Il furto di dati sensibili può avere un impatto molto negativo sull’azienda in termini di credibilità, fiducia di clienti e fornitori, mantenimento del vantaggio competitivo, mancata conformità alle normative, perdite finanziarie, sino a includere nei casi più gravi la responsabilità penale di legali rappresentanti e manager. Le soluzioni di Dlp
La protezione del patrimonio immateriale dell’azienda richiede adeguate politiche e soluzioni di prevenzione della fuga di dati (Dlp – Data leakage prevention o Data loss prevention) anche per poter dimostrare a terze parti, clienti e autorità giudiziaria di aver posto in essere le necessarie misure di protezione delle informazioni sensibili atte a evitarne la compromissione.
SPIE A MARANELLO
Per gli appassionati di Formula 1 la vicenda di spionaggio in casa Ferrari è difficile da dimenticare. Per tutti gli altri ecco un breve promemoria. Nel giugno 2007 Nigel Stepney, ex coordinatore in pista dei meccanici di Maranello venne sorpreso a passare al progettista della McLaren Mike Coughlan i disegni del fondo piatto flessibile montato sulla Ferrari F2007 nel GP di Australia con il suggerimento di presentare ricorso per irregolarità regolamentari. Poche settimane dopo in effetti la FIA mise al bando questo sistema costringendo la Ferrari e altre squadre a modificare i disegni delle monoposto. Prove successive fornite dalla Ferrari dimostrarono un gran numero di contatti avvenuti tra Coughlan e Stepney: telefonate, Sms ed e-mail. Grazie a un report stilato dalla Polizia italiana entrato in possesso della stampa specializzata si venne a sapere che nel periodo tra l’1 marzo e il 14 aprile 2007 Coughlan e Stepney si scambiarono almeno 23 messaggi di posta. Dalle carte dell’indagine trapelò in seguito che la documentazione rubata probabilmente non si limitava ai disegni del fondo piatto, ma poteva essersi estesa alle relazioni di tutti i GP del 2006 e alle prime corse della stagione successiva: informazioni circa le telemetrie, i dettagli sull’assetto, l’aerodinamica, il funzionamento del motore e altro ancora. Un piccolo tesoro passato a terzi e presumibilmente incorporato in macchine della concorrenza, utilizzando semplicemente la posta elettronica.
LE SOLUZIONI DLP
La vicenda Ferrari è paradigmatica. Non tanto per la sua unicità. La perdita o il furto di dati sono ormai cronaca quotidiana. Semmai ci conferma come più spesso di quanto si creda le cause all’origine della perdita o della diffusione non autorizzata di dati siano da ricercare all’interno dell’organizzazione; ma allo stesso tempo alimenta il dubbio che mancassero o non fossero state applicate in maniera corretta alcune basilari misure di sicurezza, a partire dall’accesso a file e cartelle e alla loro criptazione; è possibile inoltre dotarsi di un software che consente di effettuare l’audit su file e cartelle in modo da poter stabilire sempre chi ha fatto cosa e quando. Ma in che modo fronteggiare il furto di dati da parte di persone autorizzate ad accedervi, come è avvenuto alla Ferrari? I sistemi Windows prevedono i servizi di Rights management (Rms) e Information rights managements (Irm) presenti in molte versioni di Office 2003 e 2007 per prevenire la copia e l’inoltro di file di Word, Excel e PowerPoint. Ancora, si può limitare in modo permanente l’installazione di dispositivi come le memorie Usb semplicemente rimuovendone o impedendone l’entrata fisica; oppure ottenere lo stesso risultato tramite Group Policy in Vista. A livello di rete, ai laptop dei consulenti esterni può essere fortemente limitato l’accesso alle risorse del dominio. Il traffico deve essere monitorato e limitato. I dati possono uscire dalla rete in molti modi. Perciò l’utilizzo di taluni protocolli va limitato o bloccato tout court tramite firewall, mentre a livello di mail server occorre utilizzare la tecnologia che consente di bloccare gli allegati non autorizzati dalle policy tramite parole chiave, filtri software oppure servizi ad hoc. Vanno controllate e limitate le autorizzazioni di accesso tramite controllo remoto. Infine un occhio sempre vigile circa i metodi meno ortodossi e diffusi di sottrazione dei dati (quali per esempio la scansione e la microfilmatura di documenti) contribuirà a metterci