Ti sei mai chiesto quanto valgono i tuoi dati?
Parliamo dei dati relativi alla tua azienda o attività professionale, quelli che quotidianamente generi o utilizzi per portare a termine il tuo lavoro nei diversi ambiti in cui si svolge: produttivo, commerciale/marketing, contabile/amministrativo, finanziario, fiscale/legale e così via.
Dati senza i quali resteresti irrimediabilmente fermo al palo, dal momento che oggi l'IT non viene più utilizzato esclusivamente per recuperare efficienza o favorire l'innovazione, bensì per portare a termine letteralmente qualsiasi operazione di business, banale o complessa che sia. E, nel fare ciò, il dato assume un ruolo centrale: ogni operazione parte infatti da un'informazione, la trasforma e ne produce di nuove lungo una catena che crea valore – il valore della tua azienda.
Torniamo alla domanda iniziale: come fare per quantificare il valore dei tuoi dati? Potresti rispondere che i tuoi dati valgono tanto quanto il fatturato annuale della tua attività, ma sarebbe una stima incompleta. Più realisticamente, i tuoi dati valgono infatti l'intero giro d'affari che prevedi di totalizzare lungo tutta la vita del tuo business. In altre parole, dai tuoi dati dipende l'esistenza, lo sviluppo, il successo e la vita stessa della tua azienda.
Un patrimonio così importante deve ovviamente essere gestito in maniera opportuna, tenuto sotto controllo e protetto esattamente come qualsiasi altro oggetto prezioso. Anzi, con un po' di accortezza in più, dal momento che la stessa tecnologia avanzata che così tante cose ti permette di fare è anche la stessa causa di innumerevoli vulnerabilità e possibilità di perdita dei dati intorno a cui ruota il tuo lavoro. Per fortuna esiste un'intera disciplina informatica dedicata a salvaguardare il tesoro rappresentato dalle tue informazioni.
Gli specialisti la chiamano DLP, ed è una sigla che faresti bene a conoscere se vuoi metterti al riparo da sgradevoli sorprese.
Una sigla, due significati
Se ci rifletti un attimo, le strade che i tuoi dati possono prendere per uscire dalla tua legittima disponibilità sono davvero tantissime, ma alla fine è semplicemente questione di capire qual è l'effetto ultimo di un tale percorso:
- Caso n. 1, i dati vengono effettivamente perduti. Può essere perché un guasto ha reso irrecuperabile un intero database e i suoi backup, può darsi che un tuo collaboratore abbia inavvertitamente sovrascritto o cancellato file di informazioni, o può essere anche la conseguenza di un attacco deliberato per rendere indisponibili i tuoi dati richiedendo un riscatto per (forse) ridarteli indietro – quello che è noto con il nome di ransomware.
- Caso n. 2, i dati non scompaiono veramente ma, che tu ne sia consapevole o meno, finiscono con l'essere accessibili anche a soggetti non autorizzati, internamente e/o esternamente alla tua azienda. Le cause possono essere diverse: una vulnerabilità software, l'errata configurazione di un server o di un'applicazione, un dipendente che si copia dei file su una chiavetta per portarseli a casa senza autorizzazione e così via.
Perdite o fughe che siano, la DLP ti mette a disposizione un approccio completo alla protezione dei dati in grado di evitare o minimizzare eventuali situazioni che possono andare dal semplicemente imbarazzante fino al penalmente rilevante.
Se non è proprio il massimo lasciar filtrare all'esterno tutte quelle informazioni competitive relative a clienti, contratti, listini, fatture e piani di sviluppo che possono fornire un vantaggio ai concorrenti, va decisamente peggio quando le fuoriuscite riguardano dati sensibili che ricadono nell'orbita del GDPR o di altre normative sulla privacy come quelle in vigore nel settore sanitario e in quello dei servizi finanziari. In questi casi la legge impone azioni correttive ben precise – a iniziare dalla tempestiva comunicazione alle parti interessate e all’autorità nazionale responsabile della materia – facendo scattare la possibilità di sanzioni anche significative che raggiungono, nei casi più gravi, la cifra di 20 milioni di euro o il 4% del fatturato.
