Per affrontare la tematica Data Loss Prevention, è fondamentale comprendere con quali tipologie di dati si ha a che fare.
Prima di considerare qualsiasi tecnologia, occorre definire una metodologia, stabilire cosa è sensibile per le diverse business unit (processo) e definire ad alto livello le policy per il trattamento delle informazioni. L’obiettivo numero uno deve essere la consapevolezza del livello di rischio cui si è esposti, quindi operare per ridurlo sistematicamente evitando impatti sul business.
Una valutazione del rischio associato alla perdita di dati deve tener conto di tre fattori: identità dell’utente, azione dell’utente e livello di sensibilità del dato. Attraverso una vista completa su dove risiedono i dati all’interno dell’infrastruttura e come si muovono all’interno e verso l’esterno dell’organizzazione, l’azienda può drasticamente ridurre il rischio associato alla perdita di informazioni sensibili.
Prima di considerare qualsiasi tecnologia, occorre definire una metodologia, stabilire cosa è sensibile per le diverse business unit (processo) e definire ad alto livello le policy per il trattamento delle informazioni. L’obiettivo numero uno deve essere la consapevolezza del livello di rischio cui si è esposti, quindi operare per ridurlo sistematicamente evitando impatti sul business.
Una valutazione del rischio associato alla perdita di dati deve tener conto di tre fattori: identità dell’utente, azione dell’utente e livello di sensibilità del dato. Attraverso una vista completa su dove risiedono i dati all’interno dell’infrastruttura e come si muovono all’interno e verso l’esterno dell’organizzazione, l’azienda può drasticamente ridurre il rischio associato alla perdita di informazioni sensibili.
I business owner dei dati sensibili ed i responsabili di business unit aziendali rivestono un ruolo fondamentale nella definizione delle policy che regolano l’accesso e l’utilizzo dei dati stessi. A questo scopo sono normalmente effettuate delle interviste one-to-one per definire ad alto livello le politiche di trattamento del dato. La tecnologia DLP rappresenta uno strumento che deve semplificare ed automatizzare questo processo, rendendolo più efficiente, ripetibile e governabile.
Un altro passaggio importante consiste nell’educare gli utenti circa le policy aziendali per il trattamento dei dati sensibili e sul rischio delle loro azioni: la tecnologia DLP concorre a questo processo rendendo l’utente parte della soluzione, educandolo in tempo reale a seguito delle violazioni.
Solo a questo punto, sarà possibile attivare l’enforcement dei controlli tecnologici per ridurre ulteriormente il rischio senza impatti sul business e senza gravare sull’operatività dell’IT.
Un altro passaggio importante consiste nell’educare gli utenti circa le policy aziendali per il trattamento dei dati sensibili e sul rischio delle loro azioni: la tecnologia DLP concorre a questo processo rendendo l’utente parte della soluzione, educandolo in tempo reale a seguito delle violazioni.
Solo a questo punto, sarà possibile attivare l’enforcement dei controlli tecnologici per ridurre ulteriormente il rischio senza impatti sul business e senza gravare sull’operatività dell’IT.