Whitepaper

Guida pratica per Dirigenti sulla

prevenzione dalla perdita di dati
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

Sommario
Il problema 3

Un punto di partenza 3

Dalla visione all’implementazione 4

DLP misurabile e pratica 4

La formula del rischio per la perdita di dati 5

La regola 80/20 della DLP 5

La metodologia e la strategia di esecuzione del DLP di Forcepoint 6

Time-to-Value 6

E per quanto riguarda i dati a riposo e la conformità? 7

I nove passi verso il successo 7

1. Creare un profilo del rischio informatico 8

2. Creare un grafico della gravità dell’impatto e della risposta 9

3. Determinare la risposta agli eventi imprevisti in base alla gravità e al canale 10

4. Creare un flusso di lavoro in risposta agli eventi imprevisti 11

5. Assegnare i ruoli e le responsabilità 12

6. Stabilire il quadro tecnico 13

7. Aumentare la copertura dei controlli DLP 14

8. Integrare i controlli DLP nel resto dell’organizzazione 15

9. Tenere traccia dei risultati della riduzione del rischio 16

Conclusione 17

forcepoint.com 2

Il problema
Nel mercato regna molta confusione in materia di controlli di
prevenzione della perdita di dati (DLP). Vi sono numerosi fattori
concomitanti, in particolare una generale mancanza di comprensione
nella comunità dei fornitori su come funziona la sicurezza dei dati o
che cosa costituisce un rischio per un’azienda. Sono stati istituiti dei
processi inattuabili, da cui sono conseguite strozzature operative
e la persistenza della costante minaccia di perdita e furto di dati. Di
conseguenza, le organizzazioni che vogliono proteggere i propri dati
riservati e rispettare le leggi e i regolamenti sono spesso scettiche
e non sanno a chi rivolgersi. Alcune sono rimaste scottate da
implementazioni non riuscite.
La cosa importante da capire è che non è la tecnologia alla base
dei controlli DLP che determina in ultima analisi il successo, ma
è la metodologia e la strategia di esecuzione del fornitore che
determina sia l’esperienza che i risultati. Questo white paper fornisce
orientamenti e fa chiarezza su quanto segue: spiega importanti
distinzioni e fornisce consigli su come valutare un potenziale
fornitore; fornisce informazioni preziose sulle tendenze della
violazione dei dati; offre un processo in 9 passi facile da seguire
per l’implementazione e l’esecuzione di una strategia di protezione
dei dati in modo pratico, misurabile e adattivo al rischio in natura; e,
infine, offre numerose "linee guida sulle migliori pratiche" per evitare
i tranelli comuni ed eliminare la maggior parte delle sfide operative a
cui devono far fronte le implementazioni DLP.
Un punto di partenza
I controlli DLP devono avere in comune i primi due elementi. Tuttavia,
una soluzione DLP più avanzata disporrà del terzo elemento.
1. Consentono di identificare i dati.
 Dati in movimento (trasferiti sulla rete)
 Dati in uso (utilizzati nell’endpoint)
 Dati a riposo (inattivi, memorizzati)
 Dati nel cloud (in uso, in movimento, a riposo)
Un punto di partenza
Controlli DLP
Informazioni (in locale e cloud)
In movimento In uso A riposo
forcepoint.com
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
2. identificano i dati come Descritti o Registrati.
 Descritti: Classificatori predefiniti e modelli di criteri
contribuiscono a identificare i tipi di dati. Ciò è utile quando si
cercano contenuti come informazioni personali identificabili (PII).
 Registrati: I dati vengono registrati con il sistema per creare una
"impronta digitale", che consente la corrispondenza completa o
parziale di informazioni specifiche come la proprietà intellettuale
(IP).
3. Adottano un approccio adattivo al rischio per la DPL
 La DLP adattiva al rischio imposta soluzioni avanzate di
prevenzione della perdita di dati separatamente dagli altri set
di strumenti DLP. Tratta dall’approccio CARTA (Continuous
Adaptive Risk and Trust Assessment) di Gartner, la DLP adattiva
al rischio aggiunge flessibilità e proattività alla DLP. Regola
e applica in modo autonomo i criteri DLP in base al rischio
che un individuo pone nei confronti di un’organizzazione in un
determinato momento.
Per descrivere come funzionano le prime due funzionalità comuni, a
un controllo DLP viene comunicato:
 Che cosa cercare (ad es. numeri di carte di credito)
 Il metodo per identificare le informazioni (descritte/registrate)
 Dove cercarle (ad es. rete, endpoint, archiviazione, cloud)
Quello che accade dopo che un controllo DLP identifica le
informazioni dipende a) dalla tolleranza al rischio del proprietario dei
dati, b) dalle opzioni di risposta disponibili quando viene rilevata la
perdita di dati e c) da se la soluzione è adattiva al rischio.
Metodi di identificazione Adattivi al rischio
Descritti Registrati Proattivi
3

