può aiutare a soddisfare requisiti di data sovereignty (cioè il principio per cui i dati siano soggetti alla stessa legge del Paese in cui sono stati raccolti) e di conformità a determinate normative (come quelle statunitensi dette ITAR, CJIS, TISAX, IRS 1075 e EAR).

Il modello adottato è basato su di un Third Party Trust Service Provider, ovvero un terzo che funge da intermediario nella gestione delle chiavi e nel controllo del loro accesso, così da utilizzarle volta per volta per rendere leggibili o meno i dati e, dunque, utilizzabili come necessario a seconda della fase di trattamento.

Google segnala i terzi selezionati in tale funzione: società come Flowcrypt, Futurex, Thaleso Virtru. La soluzione crittografica verrà dapprima implementata in versione Beta per i servizi Google Drive, Documenti, Fogli e Diapositive, per poi essere estesa all’intero Workspace.

Trust rules ed etichette d’uso per Drive

Quanto al noto servizio cloud offerto con Drive, Google introduce trust rules per gli amministratori, sì da controllare maggiormente il modo in cui i file possono essere condivisi, sia all’interno che all’esterno dell’organizzazione.

Con queste nuove regole in vigore, gli amministratori potranno applicare restrizioni che limitano la condivisione interna ed esterna dei file, anche impostando regole specifiche per unità organizzative e gruppi: un approccio più granulare rispetto all’applicazione di criteri generali su ogni utente.

Sempre in Drive appariranno delle etichette: gli utenti potranno classificare i file archiviati per garantire che vengano gestiti correttamente, a seconda del livello di sensibilità degli stessi, integrandosi con già attive funzionalità di prevenzione della perdita di dati (Data Loss Prevention – DLP) di Google Workspace – in modo che gli amministratori possano impostare regole al livello di sensibilità appropriato – e di Google Vault (lo strumento di data governance di Google), consentendo agli amministratori di impostare criteri di conservazione differenziati per un determinato livello di sensibilità.

Qualora gli utenti dimenticassero di classificare il contenuto, i file potranno essere classificati automaticamente in base alle regole DLP definite dall’amministratore.

Non mancano nuove funzioni di rilevamento dei contenuti – ben 60 sono i nuovi rilevatori, ad es. per brevetti, codice sorgente, CV ecc. – basate su funzionalità di machine learning per un rilevamento migliorato e consentendo agli amministratori di bloccare l’uscita di tali tipi di dati.

Le etichette potranno essere utilizzate per impedire la condivisione esterna, il download e la stampa di file classificati come sensibili.

Google Workspace: nuova protezione da phishing e malware

Per la lotta al phishing e al malware, Google introdurrà in Workspace – per tutti gli amministratori – la possibilità di attivare le nuove funzionalità di protezione dirette verso i contenuti aziendali, contribuendo a proteggersi dalle minacce interne e dagli errori degli utenti.

Se viene rinvenuto un contenuto critico, il file pertinente viene contrassegnato e reso visibile solo agli amministratori e al proprietario del file.

Ciò ne impedirà la condivisione e ridurrà il numero di utenti potenzialmente coinvolti nel contenuto critico.

HWG - white paper - Cyber rischio: prevenire e rispondere agli incidenti
@RIPRODUZIONE RISERVATA

Articolo 1 di 5