In che modo le aziende possono prevenire eventuali perdite di dati

Data Loss Prevention: fra uomo e tecnica

La Data Loss Prevention contro la perdita di dati riservati non è solo una questione tecnica, ma è efficace solo coinvolgendo i collaboratori. Questo è l’approccio migliore.

Testo: Andreas Heer, 18 giugno 2019, aggiornato il 21.07.2021

Tutto è successo velocemente: a causa della fretta, all’interno dell’e-mail è stato selezionato il destinatario sbagliato ed ecco che la presentazione dei prodotti assolutamente confidenziale è stata inviata a contatti esterni all’azienda. Oppure i dati aziendali vengono memorizzati su una soluzione di archiviazione online privata e successivamente rubati in seguito a un’effrazione. Per non parlare di quei casi in cui i collaboratori diffondono intenzionalmente informazioni riservate.

Multe e danni alla reputazione come risultato di una perdita di dati

La protezione dei dati riservati delle aziende è una questione di cruciale importanza e al tempo stesso molto sfaccettata, come mostrano questi esempi. Le espressioni «Data Loss Prevention» (DLP) oppure «Data Leakage Prevention» fanno riferimento a tutte quelle misure volte a impedire una possibile perdita delle informazioni aziendali. In tal senso, assumono un ruolo centrale i requisiti a livello di conformità sulla base dei regolamenti e delle leggi sulla protezione dei dati, dal momento che un’eventuale mancata osservanza di suddette regole può comportare multe molto pesanti. Allo stesso tempo, anche la reputazione riveste un ruolo altrettanto cruciale al fine di sviluppare una fiducia da parte dei clienti. «Giustamente i clienti si aspettano che le aziende trattino i dati loro affidati con la massima sicurezza e affidabilità», afferma Raffael Peluso, Head of Product Management Cybersecurity presso Swisscom. Un’eventuale perdita di dati può quindi portare anche a una perdita di clienti.


E, allo stesso tempo, sulla scia della digitalizzazione si assiste anche a un aumento dell’importanza che i dati rivestono per le aziende. È inoltre fondamentale continuare a proteggere da occhi esterni anche la proprietà intellettuale salvata in modalità digitale, come ad esempio l’eventuale roadmap dei prodotti, che potrebbe avvantaggiare in modo considerevole la concorrenza qualora arrivasse nelle sue mani. Anche in questo caso si rende quindi necessario ricorrere a misure di DLP.

Data Loss Prevention: un mix vincente di varie misure

Gli esempi sopra riportati relativi all’invio di e-mail a destinatari errati o all’impiego di sistemi di archiviazione online privati mostrano la necessità di includere nella DLP un mix di provvedimenti tecnici, processi e misure di sensibilizzazione dei collaboratori. Forse l’errato invio della presentazione di un prodotto avrebbe potuto essere evitato grazie a un accorgimento tecnico. Gli impiegati addestrati alla gestione dei dati confidenziali sanno tuttavia che i documenti riservati non andrebbero né inviati via e-mail né memorizzati sul proprio cloud storage personale.


Lo studio «Costi derivanti da un’eventuale violazione dei dati» di IBM dimostra come la loro sensibilizzazione sia necessaria a completamento delle misure tecniche: pare infatti che circa un quarto dei furti di dati avvenuti nel 2020 sia stato causato da errori umani. Tale percentuale di errore può tuttavia essere minimizzata se collaboratori opportunamente addestrati applicano nella quotidianità le proprie conoscenze. In altre parole, la consapevolezza rappresenta un’eccellente arma di difesa.

Equilibrio fra costi e rischi residui

Per la formazione dei collaboratori vi sono diverse soluzioni con diversi gradi di impegno. «Secondo la mia personale esperienza, l’e-learning rappresenta una soluzione adatta, ad esempio sotto forma di video tutorial seguiti da alcune domande di verifica», afferma Raffael Peluso. «Inoltre, è importante che la formazione sia accompagnata da ulteriori campagne informative, ad esempio su intranet».

 

Tali attività di sensibilizzazione preventiva aiutano lo sviluppo di una reale comprensione della gestione dei dati riservati nonché delle necessarie direttive, dei processi e delle misure di sicurezza tecnica.

 

Tuttavia, la sicurezza non potrà mai essere al 100%. Un eventuale collaboratore determinato a portare avanti i suoi fini criminali troverà sempre un modo per aggirare le misure di protezione. Raffael Peluso non si fa illusioni al riguardo: «Come qualsiasi altra misura di sicurezza, anche la Data Loss Prevention rappresenta una soluzione che bilancia costi e possibili rischi».


Secondo Peluso, la chiave giusta per scongiurare efficacemente una possibile perdita di dati è la sua modalità di attuazione: «Le misure applicate non devono risultare di ostacolo al business, in quanto non verrebbero accettate dai collaboratori, che troverebbero quindi delle strade creative per aggirare la DLP».


Maggiori informazioni