Dalla visione all’implementazione
Sebbene tutti i controlli DLP forniscano funzionalità simili, è
importante capire che non tutti i fornitori hanno la stessa visione di
come la DLP contribuisce a risolvere il problema della perdita di dati.
Pertanto, il primo passo consiste nel comprendere la metodologia
e la strategia di esecuzione di ogni fornitore che si sta prendendo in
considerazione.
Quando si chiede a un fornitore, "Che metodologia adottate?" in
realtà si sta chiedendo, "Qual è la vostra visione su come questo
strumento può contribuire a risolvere il problema della perdita di
dati?" Si tratta di una domanda importante ma raramente posta. La
risposta consente di comprendere la visione di un fornitore, che a sua
volta consente di identificare le sue capacità uniche e la direzione
verso cui è probabilmente orientata la sua roadmap. Per i decision
maker, conoscere la visione dei fornitori è molto più rilevante per
il successo e la soddisfazione a lungo termine dell’organizzazione
piuttosto che conoscere il loro operato.
Anche la metodologia di un fornitore ha un forte impatto sulla
sua strategia di esecuzione o di implementazione. Ad esempio,
se la metodologia di un fornitore parte dalla valutazione dei dati a
riposo e quella di un altro fornitore parte dalla valutazione dei dati
in movimento utilizzando i controlli adattivi al rischio, le strategie di
esecuzione differiscono in modo notevole. Il modo in cui un fornitore
esegue i controlli DLP è importante perché influisce sia sul costo
totale di proprietà (TCO), sia sul time-to-value previsto, che sono
fondamentali per prendere la decisione di acquisto appropriata e per
definire correttamente le aspettative
con le parti interessate.
Una nota importante: Si dovrebbe evitare di applicare la metodologia
di un fornitore alla tecnologia di un altro fornitore. La metodologia
definisce e guida la roadmap tecnologica di un fornitore, quindi
mescolando i due aspetti si rischia di investire in una tecnologia che
non soddisferà le vostre esigenze a lungo termine.
La Visione
Fornitori di DLP
Metodologia
Visione Funzionalità Roadmap
forcepoint.com
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
DLP misurabile e pratica
Se avete partecipato a una conferenza o letto un articolo sulle
migliori pratiche DLP, probabilmente conoscerete il detto, "non fare
il passo più lungo della gamba". Ciò significa che non è possibile
eseguire un programma DLP completo in un colpo solo. Questa non
è una migliore pratica utile perché non aiuta a capire le modalità e
i tempi di procedura. Per alcuni aspetti, "non fare il passo più lungo
della gamba" suona più come un avvertimento che come una migliore
pratica.
Purtroppo, molte migliori pratiche pubblicate non sono sempre tali.
A causa di mancanza di risorse, finanziarie o di altro tipo, e di altri
problemi organizzativi, spesso le best practice non vengono seguite e
pertanto risultano di fatto inutili. Il valore delle best practice pratiche
è di gran lunga superiore, poiché esse prendono in considerazione
il costo, i vantaggi e lo sforzo nell’intento di seguirle. Sono anche
misurabili per determinarne l’eventuale adozione da parte dell’utente
e della sua organizzazione.
Affinché il controllo DLP sia misurabile e pratico nella gestione e nella
mitigazione del rischio di perdita di dati, è necessario conoscere e
comprendere due informazioni chiave:
1. Per essere misurabile, è necessario conoscere e applicare la
formula del rischio per la perdita di dati. Sebbene simile ad altri
modelli di rischio, la formula del rischio per la perdita di dati
presenta una sostanziale differenza, che spiegheremo qui di
seguito.
2. Per essere pratico, è necessario capire in quale situazione sia
più probabile subire una violazione dei dati ad alto impatto e
utilizzare la regola 80/20 per focalizzare l’attenzione e le risorse.
Strategia di esecuzione
Approccio TCO Time-to-Value
4

