Le soluzioni di Dlp e le sfide mobile e Cloud


L’azienda è sempre alla ricerca di soluzioni innovative che sappiano analizzare e correlare gli eventi di sicurezza, interagire con gli utenti senza impattare troppo sui loro comportamenti lavorativi e integrarsi con i processi di sicurezza già in essere. Anni di esperienza hanno dimostrato che l’implementazione nelle organizzazioni di soluzioni di Dlp (Data Loss Prevention) presenta alcune criticità. Obiettivo di questo articolo è di discuterne le principali – soprattutto di natura tecnico-organizzativa – e introdurre due nuovi ambiti applicativi per queste soluzioni, il Cloud e il mobile

Il 5 aprile di un anno fa Wikileaks pubblica un video che mostra gli elicotteri americani sparare su civili iracheni. Il documento getta un’ombra sinistra sull’intervento USA in quel Paese e attira l’attenzione di tutti i media internazionali. Meno di un mese dopo il sito rende pubblici una valanga di documenti militari e diplomatici; le rivelazioni imbarazzano l’esecutivo USA e coinvolgono direttamente i capi di governo di mezzo mondo. Il loro impatto è prorompente.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

 

Salvate il soldato Manning

Nei giorni successivi il soldato Bradley Manning viene accusato di aver trafugato i cablo USA resi pubblici da Wikileaks. Dopo l’arresto in Iraq la sua prigionia ha inizio dapprima in Kuwait e poi in Virginia. Manning è rinchiuso da più di dieci mesi nel carcere militare di Quantico in Virginia e rischia la pena di morte. Sulla sua testa pendono ventidue capi d’accusa, dal furto di documenti segreti alla collaborazione con il nemico. Secondo l’accusa questo ragazzo di 22 anni sarebbe il responsabile della più grande fuga di informazioni segrete della storia americana; in virtù delle sue competenze di analista informatico della Marina e soprattutto grazie all’accesso autorizzato ai file dell’intelligence della rete militare, avrebbe estratto i segreti di due guerre e della diplomazia, masterizzato i file in un Cd con la copertina di un album di Lady Gaga e consegnato il tutto a Julian Assange. Secondo il suo accusatore Adrian Lamo, ex hacker e confidente, “Collateral Murder”, un secondo video che documenta un attacco aereo ai danni di civili, soprattutto donne e bambini, a Granai nella provincia di Herat nel sud dell’Afghanistan e i circa 260mila cablo diplomatici pubblicati da Wikileaks arriverebbero da Manning.

 

Azioni non consentite

Dire che il fenomeno Wikileaks abbia aumentato la sensibilità verso il problema della perdita di dati oppure che in seguito all’impatto di questa colossale fuga di informazioni sull’opinione pubblica, le vendite di soluzioni Dlp potrebbero aumentare, sono banalità così grandi che non meritano neppure di essere commentate. Senza dubbio esiste una casistica di errori comuni che non risparmia nessuno. Il dipendente che invia un file su cui sta lavorando in ufficio sul proprio account di posta per effettuare alcune modifiche da casa; l’invio al destinatario errato di un documento oppure di uno sbagliato in una comunicazione tra colleghi. Secondo alcuni report che circolano in Rete la maggior parte degli incidenti deriverebbe da errori involontari senza alcun intento fraudolento; ciò porterebbe a escludere tutta una serie di comportamenti scorretti come l’accesso a siti vietati (pornografia, scommesse, gaming, e quant’altro). Peccati veniali che violano però le policy aziendali e potrebbero costare cari. Attenuare il rischio che informazioni importanti possano essere copiate in una cartella su Internet oppure tutelarsi dal collaboratore infedele che per denaro potrebbe sottrarre informazioni strategiche, sono esigenze di cui qualunque azienda o ente pubblico è consapevole. Le soluzioni Dlp nascono per dare una risposta a questo genere di problematiche. Tradurre un’esigenza in un comportamento coerente, tuttavia, non è né automatico né scevro da errori, soprattutto se la tecnologia non ti aiuta o lo fa in maniera inadeguata. L’azienda è sempre alla ricerca di soluzioni innovative che sappiano analizzare e correlare gli eventi di sicurezza, interagire con gli utenti senza impattare troppo sui loro comportamenti lavorativi e integrarsi con i processi di sicurezza già in essere. Le aziende chiedono soluzioni facili da installare e distribuire, semplici da utilizzare, affidabili, efficaci, ed economiche. Checcevò? direbbe Giobbe Covatta. L’esperienza insegna però che l’implementazione in azienda di soluzioni di Dlp presenta alcune criticità. Obiettivo di questo articolo è di discuterne le principali – soprattutto di natura tecnico-organizzativa – e introdurre due nuovi ambiti applicativi per queste soluzioni, il Cloud e il mobile. Partiamo con la critica più ricorrente che viene mossa a queste soluzioni, la loro complessità in termini di integrazione con i sistemi di sicurezza e le policy di sicurezza già esistenti.

