Cos’è la protezione dei dati?

Ogni giorno, gli attacchi informatici mirano a sottrarre informazioni preziose e sensibili ad aziende, istituzioni e organizzazioni governative. La sempre maggiore complessità di queste minacce ha evidenziato l’importanza della protezione dei dati (data protection) per evitare costosi data breach e data leak.

A sua volta, la protezione dei dati è diventata un obiettivo primario della cybersecurity ed è una componente importante della conformità e della privacy. Con una serie di sistemi e strategie appropriate, le organizzazioni possono impedire agli aggressori di rubare i dati, salvaguardando così la perdita di dati e le interruzioni di continuità.

Ogni anno le perdite di dati e la corruzione costano miliardi alle aziende. Un singolo evento di cybersecurity costa quasi 100.000 dollari per incidente, e i costi continuano a crescere. Un’organizzazione vittima di una violazione dei dati deve spendere soldi per coprire i costi di contenzioso, le multe per la conformità e i nuovi strumenti di cybersecurity. Di conseguenza, mettere in atto i giusti controlli per prevenire un evento del genere costituisce un ottimo investimento.

Lo scopo della protezione dei dati è quello di bloccare il furto di dati prima che un’organizzazione subisca le costose conseguenze di una violazione andata a segno. Inoltre, protegge i clienti dal rischio di perdere i propri dati a causa di un aggressore e di essere vittime di furti di identità e frodi. Evitare una compromissione non è l’unico vantaggio. La protezione dei dati aiuta le aziende a trovare valore nei loro dati catalogandoli per un uso futuro.

Esistono tre elementi fondamentali per la protezione e la sicurezza dei dati che la maggior parte delle organizzazioni ed aziende dovrebbero tenere in considerazione nei loro programmi di cybersecurity: riservatezza (confidentiality), integrità (integrity) e disponibilità (availability). Questi tre pilastri sono noti come “Triade CIA”, che funge da struttura per supportare sistemi di protezione dei dati affidabili.

• Riservatezza: si riferisce alla protezione sicura dei dati da accessi non autorizzati, consentendo solo a utenti selezionati con autorizzazione e credenziali adeguate.
• Integrità: mantiene i dati attendibili, affidabili, accurati e completi, senza alterazioni o modifiche accidentali.
• Disponibilità: assicura che i dati siano prontamente accessibili e disponibili quando necessario per la continuità operativa.

La continuità aziendale dipende dalla protezione delle informazioni. Per sostenere la continuità, le aziende hanno bisogno di modi per riprendersi da un evento di cybersecurity. Ad esempio, una configurazione errata o un guasto imprevisto del sistema possono causare la corruzione dei dati. I piani di protezione dei dati entrano in gioco in seguito a questi eventi.

Bisogna tenere conto del tempo necessario all’azienda per riprendersi da un’interruzione dell’attività, che si ripercuote sui ricavi. Più a lungo il sistema soffre di downtime, più a lungo l’azienda non può sostenere la produttività. Senza produttività, l’azienda non può mantenere i ricavi. Inoltre, i tempi di inattività possono influire sulla crescita futura dei ricavi e danneggiare la reputazione dell’azienda.

Protezione dei dati, sicurezza e privacy sono termini correlati che vengono spesso utilizzati in modo intercambiabile, ma che hanno significati e intenzioni diverse:

• Protezione dei dati: le misure di salvaguardia che impediscono l’accesso, l’uso, la divulgazione, la modifica o la distruzione non autorizzata delle informazioni. La protezione dei dati, o data protection, comprende tutte le iniziative fisiche, tecniche, amministrative e legali per proteggere i dati.
• Sicurezza: i protocolli per proteggere i sistemi informatici, il software e le reti da violazioni di accesso, uso, alterazione o distruzione. La sicurezza comprende i sistemi fisici, tecnici e amministrativi per proteggere i computer e l’infrastruttura di rete.
• Privacy: nel contesto della protezione dei dati, la privacy comprende tutte le misure adottate per proteggere le informazioni personali e riservate, come la limitazione dell’accesso ai dati, l’ottenimento del consenso per la loro raccolta, divulgazione e utilizzo e la garanzia che i dati siano accurati e aggiornati.