La formula del rischio per la perdita di dati
La formula del rischio di base che la maggior parte di noi conosce è:
Rischio = Impatto x Probabilità
La sfida con la maggior parte dei modelli di rischio è determinare
la possibilità o la probabilità, che si verifichi una minaccia. Questa
probabilità è fondamentale per determinare se spendere denaro in
una soluzione di prevenzione delle minacce, oppure rinunciare a tale
investimento e accettare il rischio.
La differenza con la formula del rischio per la perdita di dati è che non
si ha a che fare con l’ignoto. Questo fattore riconosce il fatto che la
perdita di dati sia inevitabile e di solito involontaria. Ma soprattutto,
la formula del rischio consente di misurare e mitigare il rischio a un
livello adeguato per l’organizzazione.
Pertanto, la metrica utilizzata per tenere traccia della riduzione del
rischio di perdita dei dati e del ROI dei controlli DLP è la frequenza di
occorrenza (FO).
Rischio= Impatto x Fattore di occorrenza (FO)
La FO indica con quale frequenza, in un determinato periodo di
tempo, i dati vengono utilizzati o trasmessi in un modo che li espone
al rischio di smarrimento, furto o compromissione. La FO viene
misurata prima e dopo l’esecuzione dei controlli DLP per dimostrare
l’entità della riduzione del rischio.
Ad esempio, se si inizia con una FO di 100 incidenti in un periodo di
due settimane e si è in grado di ridurre tale quantità a 50 incidenti
in un periodo di due settimane successivo all’implementazione dei
controlli DLP, la probabilità di un incidente di perdita di dati (violazione
dei dati) è stata ridotta del 50%.
Una considerazione importante è che se una delle soluzioni DLP
messe a confronto dispone di una tecnologia adattiva al rischio, è
probabile che mostri una FO inferiore. Questo perché la DLP adattiva
forcepoint.com
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
al rischio è molto più accurata nell’identificazione delle interazioni a
rischio dell’utente con i dati, producendo quindi meno falsi positivi e
una FO complessiva inferiore. Ciò presenta un vantaggio rispetto alle
soluzioni DLP tradizionali. Ma, d’altro canto, rende più complesso il
confronto della riduzione del rischio.
Per risolvere questo problema, si consiglia di riesaminare e verificare
che ogni incidente prodotto dalla tecnologia non adattiva al rischio
non sia un falso positivo. È necessario tenere presente che, se i
dati identificati corrispondono alla regola DLP creata, non significa
necessariamente che gli stessi costituiscano una violazione dei
criteri. È necessario inoltre verificare l’intento e il contesto relativi
all’incidente di perdita di dati per garantire che non si tratti, di fatto, di
un vero positivo.
La regola 80/20 della DLP
Oltre a identificare la FO, è importante scoprire in quale situazione è
più probabile che l’organizzazione subisca una violazione dei dati ad
alto impatto. A tale scopo, è necessario studiare le ultime tendenze di
violazione e quindi utilizzare la regola 80/20 per determinare da che
parte incominciare a focalizzare i controlli DLP. Uno studio recente ha
reso prontamente disponibili queste informazioni.
Secondo uno studio del 2018 del Ponemon Institute, il 77% delle
violazioni di dati si verifica da parte di dipendenti interni sotto forma
di esposizione accidentale e compromissione delle credenziali
utente.
Per disporre di un programma veramente efficace per la protezione
contro la perdita di dati, è necessario sentirsi sicuri della propria
capacità di rilevamento e di risposta allo spostamento dei dati sul
web, e-mail, cloud e supporti rimovibili.
Ed è proprio qui che una soluzione DLP adattiva al rischio può offrire
un vantaggio. Le soluzioni DLP tradizionali spesso riscontrano
difficoltà nell’identificazione degli elementi come processi aziendali
interrotti o attività irregolari, che possono portare a una significativa
perdita di dati. La DLP adattiva al rischio riconosce il comportamento
dei singoli utenti e li confronta con i relativi gruppi di pari per
rafforzare i controlli DLP in modo rapido e autonomo quando l’attività
non è in linea con la funzione lavorativa dell’utente finale. Questo
approccio proattivo può ridurre i rischi di perdita e di esposizione
accidentale di dati.
5
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