 

Complessità delle soluzioni

Non è un segreto che la complessità sia di ostacolo all’adozione delle soluzioni Dlp. Basta effettuare una ricerca in google per rendersene conto. Ancora di recente è emerso tra le righe di uno studio “Content Aware – The 2010 Data Loss Prevention Report” redatto da Aberdeen Group, società di ricerche e marketing. Lo dicono gli stessi addetti ai lavori pur con altre finalità. Non staremo qui a soffermarci sulle ragioni che hanno condotto i vendor a progettare queste soluzioni in modo modulare e non invece adottando un disegno di più ampio respiro, olistico come qualche volta si sente ancora dire. Solo fino a un certo punto l’evoluzione della tecnologia segue quella delle nostre conoscenze. Torniamo invece al detto, non detto, clamorosamente infranto dall’intervento di Eric Ouellet, research vice president e coautore del report “Magic Quadrant for Content-Aware Data Loss Prevention” elaborato da Gartner. Ci riferiamo alle perplessità già messe nero su bianco in quel report e che hanno trovato espressione sintetica ed efficace durante una delle sessioni di formazione e approfondimento che danno lustro al Gartner’s Security & Risk Management Summit. In quella sede Ouellet ha sottolineato come molti tra coloro che acquistano queste soluzioni non abbiano ben chiaro quello che è lecito aspettarsi dal Dlp. Ora è vero che la maggior parte dei vendor dichiara di possederne una a catalogo. E in effetti software come quelli che controllano le porte Usb, crittano gli hard disk o gestiscono gli Enterprise Digital Rights, sono soluzioni Dlp. Nessuna di queste soluzioni però è in grado di valutare l’informazione che protegge. Di questa caratteristica si serve invece Gartner per distinguere tra soluzioni Dlp e Content Aware Dlp. Ebbene secondo Ouellet è questo equivoco di fondo a far sì che chi acquista costose soluzioni di Content Aware Dlp rimanga deluso. Quando va bene – argomenta l’analista di Gartner – si riesce a sfruttare una delle funzionalità della suite Dlp; ma questo processo può arrivare a costare all’azienda due o tre anni di lavoro. Quando ciò si verifica, Ouellet ritiene – e noi con lui – che queste aziende abbiano per larga parte buttato via i loro soldi. Come si dice in questi casi? “Ti sei comperato una Ferrari e non la sai usare!” Qualche volta una critica fondata esposta da una personalità autorevole può sortire effetti positivi; da allora, era il 2009, molti vendor si sono rimessi al lavoro per cercare di risolvere i problemi maggiori che affliggono queste soluzioni, semplificandole e integrandone le funzionalità. A questo punto possiamo aggiustare il tiro; la complessità di cui si è detto ha un padre e una madre: da un lato la confusione ingenerata dai vendor che utilizzano un termine come Dlp buono ormai per tutte le occasioni e, dall’altro, l’impreparazione delle aziende che non hanno sempre chiari gli obiettivi di sicurezza che vogliono ottenere e gli strumenti di cui si debbono servire. Per raggiungere i primi occorre dedicare tempo e risorse per elaborare una strategia che integri e valorizzi sia le tecnologie a protezione dell’infrastruttura sia i dispositivi che di volta in volta l’organizzazione decide di inserire al proprio interno. Dall’efficacia del processo definito a supporto della gestione delle informazioni dipenderà buona parte del successo nell’implementazione delle soluzioni di Dlp. E non potrebbe essere altrimenti: le informazioni alla pari di tutte le risorse materiali costituiscono il patrimonio dell’azienda; il loro valore è strategico; esse abilitano l’azienda allo svolgimento della propria attività imprenditoriale e su di esse costruisce la capacità di conseguire un vantaggio competitivo sulla concorrenza. Il loro valore è colto da Domenico De Angelis, presidente Cda e marketing & sales director di Omnitech (www.omnitechweb.it), quando indica nella difficoltà di classificare i dati secondo un determinato livello di riservatezza al fine di poter individuare chi e come può utilizzare i dati e le informazioni, una delle cause di fallimento dell’intero processo.

