Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

DATA PROTECTION

Cifratura di dispositivi esterni: soluzioni hardware e software per un’ottimale protezione dei dati

Adottare efficienti sistemi di cifratura dei dispositivi esterni su cui vengono archiviati dati di ogni genere è fondamentale per mettere in sicurezza il patrimonio informativo aziendale ed essere in regola con le recenti normative in materia di protezione dei dati. Ecco le best practice per scegliere la soluzione migliore

30 Gen 2020
M
Bruno Marafini

EIT Digital Master Student (Cyber security) - UNITN


L’articolo 32 comma 1 lett. a del Regolamento europeo sulla protezione dei dati personali (GDPR) parla chiaro: tra le misure tecniche che il titolare del trattamento o il responsabile del trattamento devono mettere in atto per garantire la sicurezza dei dati personali trattati c’è la cifratura dei dati personali e, più in generale, dei dispositivi esterni sui quali questi dati vengono archiviati.

La cifratura, o crittografia che dir si voglia, altro non è che un sistema pensato per rendere illeggibile un messaggio (o comunque un insieme di informazioni) a chi non possiede la soluzione per decodificarlo. Per gli informatici in generale e per i responsabili dei sistemi informativi in particolare, non rappresenta di certo una novità, mentre lo è in tutte quelle attività produttive (pensiamo soprattutto alle PMI) in cui gli archivi digitali (e ovviamente anche quelli cartacei, ma in questo caso le problematiche sono differenti) devono essere adeguatamente protetti da eventuali data breach.

Cifratura di dispositivi esterni: le soluzioni

Prima di definire quelle che sono considerate le best practice per quanto riguarda le tecniche di cifrature di dispositivi esterni discutendo soluzioni hardware e software, mi sembra doveroso ricorrere alle differenze tra cifrature basate su hardware e cifrature basate su software, evidenziando i vantaggi e gli svantaggi di entrambe le soluzioni.

Crittografia basata su hardware

I vantaggi

  • Utilizza un processore dedicato fisicamente posizionato sull’unità crittografata.
  • Il processore contiene un generatore di numeri casuali per generare una chiave di crittografia, che la password dell’utente sbloccherà.
  • Aumento delle prestazioni grazie allo scarico della crittografia dal sistema host.
  • Salvaguardia delle chiavi e dei parametri critici di sicurezza all’interno di crittografia hardware.
  • L’autenticazione avviene sull’hardware.
  • Economico in ambienti applicativi di medie e grandi dimensioni, facilmente scalabile.
  • La crittografia è legata a un dispositivo specifico, quindi la crittografia è “sempre attiva”.
  • Non richiede alcun tipo di installazione di driver o software su PC host.
  • Protegge dagli attacchi più comuni, come gli attacchi di avvio a freddo, codici maligni, attacchi di forza bruta.

Gli svantaggi

  • In genere, l’archiviazione crittografata basata su hardware è molto più costosa di uno strumento software. Per esempio, BitLocker è incluso gratuitamente con tutte le nuove versioni di Microsoft Windows, ma una chiavetta USB criptata è piuttosto costosa, specialmente se confrontata con un’alternativa non criptata.
  • Se il processo di decrittografia hardware non riesce, diventa estremamente difficile accedere alle informazioni.

Crittografia basata su software

I vantaggi

  • Condivide le risorse del computer per crittografare i dati con altri programmi presenti sul computer. Il metodo è sicuro così quanto è sicuro il computer.
  • Utilizza la password dell’utente come chiave di crittografia che rimescolano i dati.
  • Può richiedere aggiornamenti software.
  • Suscettibile agli attacchi di forza bruta, il computer cerca di limitare il numero di tentativi di decrittazione ma gli hacker possono accedere alla memoria del computer e resettare il contatore di tentativi.
  • Conveniente in piccoli ambienti di applicazione.
  • Può essere implementato su tutti i tipi di media.

Gli svantaggi

  • La crittografia software è sicura solo quanto il resto del computer o dello smartphone. Se un hacker può decifrare la vostra password, la crittografia viene immediatamente annullata.
  • Gli strumenti di crittografia software condividono anche le risorse di elaborazione del computer, il che può causare un rallentamento dell’intera macchina in quanto i dati vengono crittografati/decodificati. Troverete anche che l’apertura e la chiusura dei file crittografati è molto più lenta del normale perché il processo è relativamente intenso in termini di risorse, in particolare per livelli di crittografia più elevati.

Cifratura di dispositivi esterni: best practice

Non esiste un’unica risposta alle esigenze di cifratura delle aziende secondo quelle che sono le attuali soluzioni presenti sul mercato.

Il software è più facile perché è più flessibile e l’hardware è più veloce quando serve. La mia preferenza è per il software, perché tendo ad usare hardware generico e software specifico. Quindi la crittografia e-mail, la crittografia web, la crittografia IM viene gestita tutta via software. Ma il software potrebbe usare le istruzioni specifiche dell’hardware nel chip Intel per la crittografia.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Le aziende devono considerare fattori come l’impatto sulle prestazioni, il backup, la sicurezza e le risorse disponibili per decidere sulla corretta implementazione della crittografia.

È opportuno, inoltre, considerare i rischi connessi alla perdita dei dati che gestiscono, ma anche il tempo necessario per mantenere i dati crittografati e quanto bene sarebbero in grado di gestire le chiavi di crittografia con ogni soluzione.

È inoltre importante, alla luce delle severe normative emanate per la protezione dei dati (come HIPAA e PCI), che le aziende scelgano la soluzione che consente loro di essere pienamente conformi.

La scelta deve essere dunque guidata da diverse considerazioni. Secondo Tom Brennan, managing partner di cybersecurity consulting company ProactiveRISK, “In ambito commerciale si tratta principalmente di prezzo. Con i clienti GOV, si tratta più che altro della classificazione dei dati”.

Quando il budget è un problema, la scelta è spesso quella di allontanarsi da soluzioni basate su hardware a favore di soluzioni software che possono essere implementate su tutta la linea. Inoltre, “piuttosto che occuparsi delle spese e degli inconvenienti legati all’aggiornamento di una piattaforma hardware proprietaria ogni pochi anni, alcuni preferiscono usare il software”, aggiunge Brennan.

Conclusioni

Scegliere con attenzione è fondamentale, ma non c’è posto per l’indecisione. Si ritiene che il vero problema sia che alcune organizzazioni possano rimanere bloccate a proposito dei dispositivi di crittografia e finire per ritardarne le implementazioni.

Con la crescente portabilità dei dispositivi e del BYOD (Bring Your Own Device), è importante ottenere un certo livello di configurazione della crittografia il più presto possibile.

La crittografia è necessaria ed è il miglior meccanismo per proteggere la riservatezza, l’integrità e la genuinità dei dati. Riduce al minimo la possibilità di violazioni della sicurezza e aggiunge livelli di protezione ai dati sicuri.

I costi relativi alla perdita di dati e i requisiti imposti dalla legge dovrebbero essere un incentivo sufficiente per tutte le aziende ad adottare soluzioni, indipendentemente dal fatto che siano basate su hardware o software.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3