al riparo da spiacevoli sorprese. La tecnologia per arginare i problemi di sicurezza e la fuoriuscita di dati non manca. Nel caso specifico la presenza di soluzioni Dlp (integrando quelle standard) avrebbe migliorato il livello complessivo di sicurezza. Ma sarebbe riuscita a impedire la sottrazione di informazioni? Prima di impiegare una soluzione di Dlp occorre avere ben chiaro da quali punti la perdita o il furto di dati potrebbe avvenire. E poi agire di conseguenza proteggendo tutte le parti vulnerabili della rete, vale a dire ogni porta e terminale presente su tutti i segmenti di rete, cablati o wireless, prevenendo in tempo reale ogni comportamento non autorizzato o fraudolento. La scelta di una certa soluzione Dlp dovrebbe poi scaturire dall’analisi delle esigenze interne all’organizzazione per le quali non tutti i prodotti presenti sul mercato sono in grado di rispondere adeguatamente. Come vedremo non si tratta di compiti facili.
DLP – IMPATTO ORGANIZZATIVO
Le prospettive di crescita di queste soluzioni sono rosee. Il bisogno di sempre maggiore sicurezza e gli stringenti vincoli legislativi potranno fare molto perché la loro adozione diventi massiccia. Non ci sono restrizioni particolari in termini di grandezza o settore di appartenenza che potrebbero frenarne la crescita, poiché la loro adattabilità ne consente l’impiego anche presso realtà di piccole dimensioni. Se correttamente implementate le soluzioni Dlp possono supportare l’organizzazione nell’individuazione e classificazione delle informazioni più importanti. Inoltre, come rileva Fabio Loiacono, business development, Alcatel-Lucent Enterprise Market Group (www.alcatel-lucent.it), «una delle caratteristiche più significative di questa tecnologia è che non richiede aggiornamenti, poiché la protezione non è mirata a rilevare chi compie il danno, ma si concentra sul come». Soprattutto esse rispondono a un’esigenza sentita quale è quella di monitorare e nel caso bloccare il traffico di informazioni importanti verso l’esterno.
Gradualità – Tuttavia essendo ancora prodotti di nicchia attualmente non sono stati adottati su larga scala. In linea di massima gli esperti di sicurezza It suggeriscono di adottare un approccio graduale. I pionieri preferiscono perciò partire con progetti pilota che coinvolgano un limitato numero di persone e si svolgano in contesti organizzativi circoscritti. Sebbene in qualche caso il pilota possa avere vincoli temporali stringenti, nella maggior parte delle situazioni serve all’organizzazione per testare in piccolo l’impatto che l’introduzione di una certa tecnologia porterebbe su tutta l’organizzazione.
Se le esperienze di deployment massivi sono ancora piuttosto contenute, gli episodi che hanno evidenziato problemi sono invece già documentati in blog specialistici nei quali non è difficile imbattersi sulla rete e dai quali emergono rilievi incentrati perlopiù sulla difficoltà di riuscire a monitorare e seguire il comportamento di gruppi anche limitati di utenti. Il pericolo potrebbe essere un numero elevato di falsi positivi ai quali si dovrebbe rispondere con l’analisi di ogni singola situazione per valutare se un certo movimento di dati sia o meno legittimo; il carico di lavoro potrebbe sensibilmente aumentare, e riuscire a farvi fronte senza incrementare il personale preposto diventerebbe problematico. Così, affinché ciò possa avvenire senza eccessivi traumi, occorre preparare e supportare le persone che dovranno seguire l’implementazione (dal gruppo sistemisti ai tecnici informatici al call center tecnico) per evitare di rallentare o addirittura paralizzare le normali attività di business. Perciò in questa fase può essere più conveniente attivare soltanto gli alert, così da focalizzare i problemi che potrebbero emergere e monitorarne l’impatto. «L’utilizzo di una metodologia euristica minimizza i falsi positivi, responsabili sempre del fallimento dell’introduzione di sistemi di sicurezza chiusi, spesso troppo invasivi per l’operatività di chi fa business», mette in guardia Loiacono di Alcatel-Lucent. Perciò prudenza. Privilegiare la modularità della soluzione, vale a dire sceglierne una che consenta un’evoluzione progressiva del sistema fino alla maturità, è il compromesso migliore.
