Secondo l’indagine, le imprese si trovano ad affrontare sfide sempre più impegnative nella gestione di sicurezza dei dati, conformità e mancanza di consapevolezza degli utenti
Check Point Software Technologies, società leader mondiale nella sicurezza Internet, e Ponemon Institute, nota società di ricerca nel campo della gestione di privacy e informazioni, hanno rivelato che il 77% delle aziende intervistate ha sperimentato una perdita di dati nell’ultimo anno. I principali risultati del sondaggio ‘Understanding Security Complexity in 21st Century IT Environments’ evidenziano che – secondo gli intervistati – le informazioni sui clienti sono quelle più frequentemente compromesse (52%), oltre a proprietà intellettuale (33%), dati sui dipendenti (31%) e piani aziendali (16%). Con l’adozione di applicazioni Web 2.0 e un più alto numero di dispositivi mobili per la connessione alla rete, le aziende si trovano a dover applicare maggiori requisiti legati a sicurezza dei dati, Governance, Risk e Compliance (GRC) IT.
Secondo questa indagine condotta su oltre 2.400 amministratori di sicurezza IT, la causa principale di perdita dei dati risulta essere frutto di smarrimenti o furti, seguita da attacchi in rete, dispositivi mobili poco affidabili dal punto di vista della sicurezza, applicazioni Web 2.0 e file-sharing o invio di email al destinatario sbagliato. Inoltre, circa il 49% delle aziende intervistate è convinta che i propri dipendenti abbiano poca o nessuna consapevolezza circa sicurezza dei dati, conformità e policy, incoraggiandole a una maggiore sensibilizzazione degli utenti nelle strategie di protezione dati visto e considerato che le persone spesso rappresentano proprio la prima linea di difesa.
“Siamo consapevoli che sicurezza dei dati e conformità rappresentino spesso le priorità dei CISO (Chief Information Security Officer). Tuttavia, se si analizzano le cause della perdita di dati, in genere la maggior parte degli incidenti non è intenzionale”, ha dichiarato Oded Gonda, vice president network security products presso Check Point Software Technologies. “Con l’obiettivo di ‘spostare’ le perdite dati dal rilevamento alla prevenzione, le aziende dovrebbero prendere in considerazione l’introduzione di una maggiore consapevolezza degli utenti e stabilire delle procedure adeguate per ottenere maggiore visibilità e controllo sul patrimonio informativo”.
Se si considera la Data Loss Prevention (DLP) come una delle principali sfide per la sicurezza, è fondamentale per le aziende comprendere le questioni chiave che causano la perdita di dati e stabilire un insieme di best practice per impedire le violazioni, quali ad esempio:
• Comprendere le esigenze di sicurezza dei dati – Avere una visione chiara e tenere traccia delle varie tipologie di dati sensibili che esistono all’interno dell’azienda, così come del tipo di dati soggetti a conformità di settore o legali.
• Classificare i dati sensibili – Si realizza creando un elenco delle tipologie di dati sensibili in azienda e stabilendone il livello di sensibilità. Sarebbe opportuna la creazione di una serie di modelli per classificare i dati come “pubblici”, “confidenziali” o “altamente confidenziali”, assicurando in questo modo anche una maggiore consapevolezza degli utenti finali sulle policy aziendali e su quali siano le informazioni cosiddette sensibili.
• Allineare le policy di sicurezza con le esigenze aziendali – La strategia di sicurezza di un’organizzazione deve proteggere le informazioni aziendali senza inibire l’utente finale. E’ bene partire dalla definizione di policy in termini semplici, allineandole alle esigenze dei singoli dipendenti, gruppi e organizzazioni aziendali. Le soluzioni di identity awareness possono fornire alle aziende maggiore visibilità sui loro utenti e sull’ambiente IT, al fine di rafforzare le policy.
• Rendere i dati sicuri per tutto il loro ciclo di vita – Le aziende dovrebbero prendere in considerazione l’implementazione di soluzioni di sicurezza che rendano sicuri i dati sensibili sotto molteplici aspetti – correlando tra loro utenti, tipologie di dati e processi – e li proteggano durante il loro ciclo di vita: data-at-rest, data-in-motion, e data-in-use.
• Eliminare gli sforzi di conformità – Analizzare gli obblighi di conformità governativi e di settore e quale sia il loro impatto sulla sicurezza e sul flusso delle attività di un’azienda. Prendere in considerazione l’implementazione di soluzioni con best practice personalizzate per soddisfare le normative specifiche, tra cui HIPAA, PCI DSS e Sarbanes Oxley, per una prevenzione veloce e tempestiva. Le policy di best practice consentono inoltre ai team IT di concentrarsi sulla protezione dei dati in modo proattivo.
• Enfatizzare consapevolezza e impegno dell’utente – Coinvolgere l’utente nel processo di decisione relativo alla sicurezza. La tecnologia può aiutare ad educare gli utenti circa le policy aziendali permettendo loro di porre rimedio a incidenti di sicurezza in tempo reale. Combinando tecnologia e consapevolezza degli utenti si sensibilizzano i dipendenti sui comportamenti a rischio attraverso l’auto-apprendimento delle tecniche.
“A causa delle centinaia di incidenti che si verificano ogni anno – tra quelli denunciati e quelli di cui non vi è segnalazione – è inevitabile che i problemi legati a governance, rischio e conformità siano sempre più significativi”, ha dichiarato Larry Ponemon, presidente e fondatore di Ponemon Institute. “La sicurezza dei dati nel mondo attuale significa molto di più della semplice implementazione di un insieme di tecnologie per superare queste sfide. In effetti, la mancanza di consapevolezza dei dipendenti è una delle cause principali degli incidenti e questo sta portando un numero sempre maggiore di aziende ad educare i propri utenti circa le policy aziendali in essere”.