Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Sommario
Il problema 3
Un punto di partenza 3
Time-to-Value 6
Conclusione 17
forcepoint.com 2
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Nel mercato regna molta confusione in materia di controlli di Descritti: Classificatori predefiniti e modelli di criteri
prevenzione della perdita di dati (DLP). Vi sono numerosi fattori contribuiscono a identificare i tipi di dati. Ciò è utile quando si
concomitanti, in particolare una generale mancanza di comprensione cercano contenuti come informazioni personali identificabili (PII).
nella comunità dei fornitori su come funziona la sicurezza dei dati o
che cosa costituisce un rischio per un’azienda. Sono stati istituiti dei Registrati: I dati vengono registrati con il sistema per creare una
processi inattuabili, da cui sono conseguite strozzature operative "impronta digitale", che consente la corrispondenza completa o
e la persistenza della costante minaccia di perdita e furto di dati. Di parziale di informazioni specifiche come la proprietà intellettuale
conseguenza, le organizzazioni che vogliono proteggere i propri dati (IP).
riservati e rispettare le leggi e i regolamenti sono spesso scettiche 3. Adottano un approccio adattivo al rischio per la DPL
e non sanno a chi rivolgersi. Alcune sono rimaste scottate da
La DLP adattiva al rischio imposta soluzioni avanzate di
implementazioni non riuscite.
prevenzione della perdita di dati separatamente dagli altri set
di strumenti DLP. Tratta dall’approccio CARTA (Continuous
La cosa importante da capire è che non è la tecnologia alla base
Adaptive Risk and Trust Assessment) di Gartner, la DLP adattiva
dei controlli DLP che determina in ultima analisi il successo, ma
al rischio aggiunge flessibilità e proattività alla DLP. Regola
è la metodologia e la strategia di esecuzione del fornitore che
e applica in modo autonomo i criteri DLP in base al rischio
determina sia l’esperienza che i risultati. Questo white paper fornisce
che un individuo pone nei confronti di un’organizzazione in un
orientamenti e fa chiarezza su quanto segue: spiega importanti
determinato momento.
distinzioni e fornisce consigli su come valutare un potenziale
fornitore; fornisce informazioni preziose sulle tendenze della
violazione dei dati; offre un processo in 9 passi facile da seguire Per descrivere come funzionano le prime due funzionalità comuni, a
per l’implementazione e l’esecuzione di una strategia di protezione un controllo DLP viene comunicato:
dei dati in modo pratico, misurabile e adattivo al rischio in natura; e, Che cosa cercare (ad es. numeri di carte di credito)
infine, offre numerose "linee guida sulle migliori pratiche" per evitare
i tranelli comuni ed eliminare la maggior parte delle sfide operative a Il metodo per identificare le informazioni (descritte/registrate)
cui devono far fronte le implementazioni DLP.
Dove cercarle (ad es. rete, endpoint, archiviazione, cloud)
Un punto di partenza
Quello che accade dopo che un controllo DLP identifica le
I controlli DLP devono avere in comune i primi due elementi. Tuttavia, informazioni dipende a) dalla tolleranza al rischio del proprietario dei
una soluzione DLP più avanzata disporrà del terzo elemento. dati, b) dalle opzioni di risposta disponibili quando viene rilevata la
perdita di dati e c) da se la soluzione è adattiva al rischio.
1. Consentono di identificare i dati.
Un punto di partenza
Controlli DLP
forcepoint.com 3
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Anche la metodologia di un fornitore ha un forte impatto sulla Affinché il controllo DLP sia misurabile e pratico nella gestione e nella
sua strategia di esecuzione o di implementazione. Ad esempio, mitigazione del rischio di perdita di dati, è necessario conoscere e
se la metodologia di un fornitore parte dalla valutazione dei dati a comprendere due informazioni chiave:
riposo e quella di un altro fornitore parte dalla valutazione dei dati
in movimento utilizzando i controlli adattivi al rischio, le strategie di 1. Per essere misurabile, è necessario conoscere e applicare la
esecuzione differiscono in modo notevole. Il modo in cui un fornitore formula del rischio per la perdita di dati. Sebbene simile ad altri
esegue i controlli DLP è importante perché influisce sia sul costo modelli di rischio, la formula del rischio per la perdita di dati
totale di proprietà (TCO), sia sul time-to-value previsto, che sono presenta una sostanziale differenza, che spiegheremo qui di
fondamentali per prendere la decisione di acquisto appropriata e per seguito.