Leggi anche:  Alle Olimpiadi di Parigi anche gli attacchi informatici saranno da record

 

Integrazione Dlp con policy di sicurezza  

«Il Dlp non è solo un prodotto, ma un processo che coinvolge ogni aspetto dell’operatività aziendale – sottolinea Fabrizio Cassoni, pre-sales engineer, Technological Dept. di Symbolic (www.symbolic.it) -. Esso consta di una componente tecnica e di una procedurale ed entrambe richiedono una fase preparatoria attenta», sintetizza i termini del problema Cassoni. Un processo efficace garantirà la protezione dei dati lungo tutto il loro ciclo di vita, salvaguardando le informazioni in movimento, quelle in uso e i dati archiviati. «Come in tutti gli ambiti della sicurezza, maggiori sono la granularità e le specificità richieste all’implementazione delle policy, maggiore sarà la complessità», precisa Andrea Bellinzaghi, technical manager di Check Point Italia (www.checkpoint.com). Per Alessandro Peruzzo, amministratore unico di Panda Security Italia (www.pandasecurity.com) «la definizione all’interno delle aziende di processi e politiche di sicurezza è quasi più importante della scelta della soluzione tecnica da adottare». Nella maggior parte delle aziende però, nota Gastone Nencini, technical manager di Trend Micro Southern Europe (www.trendmicro.it), non esiste un processo definito di gestione delle informazioni, alla base di una corretta gestione della problematica Dlp. «Quando questa manca – prosegue nel ragionamento Nencini – l’adozione risulta abbastanza complessa». Solo in linea teorica dunque l’introduzione di una soluzione di Dlp si fonda sul presupposto che esistano delle politiche aziendali che regolamentano e proteggono le informazioni critiche. Quando non è possibile definire un processo di gestione delle informazioni, l’unica soluzione sarà quella di procedere mediante l’adozione graduale delle tecnologie necessarie. «Ciò significa individuare dei progetti tecnologico/organizzativi che parallelamente a una prima definizione di un processo di classificazione delle informazioni, consentano di monitorarne l’utilizzo all’interno di una determinata area aziendale e poi man mano restringerne l’utilizzo solo a chi ne è autorizzato ed estendendo l’approccio “a macchia di leopardo” individuare le aree più critiche», precisa De Angelis (Omnitech).

Sulla carta la massima efficacia delle soluzioni di Dlp si ottiene quando si riesce a raggiungere un livello di protezione tale da effettuare il controllo di ogni porta di ciascun terminale della rete aziendale, su tutti i segmenti cablati o wireless. «Per ragioni economiche questo però non sempre è possibile», afferma Simone Riccetti, IT security architect di IBM Italia (www.ibm.com/security), che sottolinea come in questo caso sia necessario arrivare a un compromesso utilizzando un approccio graduale, selezionando i controlli di sicurezza in funzione del livello di rischio associato ai dati. Nella pratica l’ambito di intervento è più limitato e non coinvolge tutti gli “endpoint”, ma solo un loro sottoinsieme. «Se definiamo l’efficacia come la minimizzazione del rischio in funzione del valore dei dati e del costo associato al controllo, le soluzioni di Dlp, in linea di principio, devono sempre basarsi sul particolare modello dei dati utilizzato in azienda. Ciò implica – continua Riccetti – avere consapevolezza, almeno ad alto livello, della criticità del dato e del suo ciclo di vita interno ed esterno al perimetro aziendale». La corretta valutazione di questi aspetti è essenziale per identificare il rischio di “leakage” e quindi la portata in azienda dell’intervento; anche Giancarlo Mercalli, executive vice president di S.E.S.A. (www.sesaspa.it), concorda con questa impostazione e sottolinea come essa risponde a tutti i vincoli e requisiti richiesti nell’ambito della Dlp; Mercalli tuttavia rileva anche che una valutazione complessiva deve basarsi su Kpi (Key performance indicator) «quali la complessità infrastrutturale dell’azienda e del Tco (Total cost of ownership)».