Partire dalle reali esigenze dell’azienda – Attualmente sono soprattutto le organizzazioni più grandi dotate di budget cospicui per la sicurezza a mostrare interesse per le soluzioni Dlp: istituzioni finanziarie, centri di ricerca, aziende di settori produttivi sensibili. Anche in queste realtà però il progetto pilota è in genere finalizzato al monitoraggio dello spostamento delle informazioni più sensibili all’interno dell’organizzazione e dell’attività degli endpoint selezionati; si circoscrive il monitoraggio a un numero limitato di attività e applicazioni, come per esempio l’utilizzo della posta elettronica, instant messaging, ftp e quant’altro con finalità vietate, pericolose o espressamente proibite. L’analisi può essere circoscritta in termini di ore e persone impiegate su aspetti molto specifici quali la fuoriuscita di determinate categorie di informazioni, per esempio i numeri di carta di credito; anche gli obiettivi perseguiti in termini di successo dell’iniziativa potrebbero essere proporzionali alle risorse impiegate: un risultato che si avvicina allo standard 80-20 potrebbe essere valutato più che sufficiente. Da parte di chi ha già adottato queste soluzioni cominciano a emergere alcune indicazioni interessanti. Per esempio, secondo quanto rileva Gartner con interviste condotte presso la propria clientela, risulta che le soluzioni Dlp basate su host sono più complesse da gestire rispetto a quelle basate sulla rete; inoltre anche i rilevamenti che le prime soluzioni riescono a ottenere rispetto alle seconde sono meno sofisticati.
Educare gli utenti a modificare i propri processi e le abitudini di lavoro – Secondo alcuni studi, l’80% delle violazioni relative alla manipolazione non autorizzata di dati si verifica perché il personale non è a conoscenza dei regolamenti aziendali. Se questo è vero, ricorrere al blocco indiscriminato di determinate azioni sui dati sensibili, come la copia, la stampa o l’invio via e-mail (possibile con talune soluzioni Dlp), potrebbe sortire effetti controproducenti.
«Una practice valida è di adottare procedure che prevedano l’apposizione di etichette elettroniche con la dicitura “per uso interno” ai documenti riservati” ci dice Alexander Moiseev, managing director, Kaspersky Lab Italia (www.kaspersky.com/it/).
Di gran lunga preferibile perciò è privilegiare la modularità dell’intervento per contrastare le azioni vietate; «in una prima fase, la violazione di una policy può essere notificata sotto forma di messaggio di attenzione all’utente, senza impattare concretamente con la sua operatività – ci dice Massimo Cipriani, technical principal consultant di CA Technologies (www.ca.com/it/) – ; solo in una fase successiva si può attivare il controllo in maniera più restrittiva».
È altrettanto opportuno che la funzione It sia preventivamente informata di eventuali comportamenti scorretti da parte dell’utenza, prima di arrivare al blocco totale di ogni attività, anche per impedire blackout improvvisi nell’operatività dei propri collaboratori che, tra l’altro, vanno informati circa la presenza di soluzioni che possono contrastare azioni dannose. La consapevolezza indica i comportamenti più idonei per proteggere i dati di maggiore rilevanza. «Nel momento in cui si implementa un vero e proprio sistema di Dlp – ci conferma Andrea Bellinzaghi, SE manager, Check Point Software Technologies Italia (www.checkpoint.com) – è auspicabile che si sia già creata una consapevolezza, soprattutto negli utenti, circa il modo di manipolare le informazioni».