Senza parlare del fatto che la pubblicità che scaturisce intorno a eventi del genere distrugge in un istante tutta la reputazione che un brand ha faticosamente conquistato nel tempo presso clienti e mercati con la potenzialità di azzerare l'avviamento di un'azienda e portarla alla chiusura. Non è un'esagerazione: la società di consulenza Price Waterhouse Coopers ha fatto delle analisi in quest'ambito scoprendo che ben 7 PMI su 10 cessano di esistere entro un anno da un evento di perdita significativa di dati.
Scacco alle perdite di dati in cinque mosse, per cominciare
Una strategia DLP ben pianificata e coordinata non nasce per caso ma è frutto di esperienza e continuo aggiornamento sull'evoluzione del settore informatico. In genere una soluzione DLP si concentra su cinque aree principali:
Comprensione dei dati
Il patrimonio informativo di un'azienda non è tutto uguale e i dati non hanno tutti le stesse caratteristiche. Il primo passo è quello, dunque, di tracciare una "mappa del tesoro" che permetta di capire quali categorie di dati vengono trattate e dove, sia nei sistemi interni dell'azienda (server, applicazioni, messaggistica) che in quelli dei relativi fornitori di servizi come cloud provider e operatori SaaS esterni. In fondo non è possibile proteggere quello che non si sa di possedere o dove si trova effettivamente.
Si tratta di un'attività fondamentale – svolta anche attraverso il ricorso a sistemi automatizzati – che consente di assegnare la giusta priorità alle varie tipologie di dati: come è sbagliato lasciare le informazioni della tua azienda prive di una qualsiasi protezione, infatti, è altrettanto inopportuno "blindare" allo stesso modo ogni singolo dato indipendentemente dalla sua effettiva importanza. La protezione comporta infatti un costo non solo finanziario ma anche operativo, dal momento che ogni procedura di sicurezza introduce una sorta di frizione all'interno delle normali procedure di lavoro. Per questo è utile accertarsi di attivare meccanismi di protezione in linea con l'effettivo grado di sensibilità di ciascun dato.
Mappare i dati comporta tuttavia un ulteriore vantaggio. Nella maggior parte delle aziende, infatti, l'ambiente IT esistente tende a essere il risultato di un'evoluzione non sempre pianificata e pilotata adeguatamente. Sarà capitato anche a te: una situazione di urgenza lavorativa impone di implementare rapidamente nuove tecnologie e nuovi sistemi senza che vi sia tempo e modo di riflettere sull'impatto che i nuovi ingressi possono avere sullo scenario esistente. Si creano quindi vere e proprie isole di funzionalità e di informazioni (i cosiddetti "silos di dati") che frammentano l'IT aziendale rischiando oltretutto di sfuggire a una corretta gestione omogenea.
Ecco allora che l'avvio di un progetto DLP può essere considerato come un'occasione per mettere ordine scattando un'istantanea della situazione effettiva che potrà essere proficuamente utilizzata anche per altri scopi, come magari una razionalizzazione dei sistemi stessi con conseguenti risparmi di spazio e di consumi energetici, una revisione delle politiche di backup, una verifica delle licenze software effettivamente necessarie, un adeguamento alle policy normative come il GDPR e così via.
Consapevolezza delle fuoriuscite di dati
Certo, è facile accorgersi di una perdita di dati quando questi spariscono improvvisamente impedendo il normale lavoro degli utenti; è più difficile farlo quando l'esfiltrazione avviene sottotraccia o riguarda dati che vengono consultati solo raramente.
Spesso i dati sfuggono in maniera inconsapevole, essendo sufficiente una banale disattenzione nell'allegare i documenti ai messaggi di posta elettronica in uscita o nel copiare una cartella su una chiavetta USB che finisce poi dimenticata chissà dove e in mano a chissà chi. La recente diffusione di servizi e applicazioni in cloud ha inoltre introdotto tutta una serie di considerazioni sui temi della effettiva riservatezza e protezione delle informazioni. I file che copi su uno spazio di archiviazione online sono effettivamente al sicuro o potrebbero essere consultati da terzi? Gli utenti con cui condividi determinate cartelle continuano a essere autorizzati a farlo? Cosa succede ai numeri delle carte di credito che vengono utilizzate per gli ormai immancabili acquisti online?