La metodologia e la strategia di esecuzione DLP di Time-to-Value

Il time-to-value è la differenza in termini di tempo tra
Forcepoint
l’implementazione di controlli DLP e l’ottenimento di risultati
Considerando le ultime tendenze della violazione dei dati e
misurabili nella riduzione dei rischi. Poiché il 77% delle violazioni dei
l’applicazione della formula del rischio per la perdita di dati, è
dati si verifica da parte di addetti ai lavori (esposizione accidentale o
necessario favorire la creazione di una strategia di prevenzione
compromissione), il miglior time-to-value si ottiene tramite la DLP,
della perdita di dati. La metodologia DLP più efficace si concentra
focalizzata sui dati in movimento e sui dati a riposo, utilizzando in
sulla comprensione dell’intento dell’utente per prevenire la perdita
background la tecnologia adattiva al rischio.
di dati prima che si verifichi.  Noi la chiamiamo "cybersicurezza
antropocentrica". L’esecuzione dovrebbe concentrarsi sulla fornitura
del miglior time-to-value per dimostrare una riduzione misurabile del
rischio.
Frequenza di occorrenza

Asset di dati
Rischio =
I x FO
DLP a livello di rete
Dati in movimento

DLP per applicazioni Cloud

Applications
Orientamento al
DLP a livello di endpoint Time-to-Value
Dati in uso

Data Discover
Dati a riposo

Concentrazione sulla
Impatto riduzione della
Frequenza di
occorrenza

Figura 1. La metodologia e la strategia di esecuzione DLP di Forcepoint

Potreste rimanere dubbiosi se altri fornitori o leader di pensiero vi dicessero di concentrare in primo luogo i controlli DLP sui dati a riposo. Spesso
dicono: "Se non sai di cosa disponi e dove si trova, non puoi pretendere di essere in grado di proteggerlo". Ma questa affermazione non è vera.
Infatti, i controlli DLP sono progettati per svolgere questa funzione. O gli altri fornitori e gli esperti non sanno come valutare e affrontare in modo
corretto il rischio, o ripetono semplicemente quello che dicono gli altri perché a loro parere sembra un metodo efficace.