Tutto ovviamente dovrà avvenire nel rispetto delle normative sulla privacy. «È importante spiegare che il controllo non sarà eseguito con finalità diverse da quelle che trascendono le attività di prevenzione degli errori umani e di monitoraggio delle attività estranee a quelle lavorative», afferma Alexander Moiseev di Kaspersky Lab Italia.
Rendere consapevoli i propri collaboratori dell’importanza e della valenza delle attività svolte ed educarli alla modifica delle proprie abitudini lavorative significa risparmiarsi molti mal di pancia dopo.
ASPETTATIVE ECCESSIVE
Qualche volta è la mancanza di informazioni che induce ad attendersi risultati fuori dalla portata di queste soluzioni. Per esempio una delle critiche che più spesso viene mossa alle soluzioni di Dlp è di rilevare la fuoriuscita di informazioni delicate solo dopo che ciò è avvenuto. Ogni realtà che gestisce informazioni personali di clienti, fornitori, partner e dipendenti è responsabile della protezione della privacy di tali dati; le aziende sono chiamate a ripensare periodicamente la gestione dei dati sensibili, per via di norme stringenti, per il rischio di furto di informazioni e di sanzioni, oltre al danno alla reputazione. «Il fenomeno della perdita dei dati aziendali sensibili rappresenta una preoccupazione crescente per i responsabili della sicurezza informatica – concorda Andrea Nava, direttore tecnico Central e Southern Europe di Compuware (http://it.compuware.com) -: i dati sono esposti quotidianamente all’accesso di personale interno e fornitori di servizi esterni; per questo motivo, è essenziale che le soluzioni di Dlp agiscano in modo tempestivo». Tuttavia, secondo Simone Riccetti, security services expert, IBM Italia, (www.ibm.com/security), «il grado di efficacia e di tempestività delle soluzioni di Dlp è determinato dal livello di conoscenza che le aziende hanno dei propri dati e dei processi che essi supportano. Inoltre – prosegue Riccetti – è fondamentale valutare la capacità della tecnologia di trasformare i requisiti di sicurezza richiesti in “regole di controllo” che permettono l’interruzione di flussi di dati non autorizzati, agendo in ambienti con applicazioni e dati eterogenei». Daniele Zappelli, channel account manager di RSA (www.rsa.com), dopo aver rilevato quanto siano importanti le fasi di assessment e di analisi per una corretta definizione delle policy da implementare per stabilire chi, sui contenuti individuati, può fare cosa e in quale contesto, in linea con le esigenze operative e di business aziendali, ampliando il concetto espresso da Riccetti, individua «nella capacità della soluzione Dlp di tradurre queste policy in automatismi di controllo in tempo reale a livello di rete (dati in transito), data center (dati a riposo) ed end point (dati in uso)» una delle caratteristiche vincenti per consigliarne l’adozione». Per Andrea Bellinzaghi (Check Point) il problema delle soluzioni di Dlp non è tanto quello di essere in grado di prevenire in modo tempestivo la fuoriuscita di informazioni, quanto «la capacità di gestire in modo efficace le continue eccezioni che nascono quotidianamente all’interno di un’azienda nell’uso delle informazioni e di poter interagire con gli utenti, fornendo allo stesso tempo uno strumento di “autocorrezione” degli errori e di educazione alle politiche aziendali sull’utilizzo e sulla tutela dei dati».
«Il massimo dell’efficacia di queste soluzioni – ci dice Barbara Rovescala, information management presales consultant, HP Enterprise Business Software (www.hp.com/go/hpTRIM) – si realizza attraverso una protezione in grado di effettuare un controllo presso ogni porta, ogni terminale presente all’interno della rete aziendale e su tutti i segmenti di rete, cablati o wireless». Il successo della loro implementazione, sottolinea Rovescala, dipende dalla bontà del processo definito a supporto della gestione delle informazioni: «Un compito non banale in cui l’approccio tecnologico diventa fondamentale».