Per questo motivo un progetto DLP prevede l'attivazione di processi automatici che tengono sotto controllo gli spostamenti delle informazioni allertando in caso di movimenti sospetti o imprevisti. Può essere sufficiente, ad esempio, lo spostamento di determinati file su un servizio di storage esterno come Google Drive o Dropbox per attivare una serie di procedure come avvertire l'utente del tentativo di eseguire un'operazione non ammessa, dirottare l'operazione verso una destinazione appropriata (ad esempio uno spazio di sincronizzazione simile ma gestito su un server interno all'azienda) e segnalare l'accaduto agli amministratori IT per eventuali controlli più approfonditi.
Protezione dei dati in transito
Difficilmente le informazioni sono statiche, tutt'altro: la loro valorizzazione ne richiede spesso il trasferimento da un sistema all'altro o da un'applicazione all'altra, sia all'interno che all'esterno del perimetro fisico aziendale (come avviene nel caso del cloud). Quello che raramente si conosce invece è l'intreccio degli spostamenti che i dati compiono nell'arco della loro vita utile prima della cancellazione o dell'archiviazione definitiva.
Tracciare i movimenti dei dati è un'attività che completa la mappa delle tipologie delle informazioni che abbiamo visto al primo punto della nostra strategia DLP. Sapere quali categorie di dati intraprendono determinati percorsi i è utile per ottimizzare l'ambiente IT, evitare colli di bottiglia e rendere più resiliente l'intera struttura informatica; ma ti permette anche di attivare le misure opportune per salvaguardare il percorso dei dati critici dalla sorgente alla destinazione evitando che possano essere sottratti, copiati o modificati senza che qualcuno se ne possa accorgere.
Anche in questo caso il monitoraggio degli spostamenti dei dati è un'attività che va seguita costantemente in modo da riflettere in tempo reale i cambiamenti che intervengono man mano nel flusso delle informazioni. Questo non solo assicura la puntuale efficacia delle misure di protezione previste, ma contribuisce anche a ottimizzare le misure DLP sulla base delle necessità e delle specificità del momento.
Protezione dei dati in uso
Sarebbe facile proteggere i dati rendendoli semplicemente inaccessibili a chiunque, ma si tratterebbe di un controsenso dal momento che, per avere valore, un dato deve essere utilizzabile. La vera questione è che occorre accertarsi che il suo utilizzo avvenga in maniera legittima secondo le modalità previste e per le finalità ammesse.
Dunque, a seconda della categoria nella quale ricade e del ruolo attribuito all'utente che la manipola, un'informazione può aver bisogno di essere protetta da modifiche e cancellazioni, involontarie o meno che siano. Ci sono informazioni per cui deve essere inibita la stampa su carta piuttosto che la copia o la trasmissione via e-mail; in certi casi può essere opportuno disabilitare persino la copia dello schermo (il cosiddetto screenshot).
Una strategia DLP si fa carico di salvaguardare i dati da azioni errate o indebite di questo tipo attraverso blocchi preimpostati; è inoltre possibile dotarsi di sistemi intelligenti che monitorano automaticamente i comportamenti degli utenti per segnalare eventuali schemi di attività sospette o meritevoli di approfondimento. In questo senso una soluzione DLP contribuisce anche a rafforzare le difese dai sempre più diffusi cyberattacchi, il che non famai male – anzi!
Protezione dei dati a riposo
Il termine "a riposo" indica, per esclusione rispetto a quanto visto sinora, i dati nel momento in cui non vengono trasferiti né utilizzati, quindi generalmente tutti quelli che sono archiviati da qualche parte a scopo storico oppure per impiego futuro. Candidati usuali a ricoprire questo ruolo sono database, repository, copie di backup, archivi di posta e così via, indipendentemente dal fatto che risiedano su storage locale, in cloud, su nastro, su dischi esterni o altro ancora.
Le tecniche DLP adottate in questo ambito comprendono per esempio la cifratura crittografica delle informazioni o il trasferimento su storage immutabile ("write-once"), e anche in questo caso i vantaggi si estendono oltre gli scopi immediati permettendoti di dimostrare l'affidabilità dei dati conservati in azienda nei casi di discovery legale, opposizione a terzi o dimostrazione della conformità normativa.
E tu, hai mai pensato a quanto valgono i tuoi dati?
Fonti: dataprogdpr.com/sanzioni-non-conformita-gdpr - www.unitrends.com/blog/what-are-the-consequences-of-data-loss