forcepoint.com 6

Perché dovreste mettere in dubbio la raccomandazione di partire dai
dati a riposo? Considerate le seguenti domande:
1. Conoscete un’organizzazione che ha identificato e protetto con
successo tutti i dati sensibili?
2. Avete idea di quanto tempo è necessario per scansionare,
identificare e proteggere ogni singolo file che contiene
informazioni sensibili?
3. Sapete di quanto verrà ridotto il rischio di conseguenza?
Il problema di focalizzarsi come prima cosa sui dati a riposo è che ci si
concentra sul rischio implicito, non su quello effettivo e pertanto non
è possibile misurarlo nel contesto della riduzione del rischio. Rischio
implicito significa che devono essere soddisfatte altre condizioni
prima che si verifichi una conseguenza negativa. Nel contesto della
perdita di dati, tali condizioni sono:
 Qualcuno o qualcosa con intenti dannosi deve trovarsi sulla
vostra rete o accedere ai vostri ambienti cloud.
 Deve essere alla ricerca dei vostri dati sensibili.
 Deve trovarli.
 Deve spostarli.
Questo vale per tutte le organizzazioni e ci porta alla domanda più
importante: "Ritenete che la vostra organizzazione sia in grado di
rilevare e rispondere allo spostamento dei dati?"
forcepoint.com
La guida pratica per Dirigenti sulla prevenzione della perdita di dati
Tre sono i canali attraverso i quali si verifica la perdita di dati, in cui si
rileva e si risponde al rischio effettivo:
 Canale di rete (ad es. e-mail, web, FTP)
 Canale endpoint (ad esempio, archiviazione USB, stampanti)
 Canali cloud (ad esempio, Office 365, Box)
E per quanto riguarda i dati a riposo e la conformità?
Molte normative richiedono la scansione degli archivi di dati alla
ricerca di dati a riposo non protetti, pertanto ci si potrebbe chiedere
perché una metodologia e una strategia di esecuzione DLP non
dovrebbero partire da lì. Ma la verità è che i revisori si preoccupano
più della loro conformità che della vostra.
Quindi, la scansione dei dati a riposo è importante per la conformità,
ma non è l’obiettivo primario e il valore del controllo DLP. Pertanto,
è necessario pianificare l’utilizzo di DLP per il reperimento e
la conformità dei dati, ma in modo pratico e sostenibile per
l’organizzazione.
Il modo migliore per iniziare è quello di utilizzare la DLP per mettere
automaticamente in quarantena i file a cui non si ha avuto accesso
per almeno sei mesi. Assegnare le autorizzazioni al team legale e di
conformità in modo che possano prendere decisioni in base ai criteri
di conservazione dei dati.
7
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

I nove passi verso il successo con la DLP

I nove passi seguenti forniscono un processo per l’implementazione dei controlli DLP, che l’azienda può seguire in modo pratico e che è in
grado di fornire risultati misurabili. Sia che abbiate appena iniziato a utilizzare la soluzione DLP o che siate degli utilizzatori già esperti, questo
documento delinea i passi verso il successo per le applicazioni DLP tradizionali ed è rivolto anche coloro che desiderano intensificare il loro
approccio con la DLP adattiva al rischio.

1. Creare un profilo del rischio informatico

Obbiettivo: Comprendere l’ambito delle esigenze di protezione dei

dati.
1 Indicare il rischio che si desidera mitigare.

Descrizione generale: Creare un profilo di rischio informatico iniziale

che includa:

2 Redigere un elenco di asset di dati e raggrupparli per

 Una comunicazione delle potenziali conseguenze dell’inazione. tipo.

 Una descrizione dei tipi di dati inclusi nell’ambito (ad esempio, PII,
IP, dati finanziari).
3 Fare un colloquio con i proprietari dei dati per
determinare l’impatto.
 Le definizioni dei canali di rete, endpoint e cloud in cui le
informazioni possono essere perse o rubate.

 Un elenco dei controlli di sicurezza esistenti attualmente in uso

per la protezione dei dati (ad esempio, la crittografia). 4 Elencare i canali che possono trasmettere
informazioni.

DLP Risk Alignment Questionnaire Worksheet

What are the risks we are trying to mitigate?
Legal/Compliance
IP Theft/Loss
Data Integrity
Brand Reputation

What are the data assets?