STRATEGIA E ANCORA STRATEGIA
Una strategia di Data loss prevention dovrebbe partire da una riflessione aziendale sui rischi connessi alla perdita di riservatezza di determinate tipologie di dati. «Quante organizzazioni sono in grado di rispondere ai seguenti quesiti: Dove stanno andando i miei dati sensibili? Chi e per quale ragione sta usando i miei dati? Dove sono memorizzati i miei dati sensibili? Come posso rimediare alla perdita di dati in azienda?», si chiede Massimo Cipriani (CA Technologies). Perciò il primo passo è la classificazione dei dati e la ricerca di tali dati all’interno dell’infrastruttura: «Ciò spesso si traduce nello scan di terabytes di dati per individuare informazioni la cui diffusione incontrollata potrebbe portare a violazioni di leggi o policy aziendali – prosegue Cipriani -. Perché le misure di Dlp si rivelino veramente efficaci nella prevenzione contro la perdita di informazioni critiche, debbono essere adottate seguendo un approccio tipico delle soluzioni di sicurezza, ovvero la “Defense in depth”. La perdita o la fuoriuscita di dati è un problema spinoso; anche perché il tragitto lungo il quale il dato può essere perso si è allungato sensibilmente, rendendo le contromisure per fronteggiare questo fenomeno difficili da implementare».
«A mio parere queste soluzioni possono essere efficaci se inserite in una strategia complessiva, integrando alle tecnologie esistenti di prevenzione anche una connessione sicura attraverso device mobili e tecnologie innovative per la protezione dei dati che comprendano, per esempio, la crittografia e l’autenticazione biometrica», ci dice Donato Ceccomancini, responsabile business practice Data Center di Fujitsu Technology Solutions (http//:it.fujitsu.com). A questo proposito una rivisitazione dei processi interni ed esterni per far si che siano più chiari e condivisi possibile è sempre auspicabile. «Un approccio efficace al problema della Dlp – ci dice Massimo Cipriani di CA Technologies – va pensato nel contesto di una strategia complessiva di Identity e access management consapevole dei contenuti». Forse, come sostiene Ceccomancini, la difficoltà che incontrano le soluzioni di Dlp è in alcuni casi “figlia” del doversi adattare di volta in volta a uno scenario Ict in continua evoluzione: «Stiamo entrando in un’era in cui le informazioni aziendali saranno sempre più erogate in modalità as-a-Service attraverso servizi di cloud computing. Dobbiamo, quindi, aspettarci che le soluzioni di protezione attraverseranno un’ulteriore evoluzione con il progressivo consolidarsi di queste tecnologie».
LE GIUSTE ASPETTATIVE
Lo sviluppo di un progetto con soluzioni di Dlp soprattutto in ambienti eterogenei richiede un congruo numero di ore per essere implementato. Aspettative esagerate o semplicemente errate possono frenarne l’adozione. Una soluzione Dlp non serve a molto per contrastare il furto di dati. Queste soluzioni nascono con altri obiettivi e sebbene la loro tecnologia sia in continua evoluzione svolgono più efficacemente il compito di coadiuvare l’organizzazione nella prevenzione delle worst practices di sicurezza e nella perdita accidentale di dati. In molte realtà la ragione principale per cui vengono adottate non è di monitorare i dati sensibili in transito attraverso la rete o in uscita dall’azienda, quanto di tenere sotto controllo ciò che è archiviato nelle postazioni degli utenti, spesso inconsapevoli sia della quantità di dati esposta sia della facilità con cui potrebbero essere sottratti. Perciò è inutile aspettarsi che una soluzione Dlp network oriented sia in grado di rilevare e di bloccare la fuoriuscita dei dati in movimento sulla rete. Le soluzioni di cui disponiamo sono in grado di arrestare solo le attività criminali meno evolute. È verosimilmente lecito attendersi che una soluzione Dlp scoraggi i malintenzionati meno informati, ma non certo i più motivati e capaci. Oltre ai limiti tecnologici si