Stop alla perdita di dati: Valorizzazione degli investimenti in sicurezza esistenti

Transcript

1 Stop alla perdita di dati: Valorizzazione degli investimenti in sicurezza esistenti Di fronte a un approccio nei confronti del lavoro e delle informazioni che continua a evolversi rispetto ai modelli del passato, le organizzazioni sono sempre più consapevoli della grande necessità di controllare le informazioni che entrano, attraversano ed escono dalle loro reti. In questo documento viene dimostrata l esigenza di un criterio di utilizzo accettabile e di alto profilo per impedire la perdita di dati, vengono fornite indicazioni pratiche per utilizzare gli investimenti attuali nelle tecnologie di sicurezza IT a livello di gateway e di endpoint per supportare tale criterio e viene descritto in quali aree è realistico pensare a nuovi investimenti. Un white paper Sophos Giugno 2008

2 Stop alla perdita di dati: Valorizzazione degli investimenti in sicurezza esistenti Dopo anni di lotta alle intrusioni, virus e spam, le organizzazioni si trovano ora a dover affrontare un altro crescente problema per la sicurezza: la perdita di dati l esposizione intenzionale o accidentale di informazioni che variano dalle informazioni personali tutelate dalla legge alla proprietà intellettuale e i segreti commerciali. Le violazioni della sicurezza dei dati che avvengono attualmente non provengono solo da attacchi di pirateria informatica in Internet, ma abbracciano l ambiente IT in senso più ampio, comprendendo notebook perduti o rubati, chiavette USB e altri dispositivi, e applicazioni Web 2.0, quali IM. In un recente sondaggio condotto dagli analisti di IDC, l esposizione involontaria di informazioni aziendali riservate è stata indicata come la minaccia principale, superiore a virus, trojan e worm. Il tipo più frequente di informazioni perdute è la proprietà intellettuale e l 81% degli intervistati considera la protezione e il controllo delle informazioni (IPC) definiti come monitoraggio, cifratura, filtro e blocco delle informazioni sensibili contenute nei dati memorizzati, in movimento e in uso come una parte importante della strategia globale di protezione dei dati. La soluzione IPC con la massima priorità è stata indicata nella prevenzione della perdita di dati (DLP) distribuita a livello di perimetro e sui computer endpoint dell organizzazione. 1 Da uno studio analogo svolto dal Ponemon Institute è emerso che le soluzioni per prevenire la perdita di dati e di cifratura sono state le misure tecnologiche attuate con maggiore frequenza in seguito a una violazione per prevenire incidenti futuri. 2 aziendali 56% Notebook persi/rubati 51% Webmail o pubblicazione sul Web 37% Messaggistica immediata 33% Dispositivi mobili persi/rubati 33% Dispositivi multimediali 19% Altro 12% La crescente importanza dei sistemi DLP Esistono diversi motivi per porre la prevenzione dalla perdita di dati al centro della sicurezza aziendale. Perdite di dati di alto profilo che danneggiano la reputazione La cattiva pubblicità derivante dalla perdita di dati può tradursi in danni alla reputazione, clienti perduti e, a volte, perfino nel fallimento delle aziende che ne cadono vittima. Il numero di esempi di violazioni della sicurezza dei dati che vengono resi noti sta aumentando in modo significativo. Tra gli incidenti di alto profilo che si sono verificati di recente, si possono citare i seguenti: Pirati informatici hanno rubato 4,2 milioni di numeri di carte di debito e di credito da Hannaford Bros, una catena di supermercati statunitense che gestisce 165 negozi di drogheria nell area del New England. (Dicembre 2007 Marzo 2008) 3 Documenti governativi segreti su al Qaeda e l Iraq sono stati dimenticati in un treno per pendolari nel Regno Unito. (Giugno 2008) 4 L ufficio delle imposte britannico (HMRC, Her Majesty s Revenue and Customs) ha perduto dati personali, comprendenti date di nascita, numeri di assicurazione nazionale e dati bancari, di 25 milioni di persone in seguito allo smarrimento di due CD da parte delle poste. (Novembre 2007) 5 Un contenente nomi, posizione, stipendi e numeri di sicurezza sociale di 192 membri della facoltà e del personale è stata inviata per errore agli studenti dell Ohio State University Agricultural Technical Institute. (Maggio 2008) 6 % che sceglie 4 o 5 in una scala fino a 5 punti Importanza del monitoraggio dell utilizzo da parte dei dipendenti 1