Personal Identifiable Information
>
>
>

Intellectual property
>
>
>

Financial data
>
>
>

Qualitative Impact Analysis of the data:

On a scale 1-5 (highest), what is the impact to the business of each data?
>
>
>
>
>
>
>
>
>
forcepoint.com 8
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

2. Creare un grafico della gravità dell’impatto e della

risposta

Obbiettivo: Determinare i tempi di risposta agli eventi imprevisti di

perdita di dati in base al grado di gravità.
1 Iniziare definendo i tipi di dati da proteggere.

Descrizione generale: Fare in modo che il team di implementazione

DLP si incontri con i proprietari dei dati per determinare il livello
di impatto in caso di perdita, furto o compromissione degli stessi.
Utilizzare l’analisi qualitativa per descrivere l’impatto, ad esempio una 2 Allineare le normative con i tipi di dati identificati.
scala da 1 a 5. Ciò consente di assegnare priorità alle azioni di risposta
agli eventi imprevisti e viene utilizzato per determinare il tempo di
risposta appropriato.

Opzione DLP adattiva al rischio: Tenere presente che una soluzione

3 Determinare in che modo verranno identificati i dati.

DLP che adotta un approccio adattivo al rischio è progettata per

assegnare priorità all’attività ad alto rischio, applicare in modo
autonomo i controlli in base al rischio e ridurre il tempo necessario
per analizzare un incidente. Il risultato è un minor rischio di impatto e 4 Determinare la gravità dell’impatto e la risposta agli
un controllo più proattivo dei dati critici. incidenti.

I passi descritti in precedenza sono ancora validi, ma verranno estesi

con la DLP adattiva al rischio.

forcepoint.com 9
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

3. Determinare la risposta agli eventi

imprevisti in base alla gravità e al canale

Obbiettivo: Definire cosa avviene in risposta a un incidente di perdita
di dati in base alla gravità e al canale.
Descrizione generale: L’organizzazione dispone di un numero
limitato di canali attraverso i quali scorrono le informazioni. Questi
canali diventano i checkpoint di monitoraggio che i controlli DLP
utilizzano per rilevare e rispondere alla perdita di dati. Elencare
tutti i canali di comunicazione disponibili nella rete, nell’endpoint e
nel cloud (ad esempio, applicazioni cloud approvate) in un foglio di
lavoro. Applicare quindi una risposta (in base alla gravità dell’evento
imprevisto) utilizzando una delle opzioni di risposta disponibili nei
controlli DLP per il canale.
Opzione DLP adattiva al rischio: Una soluzione DLP adattiva
al rischio può fornire alle organizzazioni controlli di applicazione
granulari tra i canali, offrendo la flessibilità necessaria per regolare
la risposta in base al livello di rischio dell’utente (ad esempio, solo
controllo per gli utenti a basso rischio e blocco per gli utenti ad alto
rischio). Ciò consente agli utenti di svolgere in modo efficace le
proprie mansioni lavorative, senza compromettere i dati.
1 Scegliere i dati e il tipo di dati

È inoltre possibile chiarire eventuali requisiti aggiuntivi di cui dispone

l’organizzazione per fornire la risposta desiderata, ad esempio la
crittografia o l’ispezione SSL. Ad esempio, il supporto rimovibile è uno 2 Confermare i canali da monitorare.
dei primi tre vettori per la perdita di dati; tuttavia, è anche un ottimo
strumento per aumentare la produttività.

Un’opzione per mitigare il rischio di perdita di dati per Box o Google

Drive consiste nell’annullare automaticamente la condivisione di file
3 Determinare la risposta in base alla gravità.

contenenti informazioni sensibili trasferite nell’archiviazione cloud e

condivise esternamente.

4 Prendere nota dei requisiti aggiuntivi per la risposta

desiderata.