devono risolvere problemi complessi di processo e con le persone, che diventano più complicati aumentando la complessità dell’organizzazione, le postazioni di lavoro e il numero di addetti coinvolti. Controllare l’informazione richiede capacità di comunicazione, negoziazione e coordinamento. Con la riduzione della complessità di queste soluzioni è molto probabile che anche i costi possano diminuire. Gartner per esempio prevede che possano diminuire di circa il 50% già a partire dal prossimo anno. La riduzione dei prezzi sarà influenzata dal consolidamento dell’offerta che nel corso degli ultimi 12-24 mesi si è rimodellata grazie alle numerose acquisizioni che hanno interessato McAfee, CA Technologies, Symantec, TrendMicro, Raytheon, RSA Security, Websense solo per i citare i maggiori vendor. Naturalmente questa situazione di fluidità crea ottime opportunità dal lato dell’offerta; i produttori possono prevedere e anticipare questa crescita guidando le implementazioni pilota presso i clienti già acquisiti oppure proponendone di nuove presso i prospect. Negli Stati Uniti, dove queste soluzioni hanno iniziato a diffondersi prima che altrove, le stime che circolano prevedono che circa un 20/30% delle organizzazioni Fortune 500 ha in programma nel medio periodo l’adozione di tali soluzioni, mentre il potenziale del mercato è stimato attorno ai 200/300 milioni di dollari annui.
Le aziende tendono a focalizzare l’attenzione sulla sicurezza delle informazioni digitali effettuando investimenti per proteggere, per esempio, l’accesso a file riservati. Ma poi non fanno nulla per impedire che gli stessi documenti, una volta stampati, rimangano incustoditi sul vassoio del dispositivo vanificando così gli investimenti a monte. «Da una ricerca condotta da Coleman Parkes Research per conto della nostra società – spiega Laura Venturini, direttore marketing di Ricoh Italia (www.ricoh.it) – è emerso come le aziende siano consapevoli dell’importanza della sicurezza delle informazioni stampate, ma poi questa consapevolezza non si traduce nell’adozione di adeguate tecnologie. La nostra offerta include soluzioni per la protezione dei documenti che “transitano” dai sistemi di stampa (www.document.it): la stampa riservata fa in modo che quando un utente lancia una stampa, questa viene trattenuta dal dispositivo e rilasciata solo dopo che egli si è autenticato sul pannello evitando che i documenti rimangano incustoditi». A questa possibilità si aggiungono, tra le altre, funzionalità per la copia sicura e la sovrascrittura dei dati memorizzati sull’hard disk.
«Symantec Vontu DLP, leader assoluto nella Data loss prevention secondo un recente studio di Gartner, protegge tempestivamente le informazioni riservate, strutturate e non, seguendo tre step principali: discovery, monitor e protect», afferma Vincenzo Costantino senior manager, systems engineering di Symantec (www.symantec.com/it). Nella fase di discovery la soluzione individua e classifica le informazioni, in quella di monitor controlla le informazioni individuate e intercetta gli scambi di dati non conformi alle policy. Infine, nella fase di protect la soluzione interviene direttamente bloccando la fuoriuscita di informazioni e inviando notifiche agli utenti, tutelandone così la privacy. «L’efficacia e la tempestività della soluzione Symantec Vontu DLP – aggiunge Costantino – risiede nella console di gestione centralizzata delle policy che permette una riduzione del workload per gli amministratori It e con esso dei tempi di gestione e risoluzione degli incident».
La soluzione Vontu DLP viene normalmente implementata gradualmente, spiega il manager di Symantec: «Si parte con le fasi di discover e monitor, per poi passare alla vera e propria protezione dei dati con la fase di protect che blocca la fuoriuscita di informazioni. Questa implementazione per step limita notevolmente gli impatti sui processi esistenti e sull’operatività degli utenti».