Data Loss Prevention. - Security Summit - Milano, 15/03/2011 -

Transcript

1 Data Loss Prevention - Security Summit - Milano, 15/03/ Author: P. Mancino Head of Information Security & Security Assessment

2 Premessa DLP e attività propedeutiche Main Step Perimetro di intervento Soluzioni

3 DLP: Premessa 1/2 Non possiamo affrontare la tematica del DLP se non abbiamo la consapevolezza dell importanza dell Informazione (intangible asset) per un Organizzazione. BS7799 & ISO Information in an asset that, like other important business assets, is essential to an organization s business and consequently needs to be suitably protected.

4 DLP: Premessa 2/2 L informazione esiste in diverse forme: stampata/scritta su carta; files elettronici; trasmessa per posta elettronica o per posta ordinaria; mostrata su films/presentazioni; verbale. Indipendentemente dalla tipologia di informazione (elettronica, cartacea, verbale ) o mezzo con cui essa è trasmessa o memorizzata, l informazione deve essere sempre adeguatamente protetta.

5 DLP e attività propedeutiche Il Data Loss Prevention, parte del processo di Information Security Management (ISM), è l integrazione di soluzioni tecnologiche e organizzative finalizzata a mitigare il rischio di perdita/trafugamento (colposa/dolosa) di informazioni aziendali. Leaks? a seguito di intrusioni esterne sul perimetro logico aziendale (external attack)? a seguito di azioni interne (internal attack)? a seguito di utilizzo di software contenente codice malevolo (malware quali virus, spyware, trojan, worm.)? a seguito di un utilizzo non controllato di memory devices e laptop fuori il perimetro aziendale? a seguito di un utilizzo improprio della posta elettronica aziendale?

6 DLP : Main Step Quali informazioni proteggere? Attività propedeutica fondamentale per il processo di DLP/ISM è la Mappatura e la Classificazione delle Informazioni, finalizzata a: determinare il valore delle informazioni (funzione del livello di criticità per l azienda) ed associarle a classi/categorie di sicurezza; valutare il livello di protezione necessario e gli opportuni controlli/contromisure (organizzative, logiche e fisiche); valutare le clearance necessarie need-to-know ;

7 DLP : Perimetro d intervento 1/2 Cosa impone il mondo del lavoro? per aumentare la competitività è richiesta elevata mobilità ad oggi gli utenti mobili delle aziende sono in numero quasi equivalente a quelli stanziali. Abbiamo un riscontro di ciò che accade fuori il perimetro (fisico/logico) aziendale? è stata fatta una valutazione del rischio di: divulgazione non autorizzata di informazioni (verso il mondo esterno.competitor etc); mancata conformità al cogente nazionale e/o internazionale; perdita di immagine nel caso di diffusione mediatica della perdita/sottrazione di informazioni sensibili aziendali.

8 DLP : Perimetro d intervento 2/2 Una gestione ottimale del processo di DLP deve tener conto di tre differenti stati : data at rest computer storage data in-motion data at end-points memory devices (external hd, cd/dvd, thumb drive, SD.)

9 DLP : Soluzioni 1/2 data at end-points end-point & I/O Management Attraverso una gestione centralizzata, basata su white list, è possibile abilitare/disabilitare la possibilità di utilizzo di dispositivi esterni di memoria e verificare i tipi di file esportati e importati dalle periferiche rimovibili; Oltre ad aumentare il livello di protezione delle informazioni aziendali, il monitoring dei memory devices consente di gestire (mitigandolo) il rischio di propagazione di malware (virus, trojan, worm.);

10 data in-motion DLP : Soluzioni 2/2 La posta elettronica quale maggiore strumento di comunicazione aziendale deve essere opportunamente gestita per evitare la divulgazione non autorizzata di informazioni/documentazione sensibile; - classificare le secondo la criticità del contenuto e dei suoi allegati; - implementare automaticamente, e in modo trasparente per l utente, le opportune protezioni funzionali al livello di classifica (es: cifratura e firma digitale); - abilitarne/inibirne l invio in funzione del livello di classifica e dei destinatari; - gestire messaggi automatici (pop-up) di avviso all utente di violazione di policy aziendali; data at rest un adeguata cifratura (trasparente all utente) dell hd dei laptop consentirebbe, nel caso di furto, smarrimento o accesso non autorizzato di rendere il contenuto informativo non intelligibile;

11 Case Study: anti DLP

12 Pasquale Mancino Head of Information Security & Security Assessement ? Information in an asset that, like other important business assets, is essential to an organization s business and consequently needs to be suitably protected (ISO 27001)