Una difficoltà che le aziende incontrano nell’implementazione della protezione dei dati è rappresentata dalle barriere e dagli ostacoli necessari per creare un piano efficace. Con l’evoluzione della tecnologia e l’aumento delle aziende che lavorano nel cloud, la superficie di attacco dell’ambiente aumenta, rendendo più difficile la difesa.

Alcuni ostacoli da considerare sono:

• Ampliamento della superficie di attacco: l’aggiunta di backup, archivi e altri componenti ambientali migliora la protezione dei dati, ma aumenta la superficie di attacco e i rischi.
• Vulnerabilità comuni: le configurazioni errate sono ancora comuni in un ambiente e sono spesso la causa principale di una compromissione. Altre vulnerabilità comuni persistono e devono essere corrette per evitare una compromissione.
• Evoluzione della pirateria e dei requisiti di segnalazione: le organizzazioni devono tenere conto della conformità quando si implementa la protezione dei dati, e questo richiede un audit e la comprensione di ogni regola di conformità.
• Aumento dell’utilizzo di IoT e dispositivi mobili: l’utilizzo di dispositivi IoT e mobili aumenta la superficie di attacco di un’organizzazione, rendendo più difficile la data protection, soprattutto se i dispositivi sono di proprietà dell’utente.

La crittografia dei dati è il primo passo per proteggere i dati dagli aggressori. La crittografia deve essere implementata sui dati a riposo e su quelli in movimento. Quando i dati vengono trasferiti su Internet, devono essere crittografati per evitare intercettazioni e attacchi man-in-the-middle. La conformità richiede la crittografia di alcuni dati a riposo, come le informazioni sensibili memorizzate sui dispositivi mobili.

Una soluzione crittografica sicura impedisce agli aggressori di leggere i dati rubati. I dispositivi mobili con dati criptati a riposo impediscono agli aggressori di recuperare i dati presenti su un dispositivo rubato fisicamente. La conformità regola anche i dati da crittografare e le modalità di protezione delle informazioni da parte dell’organizzazione, quindi è necessario verificare sempre le normative prima di creare un piano.

Proteggere i dati non è un processo che si esaurisce con un solo intervento. La protezione completa delle informazioni coinvolge diversi elementi. La maggior parte delle grandi organizzazioni utilizza diversi principi di protezione dei dati. Tuttavia, qualsiasi organizzazione soggetta a normative di conformità e con dati altamente sensibili (come quelli finanziari o sanitari) dovrebbe implementare tutte le categorie nei propri controlli di cybersecurity.

Le categorie della protezione dei dati comprendono:

• E-discovery e conformità: scoprire i dati il cui utilizzo deve essere catalogato, etichettato e con controlli di accesso implementati. Questo può essere fatto con le soluzioni analitiche di E-discovery.
• Archiviazione: archiviare i vecchi dati in una posizione separata per liberare spazio di archiviazione, ma conservarne una copia in caso di necessità in un’indagine. Questo può essere fatto con le soluzioni di archiviazione.
• Backup: copia dei dati per il ripristino di emergenza in caso di compromissione o corruzione.
• Snapshot: le istantanee, o snapshot, sono simili ai backup, ma includono tutte le configurazioni di sistema per il ripristino dei server.
• Replicazione: la replica dei dati tra gli ambienti fornisce ridondanza.
• Disponibilità: i dati di produzione devono essere disponibili per le operazioni aziendali quotidiane per sostenere la crescita dei ricavi.
• Disaster recovery: un piano di disaster recovery rimedia a qualsiasi perdita di dati e riporta il sistema alla normalità per continuare la produttività aziendale e ridurre al minimo i tempi di inattività.
• Continuità aziendale: occorre fare il possibile per garantire la stabilità e la disponibilità dei dati per sostenere la produttività.