definire correttamente le aspettative
con le parti interessate. 2. Per essere pratico, è necessario capire in quale situazione sia
più probabile subire una violazione dei dati ad alto impatto e
Una nota importante: Si dovrebbe evitare di applicare la metodologia utilizzare la regola 80/20 per focalizzare l’attenzione e le risorse.
di un fornitore alla tecnologia di un altro fornitore. La metodologia
definisce e guida la roadmap tecnologica di un fornitore, quindi
mescolando i due aspetti si rischia di investire in una tecnologia che
non soddisferà le vostre esigenze a lungo termine.
La Visione
Fornitori di DLP
forcepoint.com 4
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
La formula del rischio per la perdita di dati al rischio è molto più accurata nell’identificazione delle interazioni a
rischio dell’utente con i dati, producendo quindi meno falsi positivi e
La formula del rischio di base che la maggior parte di noi conosce è:
una FO complessiva inferiore. Ciò presenta un vantaggio rispetto alle
soluzioni DLP tradizionali. Ma, d’altro canto, rende più complesso il
Rischio = Impatto x Probabilità
confronto della riduzione del rischio.
La sfida con la maggior parte dei modelli di rischio è determinare
Per risolvere questo problema, si consiglia di riesaminare e verificare
la possibilità o la probabilità, che si verifichi una minaccia. Questa
che ogni incidente prodotto dalla tecnologia non adattiva al rischio
probabilità è fondamentale per determinare se spendere denaro in
non sia un falso positivo. È necessario tenere presente che, se i
una soluzione di prevenzione delle minacce, oppure rinunciare a tale
dati identificati corrispondono alla regola DLP creata, non significa
investimento e accettare il rischio.
necessariamente che gli stessi costituiscano una violazione dei
criteri. È necessario inoltre verificare l’intento e il contesto relativi
La differenza con la formula del rischio per la perdita di dati è che non
all’incidente di perdita di dati per garantire che non si tratti, di fatto, di
si ha a che fare con l’ignoto. Questo fattore riconosce il fatto che la
un vero positivo.
perdita di dati sia inevitabile e di solito involontaria. Ma soprattutto,
la formula del rischio consente di misurare e mitigare il rischio a un
livello adeguato per l’organizzazione. La regola 80/20 della DLP
Oltre a identificare la FO, è importante scoprire in quale situazione è
Pertanto, la metrica utilizzata per tenere traccia della riduzione del più probabile che l’organizzazione subisca una violazione dei dati ad
rischio di perdita dei dati e del ROI dei controlli DLP è la frequenza di alto impatto. A tale scopo, è necessario studiare le ultime tendenze di
occorrenza (FO). violazione e quindi utilizzare la regola 80/20 per determinare da che
parte incominciare a focalizzare i controlli DLP. Uno studio recente ha
Rischio= Impatto x Fattore di occorrenza (FO) reso prontamente disponibili queste informazioni.
La FO indica con quale frequenza, in un determinato periodo di
tempo, i dati vengono utilizzati o trasmessi in un modo che li espone Secondo uno studio del 2018 del Ponemon Institute, il 77% delle
al rischio di smarrimento, furto o compromissione. La FO viene violazioni di dati si verifica da parte di dipendenti interni sotto forma
misurata prima e dopo l’esecuzione dei controlli DLP per dimostrare di esposizione accidentale e compromissione delle credenziali
l’entità della riduzione del rischio. utente.
Ad esempio, se si inizia con una FO di 100 incidenti in un periodo di Per disporre di un programma veramente efficace per la protezione
due settimane e si è in grado di ridurre tale quantità a 50 incidenti contro la perdita di dati, è necessario sentirsi sicuri della propria
in un periodo di due settimane successivo all’implementazione dei capacità di rilevamento e di risposta allo spostamento dei dati sul
controlli DLP, la probabilità di un incidente di perdita di dati (violazione web, e-mail, cloud e supporti rimovibili.
dei dati) è stata ridotta del 50%.