3 Normative Legislazione nazionale I governi di tutto il mondo hanno introdotto norme di legge sempre più rigide in tema di protezione dei dati, quali i provvedimenti Sarbanes-Oxley Act, HIPAA e Gramm-Leach-Bliley Act negli Stati Uniti e il Data Protection Act nel Regno Unito, per garantire controlli adeguati sulle informazioni sensibili delle aziende. Le organizzazioni che non sono conformi alla legge sono passibili di ammende e possono essere obbligate ad adottare soluzioni per prevenire il ripetersi di casi analoghi. Il California Senate Bill 1386, introdotto nel 2003, è stato il primo provvedimento a richiedere che le organizzazioni avvisino tutte le persone interessate nel caso i relativi dati riservati o personali siano stati perduti, rubati o compromessi. Questa divulgazione pubblica ora è richiesta da 35 stati. Numerose normative richiedono anche verifiche periodiche, che potrebbero non essere superate se un organizzazione non ha attuato i controlli adeguati. PCI DSS La legislazione nazionale è affiancata dal PCI DSS (Payment Card Industry Data Security Standard). Creato da un gruppo di aziende multinazionali, viene applicato ai commercianti nel quadro delle clausole che autorizzano l accettazione di transazioni con carta di credito. Le organizzazioni che nel corso di una verifica non sono in grado di dimostrare la conformità PCI sono soggette a sanzioni anche se non si è verificata alcuna perdita di dati. La portata internazionale di PCI e la sua capacità di rispondere rapidamente ai cambiamenti costituisce uno standard di sicurezza importante quanto qualsiasi altra legge locale o nazionale. Attualmente, la protezione deve focalizzarsi sul controllo dell accesso alle informazioni, non sul blocco del perimetro. Costo Oltre ai costi legali, le organizzazioni devono affrontare anche quelli meno evidenti del recupero e della ricaduta commerciale, quali la perdita di business o il ritiro dell autorizzazione all uso delle carte di credito. Tutti questi costi sono in continuo aumento. Costo di una violazione dei dati Fino a 43% dal 2005 Costo medio per violazione: 6,3 milioni di USD Costo medio per record: 197 USD per società finanziarie: 239 USD Costo del business perduto Fino a 30% dal % dei costi complessivi (rispetto al 54% in uno studio simile del 2006) Fonte: Ponemon Institute, novembre La dissolvenza del perimetro e il Web 2.0 Di fronte allo spostamento del business online e al crescente grado di mobilità, la strategia del secolo scorso di proteggere il perimetro dell organizzazione con firewall, sistemi di rilevazione delle intrusioni e altri strumenti simili non è più sufficiente. Il numero di punti di ingresso e uscita dei dati è ormai eccessivo. Anche se il blocco del perimetro rimane importante, la protezione deve concentrarsi sul controllo dell accesso alle informazioni. Grazie alla prospettiva completamente diversa introdotta dagli utenti Web 2.0, questa esigenza sta crescendo in modo esponenziale. Questa nuova forza lavoro di dipendenti 2.0 è accompagnata da un atteggiamento mentale in piena sintonia con la condivisione delle informazioni nei siti di relazioni sociali, la pubblicazioni sui blog e la scambio di e IM con gli amici, spesso senza valutare se ciò è appropriato o meno in un contesto aziendale.