L’ambiente di sistema odierno comprende più sistemi operativi e piattaforme, compreso il cloud. Per continuare a operare, i dati devono essere trasportabili in ogni ambiente. Tuttavia, la convenienza della portabilità deve comprendere anche la protezione dei dati da intercettazioni, furti e corruzione.

Un problema della portabilità dei dati è quello di garantire l’integrazione con il cloud. Sempre più organizzazioni riconoscono che il cloud è perfetto per i backup e l’archiviazione, quindi qualsiasi piano di disaster recovery deve prevedere il tempo necessario per migrare i dati dal cloud allo storage on-premise. Il cloud è sicuro, ma gli amministratori devono configurare correttamente i dati migrati per la protezione e la disponibilità dei dati, compresi i controlli di accesso necessari per difendersi dai furti.

I backup sono sempre stati necessari per la continuità aziendale, ma ora sono parte integrante del disaster recovery. Invece di eseguire backup con una frequenza specifica, i backup dei dati sono continui e più strategici per riportare l’azienda allo stesso stato precedente all’evento informatico.

L’archiviazione di grandi quantità di dati è costosa e richiede un enorme spazio di archiviazione, quindi le organizzazioni di solito sfruttano il cloud per evitare le spese on-premises. Un buon piano di disaster recovery prevede la deduplicazione dei dati e la garanzia che nessun dato vada perso durante la migrazione di un backup al sistema interessato.

Le piccole e grandi organizzazioni traggono vantaggio dalla protezione dei dati aziendali, nota in questo contesto anche come protezione delle informazioni o protezione dalle perdite di dati (DLP). Tuttavia, un’azienda ha diverse parti in movimento, un’ampia superficie di attacco ed enormi quantità di dati da proteggere. La strategia di protezione dei dati di un’impresa è tipicamente diversa da quella di una piccola azienda a causa dell’ampia superficie di attacco.

Alcuni componenti della protezione dei dati aziendali sono:

• Visibilità intelligente: gli amministratori aziendali devono essere a conoscenza di tutti i dati presenti nell’ambiente, in modo da poterli monitorare e proteggere.
• Mitigazione proattiva: la cybersecurity reattiva è costosa e può danneggiare gravemente le entrate, invece gli strumenti e i servizi di mitigazione proattiva rilevano e bloccano un attacco in corso prima che diventi una compromissione completa.
• Controllo continuo: gli amministratori devono creare un piano di protezione dei dati che permetta loro di avere un controllo costante sull’accesso e sulla visibilità.

La maggior parte delle aziende deve fare i conti con una superficie di attacco sempre più ampia e con nuove minacce in circolazione. Questi problemi rendono più difficile per un’azienda creare un buon piano di protezione dei dati. Mentre pianificano l’infrastruttura e le procedure necessarie per proteggere i dati, gli amministratori devono prepararsi ad affrontare alcuni potenziali problemi, tra cui:

• Corruzione dei dati: i backup devono essere sicuri e validi, il che significa che ogni backup deve essere verificato per assicurarsi che non sia danneggiato. Backup corrotti possono vanificare un piano di ripristino d’emergenza quando viene messo in atto.
• Guasti al sistema di archiviazione: ogni sistema di archiviazione deve essere disponibile per mantenere la produttività. Anche le postazioni di archiviazione di backup devono essere disponibili per eseguire immediatamente il ripristino di emergenza quando necessario.
• Errori del datacenter: le organizzazioni che lavorano nel cloud o in un datacenter hanno bisogno di connessioni al cloud persistenti e affidabili. Un ISP secondario o una connessione di failover sono spesso necessari in caso di perdita di connettività.

La sicurezza informatica cambia ogni giorno a seguito della scoperta di nuove minacce e della scoperta da parte degli aggressori di nuovi modi per aggirare la sicurezza, di conseguenza le tendenze cambiano continuamente per tenere il passo con le minacce. Gli amministratori non devono necessariamente implementare tutte le nuove tendenze in materia di protezione dei dati, ma l’adozione della tecnologia più recente spesso aiuta a bloccare le minacce più recenti.

