LA GUIDA PRATICA

Scambio di dati sensibili con terzi: ecco le misure di sicurezza da adottare

Lo scambio di dati con terzi o verso l’esterno è spesso foriero di dubbi in merito alla salvaguardia della loro riservatezza e integrità: durante il trasferimento, i dati possono essere intercettati, modificati o resi inutilizzabili. Per tutelarsi al meglio contro i vari rischi occorrono misure di comprovata efficacia, idealmente conformi alle normative europee e italiane in merito alla protezione dei dati

21 Lug 2022
B
Alberto Brera

Ingegnere, Country Manager di Stormshield per l’Italia

Il concetto di protezione dei dati è strettamente legato ai rischi relativi alla loro riservatezza, integrità e disponibilità. Le rispettive definizioni convergono su questo punto: la riservatezza garantisce che le informazioni siano accessibili solo alle persone autorizzate; l’integrità assicura che le informazioni rimangano invariate durante il loro ciclo di vita; la disponibilità assicura che le informazioni siano fruibili senza soluzione di continuità entro un lasso di tempo specifico.

Insieme al concetto di tracciabilità, questi aspetti costituiscono i criteri di base per la messa in sicurezza delle informazioni.

Protezione dei dati personali: l’importanza di creare una cultura della consapevolezza

Crittografia e protezione dati: gli errori commessi

Per proteggere i dati in termini di integrità e riservatezza, la soluzione generalmente raccomandata è la crittografia. Tuttavia, è difficile districarsi nella giungla di termini associati all’argomento dal punto di vista normativo, ovvero valutare quali siano i dati effettivamente importanti, riservati/sensibili o critici da tutelare.

WHITEPAPER
Digitalizzazione delle PMI: i 7 cambiamenti da affrontare per diventare un’impresa data-driven
Big Data
Business Analytics

Per questo motivo, sebbene d’obbligo, la crittografia non viene attuata correttamente, molte aziende ritengono erroneamente di non disporre di dati di questo tipo e quindi di non dover proteggere i propri file e lo scambio degli stessi, dimenticando che questa necessaria protezione dei dati riguarda invece la totalità delle imprese.

I file dei clienti, i registri contabili o altri documenti importanti sono tutti elementi essenziali per lo svolgimento delle attività quotidiane. Perdere un anno di contabilità può avere conseguenze disastrose per qualunque azienda, indipendentemente dalle sue dimensioni.

Per affrontare il problema, occorre definire correttamente quali informazioni sono strategicamente importanti per la propria organizzazione, tenendo presente che, in realtà, tutti i dati generati sono rilevanti ai fini della produttività aziendale.

Allo stesso tempo, è necessario approfondire se e in che modo tali dati sono accessibili e di conseguenza vulnerabili agli attacchi.

Considerando che il percorso di un cyber criminale per accedervi può passare attraverso un singolo terminale, privato o aziendale, o accedendo direttamente alla rete aziendale attraverso servizi erogati dagli Initial Access Brokers o tramite trojan, occorre includere la tutela dei client e del perimetro nella strategia di cyber security.

Nel caso di un attacco tramite trojan, ad esempio, i cyber criminali hanno accesso a tutto ciò che viene visualizzato sullo schermo del sistema infetto e spiano quanto viene digitato sulla tastiera. Questi attacchi possono essere estremamente mirati e finanziati dai Governi, ma non solo.

I trojan utilizzati per carpire password e dati di accesso, specie quelli bancari dei privati, possono annidarsi facilmente in qualsiasi sistema scaricando e installando un gioco, un’estensione del browser o anche un password manager.

Spesso si pensa solo al computer, ma anche lo smartphone è una porta di accesso per la diffusione di questo tipo di malware. Ciò sottolinea l’urgenza di proteggere le postazioni di lavoro, ma costituisce anche un ulteriore punto a favore della limitazione dell’uso di dispositivi aziendali ai soli scopi lavorativi.

Crittografia per le aziende, protette e compliant al Gdpr: ecco come

Come proteggere meglio i dati

Paradossalmente più i dati sono rilevanti più devono essere facilmente accessibili. Sono quindi più vulnerabili durante lo scambio, perché lasciano l’enclave (teoricamente) protetta del loro supporto di archiviazione.

