Meta-navigazione

Misure di Data Loss Prevention

Protezione dei dati aziendali

In che modo le aziende possono prevenire eventuali perdite di dati

La Data Loss Prevention contro la perdita di dati riservati non è una mera questione tecnica, ma è efficace solo coinvolgendo i collaboratori. Questo è l’approccio migliore.

Testo: Andreas Heer, 18 giugno 2019

Tutto è successo velocemente: a causa della fretta, all’interno dell’e-mail è stato selezionato il destinatario sbagliato ed ecco che la presentazione dei prodotti assolutamente confidenziale è stata inviata a contatti esterni all’azienda. Oppure una chiavetta USB, ovviamente non protetta, è andata persa da qualche parte durante un viaggio d’affari. Per non parlare di quei casi in cui i collaboratori diffondono intenzionalmente informazioni riservate.

Le conseguenze? Multe e danni alla reputazione

La protezione dei dati riservati delle aziende è una questione di cruciale importanza e al tempo stesso molto sfaccettata, come mostrano entrambi gli esempi sopraccitati. Le espressioni «Data Loss Prevention» (DLP) oppure «Data Leakage Prevention» fanno riferimento a tutte quelle misure volte a impedire una possibile perdita delle informazioni aziendali. In tal senso, assumono un ruolo centrale i requisiti a livello di conformità sulla base dei regolamenti e delle leggi sulla protezione dei dati, dal momento che un’eventuale mancata osservanza di suddette regole può comportare multe molto pesanti. Allo stesso tempo, anche la reputazione riveste un ruolo altrettanto cruciale al fine di sviluppare una fiducia da parte dei clienti. «Giustamente i clienti si aspettano che le aziende trattino i dati loro affidati secondo la massima sicurezza e affidabilità», afferma Raffael Peluso, responsabile delle soluzioni di sicurezza presso Swisscom. Un’eventuale perdita di dati può quindi portare anche a una perdita di clienti.

 

E, allo stesso tempo, sulla scia della digitalizzazione si assiste anche a un aumento dell’importanza che i dati rivestono per le aziende. È inoltre fondamentale continuare a proteggere da occhi esterni anche la proprietà intellettuale salvata in modalità digitale, come ad esempio l’eventuale roadmap dei prodotti, che potrebbe avvantaggiare in modo considerevole la concorrenza qualora arrivasse nelle sue mani. Anche in questo caso si rende quindi necessario ricorrere a misure di DLP.

Data Loss Prevention: un mix vincente di varie misure

L’esempio proposto all’inizio relativo alla selezione del destinatario errato dell’e-mail mostra chiaramente la necessità di includere nella DLP un mix di misure tecniche, processi e provvedimenti per la sensibilizzazione dei collaboratori. Magari nel caso citato sarebbe stato possibile a livello tecnico evitare l’invio errato della presentazione dei prodotti, ma è anche vero che a un collaboratore con una formazione a livello di gestione dei dati riservati non sarebbe mai venuto in mente di inoltrare il documento via e-mail. Lo studio «Costi derivanti da un’eventuale violazione dei dati» evidenzia infatti come la sensibilizzazione dei collaboratori rappresenti una misura necessaria a completamento delle misure tecniche: dai dati disponibili emerge infatti che all’incirca 1 furto di dati su 4 avvenuto negli Stati Uniti nel corso del 2018 sia stato causato da un errore umano. Potendo contare su collaboratori in grado di mettere in pratica queste importanti conoscenze nella loro quotidianità, sarà quindi possibile ridurre drasticamente la percentuale di errore. In altre parole: la consapevolezza rappresenta un’eccellente arma di difesa.

 

A livello di formazione dei collaboratori sono disponibili diverse soluzioni dai prezzi più svariati. «Secondo la mia personale esperienza, l’e-learning rappresenta una soluzione adatta, ad esempio sotto forma di video tutorial seguiti da alcune domande di verifica», afferma Raffael Peluso. «Inoltre, è importante che la formazione sia accompagnata da ulteriori campagne informative, ad esempio su intranet».

 

Tali attività di sensibilizzazione a fine preventivo aiutano lo sviluppo di una reale comprensione della gestione dei dati riservati e anche delle direttive fondamentali, dei processi necessari e delle misure di sicurezza tecnica. Tuttavia, la sicurezza non potrà mai essere al 100%. Un eventuale collaboratore determinato a portare avanti i suoi fini criminali troverà sempre un modo per aggirare le misure di protezione. Di questo Raffael Peluso ne è certo: «Come qualsiasi altra misura di sicurezza, anche la Data Loss Prevention rappresenta una soluzione che bilancia costi e possibili rischi». Secondo Peluso, la chiave giusta per scongiurare concretamente una possibile perdita di dati è la modalità di attuazione: «Le misure applicate non devono risultare di ostacolo al business, in quanto non verrebbero accettate dai collaboratori, che troverebbero quindi delle strade creative per aggirare la DLP».

Newsletter

Desiderate ricevere regolarmente articoli e rapporti avvincenti su tematiche ICT di attualità?

> All'iscrizione


Maggiori informazioni