Alcune tendenze da considerare sono:

• Iperconvergenza: le organizzazioni dispongono ora di una combinazione di macchine virtuali e fisiche e tutti gli ambienti devono essere sottoposti a backup. Quando si progetta un piano, assicurarsi che siano inclusi i server virtualizzati e i dispositivi di rete.
• Ransomware: l’unico modo per riprendersi da un attacco ransomware sofisticato è quello di ripristinare i backup. Poiché il ransomware prende di mira i backup, i piani di protezione dei dati devono includere la sicurezza dei file di backup e delle posizioni di archiviazione.
• Gestione dei dati di copia: la ridondanza è necessaria per una buona protezione dei dati, ma una cattiva gestione dei backup può essere un incubo con conseguente perdita e corruzione dei dati. La pianificazione deve includere i passaggi necessari per garantire che i backup siano archiviati in un’unica posizione e che altri sistemi di backup attivi non li sovrascrivano.

I dispositivi e i server dell’organizzazione sono più facilmente gestibili perché l’azienda possiede e controlla ciò che può essere installato. La difesa dei dati dei dispositivi degli utenti è più complicato. Ciò è dovuto al fatto che i dati aziendali devono essere protetti senza interferire con i dati e le applicazioni personali degli utenti.

Se da un lato consentire ai lavoratori di utilizzare i propri dispositivi mobili migliora la produttività, dall’altro aumenta i rischi. Gli amministratori devono intervenire per garantire la protezione dei dati mobili con la sicurezza mobile. Tuttavia, questa componente della gestione della cybersecurity è molto più impegnativa dei server e delle appliance interne. I dati devono essere sincronizzati con strategie di backup e il dispositivo deve proteggere i dati in caso di furto fisico.

Ogni componente della cybersecurity serve a proteggere i dati, ma le normative di conformità fanno una distinzione tra protezione, sicurezza e privacy. Le organizzazioni devono comprendere queste differenze per implementare i controlli appropriati per rimanere conformi ed evitare multe.

• Protezione dei dati: qualsiasi dispositivo o applicazione che blocca gli attacchi informatici e protegge dai furti, compresa la perdita di dati causata da insider.
• Sicurezza dei dati: risorse di cybersecurity che proteggono dall’accesso non autorizzato e dalla manipolazione o corruzione dei dati.
• Privacy dei dati: controllo dei dati e determinazione di chi deve accedervi, oltre al monitoraggio delle richieste di accesso.

Ogni Paese ha le proprie leggi sulla privacy e le organizzazioni in questi Paesi devono rispettare le normative. Le due leggi sulla privacy più importanti sono il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea, entrato in vigore nel 2018, e il California Consumer Privacy Act (CCPA) negli Stati Uniti. Entrambe le leggi prevedono sanzioni severe in caso di non conformità. I due regolamenti di conformità hanno i loro requisiti e le organizzazioni devono assicurarsi di esaminarli e seguirli.

Il GDPR e il CCPA dell’UE sono due delle normative più critiche in materia di privacy, con sanzioni severe in caso di non conformità. Queste misure di protezione della privacy offrono ai consumatori un maggiore controllo sui loro dati e una maggiore trasparenza su come le organizzazioni li utilizzano. In entrambe le leggi, deve essere chiaro che gli utenti hanno:

• Il diritto di essere informati o di sapere come vengono utilizzati i loro dati.
• Il diritto di accedere e vedere i propri dati.
• Il diritto alla rettifica o alla possibilità di correggere i dati.
• Il diritto alla cancellazione o alla possibilità di cancellare i propri dati o di rinunciare completamente al trattamento.

Ogni organizzazione ha un proprio piano di protezione dei dati aziendali che dovrebbe seguire gli standard di base per la salvaguardia dei dati. Gli strumenti e le apparecchiature che proteggono i dati dipendono dall’infrastruttura e dalle pratiche di archiviazione dell’organizzazione (ad esempio, archiviazione on-premises o cloud).