Lo scambio può assumere diverse forme: le informazioni vengono inviate per e-mail, condivise nel cloud o salvate su una chiavetta USB.

Si tratta di modalità di scambio e, soprattutto, di tecnologie diverse, che vanno però messe in sicurezza nello stesso modo: cifrando completamente i dati.

Le moderne soluzioni per la crittografia si avvalgono di robusti meccanismi di autenticazione per garantire che le informazioni possano essere lette in chiaro solo dal mittente e dall’effettivo destinatario.

In questo modo, i dati restano fuori dalla portata di intrusi, curiosi e di chi eventualmente li divulgherebbe. Per costoro i dati risultano illeggibili.

Ma affinché la cifratura sia efficace ovunque, l’azienda che vuole proteggere i propri dati ne deve avere il controllo esclusivo. Le chiavi cifratura devono quindi essere di esclusiva proprietà della rispettiva azienda e facilmente gestibili. Solo in questo modo la protezione dei dati può essere completamente agnostica rispetto al luogo di archiviazione.

A causa dell’utilizzo di dispositivi mobili e dell’impiego massiccio di strumenti di collaborazione, la condivisione di alcuni dati non viene monitorata costantemente dall’azienda. Qualora si impieghino suite software SaaS per l’ufficio, una soluzione indipendente per la cifratura dei dati può garantirne l’effettiva riservatezza.

Data la facilità d’uso di queste suite online per la produttività aziendale, la sfida per i fornitori di tali soluzioni è quella di integrare la crittografia in modo trasparente per gli utenti finali, garantendo non solo un’adeguata sicurezza ma anche un’esperienza d’uso semplice ed efficace.

Dopo file ed e-mail, vanno crittografati anche i dati scambiati direttamente tramite browser web.

Backup dei dati: cos’è, a cosa serve e le soluzioni per farlo, anche sul cloud

L’importanza del backup e della gestione dei diritti di accesso

Se la crittografia dei dati soddisfa i requisiti obbligatori di integrità e riservatezza, che dire della disponibilità? In fondo, i dati accessibili a chiunque, anche se criptati, possono comunque essere cancellati, che si tratti di un abuso criminale o di un errore umano.

Un ulteriore passo nella messa in sicurezza efficace dei dati è il purtroppo spesso sottovalutato backup. Un processo che deve essere eseguito regolarmente. I file prodotti devono naturalmente essere altrettanto cifrati, possibilmente archiviati offline e non manipolabili.

Sia il team IT sia i commerciali condividono in egual misura la responsabilità di considerare tutti i parametri necessari per la creazione delle copie di sicurezza, inclusa la gestione del recupero delle chiavi del sistema di cifratura.

È inoltre preferibile avere un piano di ripristino di emergenza (Disaster Recovery Plan, DRP) o un piano di continuità aziendale (Business Continuity Plan, BCP) archiviato in un luogo sicuro, che sia digitale o meno.

Allo stesso tempo, è necessario prevedere anche la gestione dei diritti di accesso ai dati. Questo per garantire che solo le persone autorizzate possano accedere ai dati sensibili, sia internamente che esternamente.

Si tratta, però, di una questione complessa, perché la gestione dei diritti e degli accessi (“Identity and Access Management” – IAM) concerne qualsiasi responsabile di ogni reparto o business unit di un’azienda.

Bisogna dunque essere in grado di stabilire chi nel team ha accesso ed è autorizzato a fare cosa secondo una strategia di security “Zero Trust”.

Un compito solo apparentemente semplice: rapportata al numero crescente di strumenti e al turnover aziendale, la gestione tempestiva dei diritti di accesso può trasformarsi rapidamente in una sfida importante.

Si tratta, in ogni caso, di una misura necessaria che contribuisce alla sicurezza dell’azienda, tanto quanto la cifratura dei dati e il backup degli stessi.

WHITEPAPER
Nuovi attacchi informatici VS 3 nuovi modelli di sicurezza: scoprili!
Finanza/Assicurazioni
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4