Ed è proprio qui che una soluzione DLP adattiva al rischio può offrire
Una considerazione importante è che se una delle soluzioni DLP un vantaggio. Le soluzioni DLP tradizionali spesso riscontrano
messe a confronto dispone di una tecnologia adattiva al rischio, è difficoltà nell’identificazione degli elementi come processi aziendali
probabile che mostri una FO inferiore. Questo perché la DLP adattiva interrotti o attività irregolari, che possono portare a una significativa
perdita di dati. La DLP adattiva al rischio riconosce il comportamento
dei singoli utenti e li confronta con i relativi gruppi di pari per
rafforzare i controlli DLP in modo rapido e autonomo quando l’attività
non è in linea con la funzione lavorativa dell’utente finale. Questo
approccio proattivo può ridurre i rischi di perdita e di esposizione
accidentale di dati.
forcepoint.com 5
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Asset di dati
Rischio =
I x FO
DLP a livello di rete
Dati in movimento
Data Discover
Dati a riposo
Concentrazione sulla
Impatto riduzione della
Frequenza di
occorrenza
Potreste rimanere dubbiosi se altri fornitori o leader di pensiero vi dicessero di concentrare in primo luogo i controlli DLP sui dati a riposo. Spesso
dicono: "Se non sai di cosa disponi e dove si trova, non puoi pretendere di essere in grado di proteggerlo". Ma questa affermazione non è vera.
Infatti, i controlli DLP sono progettati per svolgere questa funzione. O gli altri fornitori e gli esperti non sanno come valutare e affrontare in modo
corretto il rischio, o ripetono semplicemente quello che dicono gli altri perché a loro parere sembra un metodo efficace.
forcepoint.com 6
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Perché dovreste mettere in dubbio la raccomandazione di partire dai Tre sono i canali attraverso i quali si verifica la perdita di dati, in cui si
dati a riposo? Considerate le seguenti domande: rileva e si risponde al rischio effettivo:
1. Conoscete un’organizzazione che ha identificato e protetto con Canale di rete (ad es. e-mail, web, FTP)
successo tutti i dati sensibili?
Canale endpoint (ad esempio, archiviazione USB, stampanti)
2. Avete idea di quanto tempo è necessario per scansionare,
Canali cloud (ad esempio, Office 365, Box)
identificare e proteggere ogni singolo file che contiene
informazioni sensibili?
E per quanto riguarda i dati a riposo e la conformità?
3. Sapete di quanto verrà ridotto il rischio di conseguenza? Molte normative richiedono la scansione degli archivi di dati alla
ricerca di dati a riposo non protetti, pertanto ci si potrebbe chiedere
Il problema di focalizzarsi come prima cosa sui dati a riposo è che ci si perché una metodologia e una strategia di esecuzione DLP non
concentra sul rischio implicito, non su quello effettivo e pertanto non dovrebbero partire da lì. Ma la verità è che i revisori si preoccupano
è possibile misurarlo nel contesto della riduzione del rischio. Rischio più della loro conformità che della vostra.
implicito significa che devono essere soddisfatte altre condizioni
prima che si verifichi una conseguenza negativa. Nel contesto della Quindi, la scansione dei dati a riposo è importante per la conformità,
perdita di dati, tali condizioni sono: ma non è l’obiettivo primario e il valore del controllo DLP. Pertanto,
Qualcuno o qualcosa con intenti dannosi deve trovarsi sulla è necessario pianificare l’utilizzo di DLP per il reperimento e
vostra rete o accedere ai vostri ambienti cloud. la conformità dei dati, ma in modo pratico e sostenibile per
l’organizzazione.
Deve essere alla ricerca dei vostri dati sensibili.
Il modo migliore per iniziare è quello di utilizzare la DLP per mettere
Deve trovarli.
automaticamente in quarantena i file a cui non si ha avuto accesso
per almeno sei mesi. Assegnare le autorizzazioni al team legale e di
Deve spostarli.
conformità in modo che possano prendere decisioni in base ai criteri
Questo vale per tutte le organizzazioni e ci porta alla domanda più di conservazione dei dati.
importante: "Ritenete che la vostra organizzazione sia in grado di
rilevare e rispondere allo spostamento dei dati?"
forcepoint.com 7
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Una descrizione dei tipi di dati inclusi nell’ambito (ad esempio, PII,
IP, dati finanziari).