Alcuni esempi di protezione dei dati sono:

• Sicurezza dei dati: per accedere ai dati è necessaria l’autenticazione.
• Controlli di accesso: l’utente deve essere autorizzato a visualizzare i dati.
• Requisiti di archiviazione: i dati sono protetti sia a riposo che in movimento?

Una serie di tendenze legate alla trasformazione digitale e alla sicurezza dei dati influisce sul modo in cui le organizzazioni gestiscono le loro attività di protezione dei dati.

• Lavoro a distanza: il passaggio al lavoro a distanza ha creato nuove sfide per la sicurezza, poiché i dipendenti accedono ai dati aziendali al di fuori della rete dell’ufficio.
• Backup e disaster recovery-as-a-service: le organizzazioni si rivolgono sempre più spesso a soluzioni di backup e disaster recovery basate sul cloud per proteggere i propri dati in caso di violazione della sicurezza o di altri disastri.
• Conformità normativa: la conformità alle normative sulla privacy dei dati, come il GDPR e il CCPA, sta diventando sempre più importante, in quanto le organizzazioni rischiano multe salate in caso di mancata conformità.
• Governance dell’IA: con la crescente diffusione dell’intelligenza artificiale, le organizzazioni si stanno concentrando sullo sviluppo di strutture di governance per garantire che l’IA sia utilizzata in modo etico e che i dati utilizzati per addestrare i modelli di IA siano protetti.
• Zero and first-party data: con la progressiva eliminazione dei cookie di terze parti, le organizzazioni cercano di raccogliere dati di zero e first-party per migliorare le pratiche di protezione e sicurezza dei dati e comprendere meglio i propri clienti.

Poiché le minacce diventano sempre più avanzate e sofisticate, le organizzazioni devono rimanere al passo con i più recenti strumenti di protezione dei dati e metodi di sicurezza delle informazioni.

• Sistemi di backup e recupero dei dati: questi strumenti eseguono automaticamente il backup dei dati importanti e sono in grado di recuperarli rapidamente in caso di violazione della sicurezza o di altri disastri.
• Cifratura e crittografia: queste tecnologie proteggono i dati sensibili codificandoli in modo che solo il personale autorizzato possa accedervi.
• Software di individuazione e classificazione dei dati: le piattaforme software aiutano le organizzazioni a identificare e classificare i dati sensibili per poterli proteggere meglio.
• Sicurezza degli endpoint: questi sistemi proteggono i singoli dispositivi, come computer portatili, desktop e telefoni cellulari, dalle minacce alla sicurezza.
• Prevenzione della perdita di dati: questi protocolli hanno lo scopo di prevenire la perdita, il furto o la compromissione dei dati, monitorando e controllando l’accesso e l’utilizzo dei dati.
• Firewall: tecnologie costruite per impedire l’accesso non autorizzato alle reti di computer filtrando il traffico di rete in entrata e in uscita.
• Gestione degli accessi: misure utilizzate per controllare l’accesso degli utenti ai dati e ai sistemi sensibili, per garantire che solo il personale autorizzato possa accedervi.
• Data erasure: questi strumenti cancellano in modo sicuro i dati dai dispositivi di archiviazione per impedirne l’accesso a personale non autorizzato.
• Software di monitoraggio dei dipendenti: piattaforme progettate per monitorare e sorvegliare l’attività dei dipendenti sulle reti aziendali per individuare e prevenire le violazioni della sicurezza.
• Software antivirus, anti-malware e anti-ransomware: proteggere e disinfettare i sistemi informatici da virus, malware e attacchi ransomware che minacciano violazioni e fughe di dati.

Per le organizzazioni è difficile verificare i dati e determinare le strategie di protezione adeguate in un ambiente. Le soluzioni di protezione delle informazioni di Proofpoint possono aiutare le aziende a verificare e scoprire i dati, a creare una strategia che segua il GDPR e altre normative di conformità e a proteggere i dati dal furto o dalla distruzione. Semplificheremo le risposte agli incidenti e creeremo un ambiente in grado di proteggere i dati dai rischi esterni, comprese le minacce che colpiscono le piattaforme cloud.