Livello 1 Livello 2 Livello 3 Livello 4 Livello 5

Canali Note
Basso Medio-basso Medio Medio-alto Alto

Web Controllo Controllo/notifica Blocco/notifica Blocco/avviso Blocco Proxy da bloccare

Web sicuro Controllo Controllo/notifica Blocco/notifica Blocco/avviso Blocco Ispezione SSL

Invio allegati Messa in Messa in

E-mail Crittografia Blocco Crittografia
e-mail quarantena quarantena

FTP Controllo Controllo/notifica Blocco/notifica Blocco/avviso Blocco Proxy da bloccare

Installa DLP
Stampanti di rete Controllo Controllo/notifica Blocco/notifica Blocco/avviso Blocco
Printer Agent
Messa in
Messa in
Applicazioni cloud Controllo Controllo/notifica quarantena con Blocco
quarantena
nota

Cliente Controllo Controllo/notifica Blocco/notifica Blocco/avviso Blocco TBD

*Granularità aggiuntiva disponibile con la DLP adattiva al rischio

forcepoint.com 10
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

4. Creare un flusso di lavoro in risposta agli eventi imprevisti

Obbiettivo: Assicurarsi che vengano seguite le procedure per
l’identificazione e la risposta agli eventi imprevisti.
Descrizione generale: Fare riferimento al diagramma seguente per
visualizzare il processo in cui gli eventi imprevisti vengono gestiti
in base alla gravità e per vedere cosa accade una volta rilevato un
evento imprevisto. Per gli eventi imprevisti di gravità bassa, applicare
l’automazione nel limite del possibile; ciò include in genere la notifica
a utenti e responsabili di comportamenti rischiosi. Può anche
includere il coaching dei dipendenti per agevolare il rimedio al rischio
in modo autonomo.
Gli incidenti di maggiore impatto richiedono l’intervento di un analista
di eventi imprevisti, che indagherà e determinerà il tipo di minaccia
(ad esempio, accidentale, intenzionale o dannosa). L’analista di
eventi imprevisti inoltra l’evento imprevisto e la relativa analisi al
responsabile di programma, in genere il responsabile della sicurezza
o della conformità, che determina quindi le azioni da intraprendere e i
team da includere.
Opzione DLP adattiva al rischio: Se si sceglie di sfruttare una
soluzione adattiva, l’analisi da parte di un analista di eventi
imprevisti non è necessaria prima di intraprendere un’azione. Gli
eventi imprevisti attribuiti agli utenti a basso rischio potrebbero
non rappresentare una minaccia per l’organizzazione e pertanto
dovrebbero essere autorizzati per evitare un impatto sulla
produttività. Tuttavia, queste azioni consentite dovrebbero includere
misure di sicurezza come la richiesta di crittografia durante il
salvataggio su USB o l’eliminazione degli allegati inviati tramite posta
elettronica.
Per gli utenti a rischio più elevato e gli eventi imprevisti associati, gli
amministratori possono adottare un approccio proattivo bloccando o
limitando azioni specifiche in attesa dell’analisi da parte dell’analista
di eventi imprevisti.

Flusso in base alla gravità e alla priorità dell’evento imprevisto

(Con la DLP adattiva al rischio, i criteri vengono applicati automaticamente a ogni livello di rischio)
Analista di
eventi
imprevisti

Evento imprevisto
L’indagine è richiesta solo
per le attività ad alto rischio
Dipendente ! (livello 4 e 5)*

RESPONSABILE SICUREZZA
FORCEPOINT Responsabile conformità

Capo di dipartimento HR Legale Controllo interno

Basso (Livello 1) Controllo Capo di dipartimento

Medio-basso (Livello 2) Controllo e notifica

Medio (Livello 3) Limitazione / Notifica / Applicazione dei criteri automatizzati*

Medio-alto (Livello 4) Limitazione / Notifica / Applicazione dei criteri automatizzati*

Alto (Livello 5) Blocco / Indagine / Applicazione dei criteri automatizzati*

Team di intervento eventi critici

forcepoint.com 11
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

5. Assegnare i ruoli e le responsabilità

Obbiettivo: Aumentare la stabilità, la scalabilità e l’efficienza operativa del
programma DLP.

Descrizione generale: Di norma, quattro ruoli diversi vengono assegnati per

preservare l’integrità dei controlli DLP e aumentarne l’efficienza operativa.