3 Fare un colloquio con i proprietari dei dati per
determinare l’impatto.
Le definizioni dei canali di rete, endpoint e cloud in cui le
informazioni possono essere perse o rubate.
Intellectual property
>
>
>
Financial data
>
>
>
forcepoint.com 9
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Obbiettivo: Definire cosa avviene in risposta a un incidente di perdita Opzione DLP adattiva al rischio: Una soluzione DLP adattiva
di dati in base alla gravità e al canale. al rischio può fornire alle organizzazioni controlli di applicazione
granulari tra i canali, offrendo la flessibilità necessaria per regolare
Descrizione generale: L’organizzazione dispone di un numero la risposta in base al livello di rischio dell’utente (ad esempio, solo
limitato di canali attraverso i quali scorrono le informazioni. Questi controllo per gli utenti a basso rischio e blocco per gli utenti ad alto
canali diventano i checkpoint di monitoraggio che i controlli DLP rischio). Ciò consente agli utenti di svolgere in modo efficace le
utilizzano per rilevare e rispondere alla perdita di dati. Elencare proprie mansioni lavorative, senza compromettere i dati.
tutti i canali di comunicazione disponibili nella rete, nell’endpoint e
nel cloud (ad esempio, applicazioni cloud approvate) in un foglio di
lavoro. Applicare quindi una risposta (in base alla gravità dell’evento
imprevisto) utilizzando una delle opzioni di risposta disponibili nei 1 Scegliere i dati e il tipo di dati
controlli DLP per il canale.
Installa DLP
Stampanti di rete Controllo Controllo/notifica Blocco/notifica Blocco/avviso Blocco
Printer Agent
Messa in
Messa in
Applicazioni cloud Controllo Controllo/notifica quarantena con Blocco
quarantena
nota
forcepoint.com 10
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Obbiettivo: Assicurarsi che vengano seguite le procedure per Opzione DLP adattiva al rischio: Se si sceglie di sfruttare una
l’identificazione e la risposta agli eventi imprevisti. soluzione adattiva, l’analisi da parte di un analista di eventi
imprevisti non è necessaria prima di intraprendere un’azione. Gli
Descrizione generale: Fare riferimento al diagramma seguente per eventi imprevisti attribuiti agli utenti a basso rischio potrebbero
visualizzare il processo in cui gli eventi imprevisti vengono gestiti non rappresentare una minaccia per l’organizzazione e pertanto
in base alla gravità e per vedere cosa accade una volta rilevato un dovrebbero essere autorizzati per evitare un impatto sulla
evento imprevisto. Per gli eventi imprevisti di gravità bassa, applicare produttività. Tuttavia, queste azioni consentite dovrebbero includere
l’automazione nel limite del possibile; ciò include in genere la notifica misure di sicurezza come la richiesta di crittografia durante il
a utenti e responsabili di comportamenti rischiosi. Può anche salvataggio su USB o l’eliminazione degli allegati inviati tramite posta
includere il coaching dei dipendenti per agevolare il rimedio al rischio elettronica.
in modo autonomo.
Per gli utenti a rischio più elevato e gli eventi imprevisti associati, gli
Gli incidenti di maggiore impatto richiedono l’intervento di un analista amministratori possono adottare un approccio proattivo bloccando o
di eventi imprevisti, che indagherà e determinerà il tipo di minaccia limitando azioni specifiche in attesa dell’analisi da parte dell’analista
(ad esempio, accidentale, intenzionale o dannosa). L’analista di di eventi imprevisti.
eventi imprevisti inoltra l’evento imprevisto e la relativa analisi al
responsabile di programma, in genere il responsabile della sicurezza
o della conformità, che determina quindi le azioni da intraprendere e i
team da includere.