Leggi anche:  Circa un terzo delle aziende europee deve fronteggiare la carenza di personale InfoSec

Uno degli obiettivi primari per chi decide di implementare soluzioni Dlp è quello di trovare un approccio in grado di bilanciare il sistema sia dal punto di vista della sicurezza che dell’utilizzo, aspetto questo sottolineato da Gastone Nencini (Trend Micro), e su cui concorda anche Alexander Moiseev, managing director di Kaspersky Lab Italia (www.kaspersky.com/it/), che auspica «una combinazione tra cultura aziendale e mezzi tecnici». «Il passo successivo – ci dice Bellinzaghi (Check Point) è quello di avere un’infrastruttura di gestione che permetta di definire un’unica politica di sicurezza, sviluppata in modo coerente su tutta l’infrastruttura e gli utenti, a prescindere dai sistemi di accesso e dagli strumenti di connessione utilizzati».

 

L’interazione soluzione – utente

Uno dei problemi delle soluzioni Dlp non è – come spesso si sente dire – di non riuscire a prevenire tempestivamente la fuoriuscita di informazioni, quanto piuttosto di gestire in modo semplice ed efficace le eccezioni che sorgono quotidianamente utilizzando le informazioni; quello che si chiede alle soluzioni è di interagire in modo intelligente con gli utenti fornendo sia uno strumento di “autocorrezione” degli errori, sia di educazione alle politiche aziendali sull’utilizzo e la tutela dei dati. Facciamo un esempio. Prima che venga inviata una e-mail potenzialmente dannosa la soluzione Dlp invia una segnalazione all’utente. L’alert si basa sull’analisi correlata di vari elementi, testo della mail, indirizzo del destinatario, nome e tipologia dei file allegati ecc. Il software, riconosciuto il potenziale rischio, avvisa l’utente che l’azione potrebbe portare a una potenziale perdita di dati e gli chiede in che modo intende procedere. L’utente a questo punto deciderà se inviare l’e-mail, modificarla, oppure fermarsi; la sua scelta sarà registrata dal sistema e, qualora si rendesse necessario, ripescata per comprenderne le motivazioni.

«I vantaggi indiscussi di questo approccio sono la possibilità per l’utente di gestire eccezioni in tempo reale, senza intervento dell’amministratore, e di bloccare un’involontaria fuoriuscita di informazioni prima che questa avvenga», ci dice Bellinzaghi (Check Point). «Rendere semplice e intuitiva l’esperienza d’uso da parte dell’utente, riducendo al minimo l’intervento dell’amministratore di sistema è una strada intrapresa già da tempo, attraverso la tecnologia di Right Management Services integrata con le soluzioni Dlp del partner RSA», ci dice Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia (www.microsoft.it). Il valore dell’interazione tra soluzione-utente è ribadito anche da Nencini (Trend Micro), a partire dalla possibilità di modulare tempi e modi dell’introduzione della soluzione in azienda: «Il nostro sistema di Dlp permette un’implementazione a più fasi in grado di aiutare utente e amministratore del sistema a conoscere i dettagli relativi alla corretta gestione delle informazioni riservate, in modo tale da garantire un auto-apprendimento del sistema da parte dell’utente. Il sistema – continua Nencini – permette di gestire tutte le eccezioni a condizione che l’utente specifichi il motivo della richiesta, fornendo quindi all’amministratore del sistema la possibilità di effettuare le opportune modifiche».

