Per affrontare la tematica Data Loss Prevention, è fondamentale comprendere con quali tipologie di dati si ha a che fare.
Prima di considerare qualsiasi tecnologia, occorre definire una metodologia, stabilire cosa è sensibile per le diverse business unit (processo) e definire ad alto livello le policy per il trattamento delle informazioni. L’obiettivo numero uno deve essere la consapevolezza del livello di rischio cui si è esposti, quindi operare per ridurlo sistematicamente evitando impatti sul business.
Una valutazione del rischio associato alla perdita di dati deve tener conto di tre fattori: identità dell’utente, azione dell’utente e livello di sensibilità del dato. Attraverso una vista completa su dove risiedono i dati all’interno dell’infrastruttura e come si muovono all’interno e verso l’esterno dell’organizzazione, l’azienda può drasticamente ridurre il rischio associato alla perdita di informazioni sensibili.
Prima di considerare qualsiasi tecnologia, occorre definire una metodologia, stabilire cosa è sensibile per le diverse business unit (processo) e definire ad alto livello le policy per il trattamento delle informazioni. L’obiettivo numero uno deve essere la consapevolezza del livello di rischio cui si è esposti, quindi operare per ridurlo sistematicamente evitando impatti sul business.
Una valutazione del rischio associato alla perdita di dati deve tener conto di tre fattori: identità dell’utente, azione dell’utente e livello di sensibilità del dato. Attraverso una vista completa su dove risiedono i dati all’interno dell’infrastruttura e come si muovono all’interno e verso l’esterno dell’organizzazione, l’azienda può drasticamente ridurre il rischio associato alla perdita di informazioni sensibili.
I business owner dei dati sensibili ed i responsabili di business unit aziendali rivestono un ruolo fondamentale nella definizione delle policy che regolano l’accesso e l’utilizzo dei dati stessi. A questo scopo sono normalmente effettuate delle interviste one-to-one per definire ad alto livello le politiche di trattamento del dato. La tecnologia DLP rappresenta uno strumento che deve semplificare ed automatizzare questo processo, rendendolo più efficiente, ripetibile e governabile.
Un altro passaggio importante consiste nell’educare gli utenti circa le policy aziendali per il trattamento dei dati sensibili e sul rischio delle loro azioni: la tecnologia DLP concorre a questo processo rendendo l’utente parte della soluzione, educandolo in tempo reale a seguito delle violazioni.
Solo a questo punto, sarà possibile attivare l’enforcement dei controlli tecnologici per ridurre ulteriormente il rischio senza impatti sul business e senza gravare sull’operatività dell’IT.
Un altro passaggio importante consiste nell’educare gli utenti circa le policy aziendali per il trattamento dei dati sensibili e sul rischio delle loro azioni: la tecnologia DLP concorre a questo processo rendendo l’utente parte della soluzione, educandolo in tempo reale a seguito delle violazioni.
Solo a questo punto, sarà possibile attivare l’enforcement dei controlli tecnologici per ridurre ulteriormente il rischio senza impatti sul business e senza gravare sull’operatività dell’IT.
Un recente studio condotto da Forrester ha indicato che i segreti industriali, presenti ovunque all’interno di un’organizzazione (ricerca e sviluppo, marketing, business development, finance) rappresentano in termini di valore i due-terzi dell’intero patrimonio informativo aziendale. Il valore di una suite DLP completa consiste nell’aiutare le organizzazioni a proteggere la proprietà intellettuale e a mantenere il valore del brand.
La suite RSA Data Loss Prevention è sviluppata su tre livelli/moduli operativi e una piattaforma di gestione:
DLP Datacenter: identificazione dei contenuti sensibili presenti su file share, MS Sharepoint (in modalità nativa tramite API), MS Exchange (in modalità nativa tramite API), database, storage, server e altri repository aziendali. Una volta identificato il dato sensibile, DLP Datacenter consente le seguenti azioni di remediation (manuali o automatizzate): cancellazione; spostamento in un’area sicura; messa in quarantena; notifica; applicazione di un template di protezione IRM (Information Rights Management); cifratura in loco tramite integrazione con soluzioni terze.
DLP Network: monitoraggio dei dati in transito sulla rete (es. email/webmail, file transfer, instant messaging, post su social media). Possibili azioni di remediation: audit (notifica della violazione all’utente con possibilità di richiesta giustificativo), blocco dell’invio, cifratura (tramite integrazione con soluzioni terze), tracciatura (log).
DLP EndPoint: monitoraggio dei dati in uso da parte degli utenti, con la possibilità di configurare le seguenti azioni di remediation: consenti, giustifica (education), blocca, audit&log. DLP EndPoint deve includere funzionalità della componente Network al fine di consentire il controllo delle comunicazioni quando l’utente è off-line, non connesso alla rete corporate.
DLP Console Centralizzata: console di amministrazione centralizzata di tutti e tre i moduli DLP: gestione policy, configurazione dei device, collezionamento e gestione di incidenti e violazioni, generazione dei report.
La tecnologia RSA DLP consente un’approfondita classificazione delle informazioni e l’analisi sia di tipo contestuale sia di tipo contenuto:
Analisi Contestuale
La tecnologia RSA DLP verifica numerosi attributi dei file, come header, metadati e dati relativi all’utilizzo (integrazione con strumenti di File Activity Monitoring)
Analisi di Contenuto
o Fingerprint (file e database): conoscendo i file con contenuto sensibile è possibile eseguirne il fingerprint totale o parziale in modo che quel contenuto specifico possa essere intercettato e monitorato ad ogni livello della soluzione. Se ad esempio vengono inviate 10 righe prese da un documento di 100 pagine, la tecnologia DLP dovrà essere in grado di intercettarle.
o Contenuto Descritto: nel caso in cui non si conoscano i file con contenuto sensibile, è necessario creare delle policy che consentano di descrivere il tipo di dato che si vuole trovare. Possono essere utilizzate parole chiave, regolare expression, regole di prossimità e numerosi altri parametri.
o Entity: deve essere possibile definire e richiamare “entità” ovvero programmi che utilizzano espressioni regolari e algoritmi per identificare dati sensibili. Ad esempio un algoritmo (formula di Luhn) permette di determinare se un numero composto da 16 cifre è un numero di carta di credito oppure no.
o Pluggable Entity: oltre a offrire numerose entity out-of-the-box, la soluzione deve consentire la creazione di entity personalizzate.
o Set di Regole Logiche: ad esempio “May Occur”, “Must Occur” o “Should Not Occur”. Inoltre la tecnologia DLP deve considerare la prossimità tra parole chiave ed entity, per incrementare l’accuratezza (ad esempio tra numero di carta di credito e data di scadenza o codice CVV).
Nel successivo articolo, esamineremo gli scenari di impiego della tecnologia DLP con vari esempi di integrazioni.
Gianluca Carbone - gianluca.carbone@emc.com (EMC Account Systems Engineer)
Marco Casazza - marco.casazza@rsa.com (RSA Pre-Sales Team Lead)
Nessun commento:
Posta un commento