Evento imprevisto
L’indagine è richiesta solo
per le attività ad alto rischio
Dipendente ! (livello 4 e 5)*
RESPONSABILE SICUREZZA
FORCEPOINT Responsabile conformità
forcepoint.com 11
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Amministratore tecnico
Inquirente forense
Revisore
Ogni ruolo è definito in base alle proprie responsabilità e assegnato alla parte
interessata appropriata. In questa fase, è comune vedere i membri del team
di implementazione DLP svolgere la funzione di responsabili di gestione
di eventi imprevisti. Tuttavia, man mano che i controlli DLP giungono a
maturazione e ispirano un elevato livello di attendibilità, questi ruoli verranno
passati al proprietario dei dati appropriato.
Administrator Rights
Dati in uso
Accesso definito alla gestione degli eventi imprevisti, alla crea-
USB zione di report e all'analisi delle tendenze.
CD/DVD
Stampanti locali RESPONSABILE Responsabile degli eventi imprevisti
Applicazione
Stampa
SICUREZZA
FORCEPOINT Forensic Rights
Dati in movimento Accesso completo alla gestione degli eventi imprevisti, alla creazi-
E-mail one di report e all'analisi delle tendenze.
Web
Stampa in rete Ricercatore
FTP Auditor Rights
Canali personalizzati
Autorizzazioni di sola visualizzazione per i criteri applicati e i tipi di
eventi imprevisti specifici (ad esempio, eventi imprevisti PCI), senza
Cloud
Dati a riposo accesso alla visualizzazione dei dettagli forensi.
Dati in uso Revisore
Dati in movimento
forcepoint.com 12
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Settimana 1: installazione/messa a
punto/addestramento
Settimana 2: monitoraggio
Settimana 3: monitoraggio
dirigenziale 1
primo.
forcepoint.com 14
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Obbiettivo: La gestione degli eventi imprevisti è delegata alle 1 Creare e attivare la commissione
principali parti interessate delle principali unità aziendali.
forcepoint.com 15
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
9. Tenere traccia dei risultati della riduzione del Di seguito è riportato un esempio di come viene applicato il
raggruppamento e di come viene tenuta traccia della riduzione dei
rischio
rischi. Si noti che nell’esempio si è preso in considerazione un periodo
di tempo coerente, ci si è concentrati sugli eventi imprevisti ad alto
Obbiettivo: Mostrare il ROI dimostrando una riduzione misurabile del
rischio e che questi incidenti sono raggruppati secondo il rispettivo
rischio
canale.
Alto
Moderato
Basso
Accettabile
Periodo di riferimento di
30 giorni
60 giorni
90 giorni
Stampa in rete
90 giorni 60 76 5 2 15
Riduzione del rischio in 70% 49% 90% 80% 67%
un periodo di 90 giorni
forcepoint.com 16
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Conclusioni
Per ottenere una implementazione DLP di successo non è sufficiente adottare nuove
tecnologie e installarle nel data center. Il successo dell’implementazione DLP dipenderà
invece dalla vostra capacità di:
forcepoint.com 17
Informazioni su Forcepoint
Forcepoint sta trasformando la cybersicurezza concentrandosi sul fattore più importante: il
comportamento delle persone durante la loro interazione con i dati critici e i sistemi. Questo
approccio antropocentrico alla cybersicurezza consente ai dipendenti di innovare comprendendo
il normale ritmo del comportamento degli utenti e il flusso di dati in entrata e in uscita da
un’organizzazione. Le soluzioni Forcepoint basate sul comportamento si adattano ai rischi in
tempo reale e vengono fornite tramite una piattaforma di sicurezza convergente per proteggere gli
utenti della rete e l’accesso al cloud, impedire l’esfiltrazione di dati riservati dalla rete aziendale ed
eliminare le violazioni causate dagli addetti ai lavori. Con sede ad Austin, Texas, Forcepoint protegge
il punto umano per migliaia di clienti aziendali e governativi in più di 150 paesi.
forcepoint.com/contact
© 2019 Forcepoint. Forcepoint e il logo FORCEPOINT sono marchi registrati di Forcepoint. Tutti gli altri marchi
registrati utilizzati nel presente documento appartengono ai rispettivi proprietari.
[WHITEPAPER-THE-PRACTICAL-EXECUTIVES-GUIDE-TO-DLP-NEXT-GEN-YOUR-DATA-PROTECTION-GLOBAL-
DIGITAL-CAMPAIGN-IT_IT] 200071..032019