Sostanzialmente d’accordo con questa impostazione anche Mercalli (S.E.S.A.), secondo cui «inutili macchinosità nell’utilizzo dei dati e scarse prestazioni dei meccanismi di controllo creano un problema agli utilizzatori autorizzati». Non dovrebbe trattarsi dunque di un altro modo per controllare le azioni dei propri collaboratori. I dipendenti che toccano con mano il funzionamento di una soluzione Dlp possono comprendere meglio che cosa comporti perdere dei dati, in che modo ciò avvenga e magari come evitarlo. In questo modo, oltre a ridurre in maniera significativa il numero di incidenti, si raggiunge un duplice obiettivo: s’incoraggia l’adesione alle policy di sicurezza aziendali e si persegue la conformità alla normativa.

 

Dlp e mobile

Mobility e Virtualizzazione, due tra i trend più importanti degli ultimi anni, mantengono alto l’interesse verso le soluzioni di Dlp; anzi per alcuni osservatori la prossima frontiera della mobilità, sia in termini tecnologici sia di conformità, sarà rappresentata proprio dalla Dlp. Poiché nel mondo mobile questa convergenza appare ineluttabile, gli esperti ritengono che il primo passo verso una strategia di protezione dei dati e di separazione netta tra necessità personali e professionali passerà attraverso la virtualizzazione del sistema operativo del dispositivo mobile. È questa la direzione verso cui ci stiamo muovendo? La tendenza alla trasformazione di apparati da hardware a mobili è – come rileva Moiseev (Kaspersky), sotto gli occhi di tutti. «Il parametro essenziale che li distingue dagli altri – nota Moiseev – è il legame con il possessore dello smartphone, rappresentato dal codice Imei. Questo consente la massima tracciabilità dell’utilizzatore e quindi quasi risolve il problema post-factum». Per Mercalli (S.E.S.A.) nel medio periodo quello descritto è lo scenario più probabile: «Il processo massivo di virtualizzazione facilita il controllo degli accessi ai dati aziendali passando da un utilizzo “fisico” del dato ospitato sul device a uno “virtuale” basato su una vista controllata del dato da consultare». Anche secondo Cassoni (Symbolic) la virtualizzazione sembra destinata a far parte dello sviluppo della tecnologia mobile portando notevoli vantaggi: «Solo occorrerà porre grande attenzione all’implementazione, sia che si scelga la strada del “microvisor bare metal” che hosted: perché da questo dipenderà gran parte della sicurezza dei dati».

Leggi anche:  Sicurezza sul lavoro: Landoil lancia un appello all'impegno collettivo

Intini (Microsoft) rileva una tendenza in fase di consolidamento, quella dell’utilizzo sempre più frequente di strumenti come gli smartphone per accedere ai dati aziendali. «L’obiettivo è di sviluppare funzionalità tecnologiche di protezione che funzionino su più dispositivi e che rendano possibile per l’utente il servirsi sia dei contenuti “entertainment” che di quelli aziendali, senza minare la separazione logica necessaria tra i due ambiti e la sicurezza dei rispettivi dati».

Massimo Cipriani, Security Technical Consultant di CA Technologies (http://www.ca.com/it/default.aspx) descrive una procedura di sicurezza adottabile che anticipa quella che potrebbe essere in futuro la tecnologia: «Per l’accesso ai dati da dispositivi mobili potremmo pensare di associare a ciascuno di questi un sistema di autenticazione forte da remoto e una valutazione del livello di “rischio” in tempo reale per l’autorizzazione all’accesso a dati riservati, mantenendo il controllo sul rispetto delle policy relative all’utilizzo dei dati stessi. Ancora una volta – conclude Cipriani – si tratta di integrare tecnologie esistenti con approccio innovativo».

Non si sbilancia invece in previsioni Luciano Veronese, RSA senior technical consultant (www.rsa.com): «Per EMC/RSA il punto di convergenza fra mobilità e virtualizzazione è rappresentato dall’infrastruttura Virtual Desktop (VDI); essa permette il disaccoppiamento tra l’ambiente di lavoro con le informazioni da esso ospitate – il desktop e le applicazioni aziendali – e il dispositivo che consente di accedere al desktop. Questo setup – prosegue Veronese – rappresenta l’ideale bilanciamento tra necessità personali e professionali garantendo la protezione delle informazioni aziendali che rimangono nei sistemi di back-end e che possono essere protette dalla tecnologia Dlp in grado di controllare anche il flusso di informazioni dal desktop al device».