4 La sfida delle attuali soluzioni DLP Diversi fornitori di soluzioni DLP rivolte alle aziende hanno sviluppato offerte innovative per prevenire la perdita di informazioni aziendali sensibili. Molti di questi prodotti sono focalizzati sull identificazione e classificazione di tutti i dati aziendali e sulla successiva implementazione di criteri DLP aziendali per tenere traccia delle informazioni sensibili a livello aziendale e applicare controlli laddove necessario. Queste soluzioni sono molto valide in termini di principio, ma nella pratica incorrono in vari ostacoli di implementazione. Troppi dati e poco tempo a disposizione. Per molte organizzazioni i dati sono talmente dispersi e voluminosi che una classificazione esauriente si rivela un compito troppo oneroso e impegnativo a livello di risorse per la maggior parte dei reparti IT. Resistenza IT. Molti prodotti DLP disponibili sono relativamente nuovi e risentono ancora di problemi quali la frequenza di falsi positivi. Molti reparti IT sono riluttanti a investire le proprie risorse limitate nell implementazione di un altra complessa infrastruttura a livello aziendale sacrificando l erogazione di valore strategico per l organizzazione. Resistenza degli utenti. Vi è molta cautela riguardo la distribuzione di un ulteriore agente su ciascun desktop e notebook che potrebbe interferire con le attività legittime, impegnando potenza di calcolo del processore, richiedendo frequenti aggiornamenti e rallentando le prestazioni di altre applicazioni utente. Complessità del campo d azione. L ideazione e l implementazione di criteri di protezione completi e attuabili che siano supportati dalle soluzioni DLP rischiano di ostacolare il normale andamento aziendale, in quanto comportano il coinvolgimento non solo del reparti IT ma anche di quello delle risorse umane, del personale di amministrazione e addetto alle questioni legali e dei responsabili delle unità operative. L attenzione sbagliata. Molte di queste soluzioni sono focalizzate per la maggior parte sulla perdita di dati intenzionale, quando in realtà questo è un problema difficile da impedire. Ad esempio, le persone sono in grado di alterare deliberatamente i file per evitare la rilevazione oppure si pone il problema più banale di coloro che condividono semplicemente informazioni in modo inappropriato nel corso di conversazioni. Requisiti reali dell organizzazione La verità è che, fatta eccezione per le aziende più grandi con i requisiti di sicurezza più rigidi, la maggior parte delle organizzazione non dispone di fatto dei fondi e delle risorse di personale adeguati, pur essendo costrette a implementare iniziative DLP su larga scala. Le loro esigenze più pressanti e immediate rientrano in tre categorie. Blocco dei comportamenti avventati Il 98% degli incidenti associati alla perdita di dati sono dovuti a casi fortuiti o avventati 7, come viene evidenziato da tre dei quattro esempi riportati a pagina 1. Smarrimento di notebook e chiavette USB, cattivo uso delle , incauta condivisione di informazioni in sistemi di IM, webmail, siti di relazioni sociali e siti di condivisione dei file peerto-peer rappresentano per le organizzazioni pericoli più rilevanti dei pirati informatici. Soddisfazione dei requisiti normativi L esigenza più pressante per le organizzazioni è quella di implementare un efficace soluzione che sia in grado di dimostrare ai revisori che viene garantita la protezione e il controllo necessari per soddisfare le normative attuali senza la necessità di consistenti quantità di finanziamenti e risorse a livello di implementazione e gestione. Valorizzazione dell investimento esistente Con particolare riferimento alle situazioni in cui le risorse IT sono limitate, la soluzione migliore non è investire grandi quantità di tempo e denaro in un infrastruttura completamente nuova, ma di sfruttare a fondo i vantaggi delle funzionalità DLP di quella che è già in essere, come viene spiegato più estesamente nel seguito.

5 Abilitazione di DLP Applicazione di criteri di utilizzo accettabili La creazione e applicazioni di criteri di utilizzo accettabili (AUP) deve costituire la base per qualsiasi tentativo volto a impedire la perdita di dati in un organizzazione. Tenuto conto della natura mutevole dell infrastruttura di un organizzazione e delle aspettative dei dipendenti di poter disporre liberamente delle informazioni in termini di accesso e condivisione, il successo di un AUP è strettamente legato alla creazione della consapevolezza da parte dei dipendenti del fatto che il pericolo è interno, estremamente accidentale e che spetta a loro evitarlo. Oltre a sottolineare l importanza del buon senso, i criteri di utilizzo accettabili devono stabilire esattamente in che modo un dipendente deve utilizzare le informazioni di un organizzazione, con consigli precisi sulle best practice e una chiara definizione dei comportamenti vietati. Devono essere considerati problemi come i seguenti: Quali file/informazioni è consentito inviare tramite I criteri aziendali per la pubblicazione in bacheche di messaggi Web o per il download dal Web I criteri di utilizzo delle chiavette USB e dei CD per memorizzare informazioni aziendali sensibili Criteri sull alterazione delle impostazioni della sicurezza. È necessario esporre in dettaglio anche le ripercussioni della mancata osservazione dei criteri. Valorizzazione delle soluzioni esistenti La maggior parte delle organizzazioni dispone già di vari strumenti provvisti di funzionalità in grado di soddisfare i requisiti DLP più pressanti senza richiedere nuovi e rilevanti investimenti. Un ulteriore vantaggio deriva dal fatto che, nel momento in cui DLP diventa un problema di livello aziendale, verrà previsto un upgrade delle funzionalità DLP di queste stesse soluzioni in modo simile a quanto è accaduto a prevenzione dello spyware, rilevazione dello spam e rilevazione e prevenzione delle intrusioni, iniziate tutte come categorie distinte della sicurezza e, in seguito, annoverate rapidamente in altre categorie quali, ad esempio, protezione antivirus e firewall. Protezione del gateway e del server Gran parte delle funzionalità disponibili nei prodotti per la gestione delle sono in grado di impedire l invio di dati sensibili o non appropriati all esterno dell organizzazione o a utenti non autorizzati all interno. Gli strumenti comprendono: Scansione del contenuto di messaggi e allegati per controllare e bloccare le informazioni sensibili, individuando, ad esempio, numeri di sicurezza sociale o parole chiave correlate a informazioni aziendali riservate Controllo dell accesso a file particolari Compatibilità con soluzioni di cifratura per impedire la lettura delle da parte di utenti non autorizzati Reale individuazione del tipo di file per impedire che gli utenti alterino e nascondano tipi di file non autorizzati nelle . Molte organizzazioni hanno già implementato vari strumenti provvisti di funzionalità in grado di soddisfare i requisiti DLP più pressanti senza richiedere nuovi e rilevanti investimenti.

6 Protezione del gateway Web Gli strumenti disponibili nelle soluzioni Web sono in grado di applicare criteri di protezione aziendali che: Impediscono agli utenti di accedere ai tipi di siti Web e di applicazioni che vengono tipicamente impiegati per aggirare i controlli aziendali e diffondere informazioni aziendali sensibili, tra cui siti di condivisione dei file peer-to-peer, siti FTP e siti di webmail quali Googl e Yahoo! Posta. Controllo e blocco dell utilizzo non autorizzato del traffico di messaggistica istantanea e FTP Protezione dai download drive-by che inseriscono segretamente spyware nel computer dell utente. Protezione degli endpoint La protezione degli endpoint va oltre l imperativo di non dimenticare i notebook sul treno: Blocco dell utilizzo di applicazioni non indispensabili quali condivisione dei file P2P, IM, client FTP, client di non autorizzati, connessioni di rete wireless e strumenti di sincronizzazione di smartphone e PDA. Gestione dell accesso in scrittura su dispositivi di archiviazione portatili quali le chiavette USB. Cifratura dei dati sui sistemi di archiviazione portatili in modo che non possano essere letti nel caso cadano nelle mani sbagliate. Investimento in nuova tecnologia Tutti questi strumenti esistenti sono in grado di offrire un significativo grado di protezione a condizione di garantire un adeguato livello di aggiornamento e manutenzione. Esiste tuttavia un altra soluzione che è in grado di offrire un ulteriore livello cruciale di protezione: il controllo dell accesso alla rete (NAC, Network Access Control). NAC assicura che ogni computer che si connette alla rete, sia esso dislocato nella sede centrale o in una posizione remota, di proprietà dell azienda o di utenti ospiti, sia conforme ai criteri di sicurezza dell organizzazione. Grazie a una buona soluzione NAC, qualsiasi computer endpoint che si connette alla rete viene esaminato per garantire che: La protezione firewall e dal malware sia aggiornata e attiva Siano state applicate le patch più recenti del sistema operativo Non siano presenti applicazioni non autorizzate. Il rimedio immediato o il blocco di qualsiasi computer riconosciuto non conforme ai criteri aziendali consente a un sistema NAC di garantire che le funzionalità DLP in altre soluzioni siano attive e aggiornate. Riepilogo La perdita di dati è diventata uno dei problemi più pressanti per le organizzazioni. Tuttavia, l implementazione di una infrastruttura complessa completamente nuova per bloccare la perdita di informazioni non costituisce in genere una strategia percorribile ed efficace. In realtà, la migliore soluzione DLP è quella di creare un AUP, applicarlo tramite l attuazione di controlli appropriati già disponibili nell infrastruttura di sicurezza di endpoint, server e gateway esistente, quindi investire un una soluzione NAC per garantire che tutti i computer siano aggiornati e conformi ai criteri di protezione aziendali. Soluzione Sophos Sophos Enterprise Security and Control offre protezione completa per desktop, notebook, dispositivi mobili, file server, gateway e infrastruttura groupware di un organizzazione, nonché per tutte le esigenze di navigazione sul Web. Il motore unificato di Sophos difende ogni punto, controllando non solo il software e le attività malevole, ma impedendo anche la perdita di dati e il cattivo uso di applicazioni software legittime, tra cui VoIP, IM, P2P, browser Internet, lettori multimediali e videogiochi. Una licenza utente consente di proteggere tutti gli endpoint in ambiente Windows, Mac e Linux, attiva la protezione software o appliance a livello di gateway e Web e protegge i server groupware Microsoft Exchange e Lotus Notes.

7 Fonti IDC, Information Protection and Control Survey: Data Loss Prevention and Encryption Trends, Doc # , marzo edition.cnn.com/2008/world/europe/06/11/alqaeda.documents.ap/index.html?iref=newssearch Boston, USA Oxford, Regno Unito Copyright Sophos Plc. Tutti i marchi registrati e i copyright sono compresi e riconosciuti da Sophos. Nessuna parte di questa pubblicazione può essere riprodotta, memorizzata in un sistema di recupero dati o trasmessa in qualsiasi forma o con qualsiasi mezzo senza il consenso scritto degli editori.