 

Dlp sulla nuvola

Forse alcuni dei problemi che affliggono le soluzioni Dlp andrebbero valutati considerando la continua evoluzione dello scenario ICT. Per esempio – se come sempre più spesso oggi sentiamo dire – siamo alla vigilia di una migrazione massiva verso il Cloud computing, non è azzardato aspettarsi che anche queste soluzioni cambieranno. Abbiamo chiesto ai nostri interlocutori se ritenessero condivisibile questa valutazione. Queste sono le risposte che ci hanno fornito.

«Le soluzioni Dlp nate nel tradizionale ambito enterprise, possono già oggi essere impiegate in ambienti virtuali e private Cloud – ci dice Veronese (RSA) -; anzi, in questi contesti, il loro utilizzo diventa ancora più rilevante data la maggiore dinamicità che caratterizza questi ambienti». Secondo Mercalli (S.E.S.A.), «la dinamicità dell’infrastruttura ICT rende necessario un approccio innovativo al problema, non più circoscritto solo ai sistemi che fisicamente ospitano i dati, bensì esteso al controllo del processo che conduce agli stessi». Per Intini (Microsoft) ci troviamo davanti a due scenari distinti: «Per le grandi aziende, che dedicano importanti investimenti alla tutela dei dati, Microsoft propone l’efficacia di una soluzione ibrida, in cui la gestione dei dati più sensibili può avvenire ancora “on premise” (in senso tradizionale, o tramite la realizzazione di una private Cloud), mentre quella delle informazioni meno sensibili può essere affidata alla “Cloud”, con soluzioni di gestione dell’identità e dell’accesso integrate tra le due realtà. Per le realtà minori – prosegue nel ragionamento Intini -, per le quali le soluzioni di Dlp sono fuori dalla loro portata, il passaggio al Cloud permette loro di avvantaggiarsi di funzionalità Dlp comprese nel prezzo della sottoscrizione».

Con l’adozione del Cloud computing e la potenziale gestione in remoto delle informazioni aziendali si rende necessario l’impiego di soluzioni tecnologiche in grado di proteggerne l’utilizzo. «In questo ambito la crittografia dei dati assumerà un ruolo importante», afferma Domenico De Angelis (Omnitech). Anche per Nencini (Trend Micro) il ricorso alla crittografia sarà sempre più diffuso: «La gestione delle chiavi di accesso ai dati è affidata all’utente finale e non al provider del servizio. In questo modo, riconoscendo ai proprietari delle informazioni l’esclusiva capacità di decidere quando e dove utilizzare le chiavi di crittografia, l’azienda esercita il totale controllo sui dati».

Per concludere in uno scenario ICT molto dinamico, la risposta viene ancora una volta dalla capacità d’integrare con efficacia le soluzioni: «Poiché nel Cloud le applicazioni sono tutte Web based, un’efficace infrastruttura di controllo potrebbe nascere dall’integrazione del Dlp con soluzioni di Web Access Management e di Identity Federation», afferma Massimo Cipriani  (CA Technologies).

 

Siamo solo agli inizi

La consapevolezza del valore del dato piuttosto che la mera difesa dello stesso è solo uno degli ambiti entro cui le aziende dovranno crescere. E potranno farlo in condizioni migliori quando anche le soluzioni Dlp in commercio saranno più mature, integrate e integrabili. Molti vendor stanno mettendo mano a una revisione profonda dei loro prodotti, ma complessità e onerosità sono ostacoli che richiedono tempi adeguati per essere rimossi. Queste soluzioni sono un’arma importante da mettere in campo per arginare le minacce provenienti dall’interno. La loro efficacia crolla però se si chiede loro di fronteggiare attacchi mirati oppure provenienti dall’esterno. Ma neppure la migliore delle soluzioni, come il ciclone Wikileaks ha dimostrato, potrà mettere fine alla fuga d’informazioni.