 Amministratore tecnico

 Analista/Responsabile di gestione di eventi imprevisti

 Inquirente forense

 Revisore

Ogni ruolo è definito in base alle proprie responsabilità e assegnato alla parte
interessata appropriata. In questa fase, è comune vedere i membri del team
di implementazione DLP svolgere la funzione di responsabili di gestione
di eventi imprevisti. Tuttavia, man mano che i controlli DLP giungono a
maturazione e ispirano un elevato livello di attendibilità, questi ruoli verranno
passati al proprietario dei dati appropriato.

Assegnare i ruoli e le responsabilità

Administrator Rights

Privilegi di accesso completo, tra cui configurazione, amministra-

Dati a riposo
zione, impostazioni e gestione degli eventi imprevisti. Creazione
File Server di report.
Database Amministratore
SharePoint
Notebook
Incident Mgr. Rights

Dati in uso
Accesso definito alla gestione degli eventi imprevisti, alla crea-
USB zione di report e all'analisi delle tendenze.
CD/DVD
Stampanti locali RESPONSABILE Responsabile degli eventi imprevisti
Applicazione
Stampa
SICUREZZA
FORCEPOINT Forensic Rights

Dati in movimento Accesso completo alla gestione degli eventi imprevisti, alla creazi-
E-mail one di report e all'analisi delle tendenze.
Web
Stampa in rete Ricercatore
FTP Auditor Rights
Canali personalizzati
Autorizzazioni di sola visualizzazione per i criteri applicati e i tipi di
eventi imprevisti specifici (ad esempio, eventi imprevisti PCI), senza
Cloud
Dati a riposo accesso alla visualizzazione dei dettagli forensi.
Dati in uso Revisore
Dati in movimento

Assegnare i ruoli e le responsabilità

forcepoint.com 12
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

6. Stabilire il quadro tecnico

Obbiettivo: Implementare la DLP di rete per misurare e iniziare a

ridurre i rischi.

Descrizione generale: Il passo 6 consiste in due fasi. Durante la

prima fase, si crea una linea di base per consentire all’organizzazione
di riconoscere il normale comportamento degli utenti e prevenire
violazioni dei dati ad alto impatto. In questa fase, il ruolo del controllo
DLP è principalmente quello di monitorare e bloccare solo gli
incidenti a gravità alta (ad esempio, i dati caricati in destinazioni 1 Installare e configurare
dannose note, il caricamento di massa di record non protetti a
rischio in un’unica transazione). Questo approccio di solo controllo
può essere eseguito anche utilizzando una DLP adattiva al rischio
impostando ogni livello di rischio su solo controllo. Man mano che si
ottengono maggiori informazioni sullo spostamento e l’utilizzo dei 2 Controllare la rete

dati all’interno dell’organizzazione, è possibile modificare i controlli

per esercitare l’applicazione per gli utenti a rischio più elevato.

Dopo la fase di monitoraggio iniziale, durante la quale si implementa 3 Analizzare i risultati

un controllo DLP di rete, eseguire un’analisi e presentare i
risultati chiave al team dirigenziale. Questo dovrebbe includere le
raccomandazioni per le attività di mitigazione del rischio che possono
ridurre la FO (frequenza di occorrenza) dei dati a rischio.
4 Aggiornamento team dirigenziale 1

Quindi, acquisire i risultati e segnalarli al team dirigenziale.

Opzione DLP adattiva al rischio: Se si sceglie di implementare

una rete DLP adattiva al rischio, è possibile eseguire un’analisi degli 5 Attività di mitigazione del rischio
eventi imprevisti in modalità di solo controllo rispetto alla modalità (ad esempio,, attivazione dei criteri di blocco)
di applicazione graduale. Questi dati contrastanti evidenzieranno il
numero ridotto di eventi imprevisti che richiedono un’analisi senza
compromettere i dati. I risultati osservati saranno più indicativi 6 Analizzare i risultati
dei veri positivi. Questo processo consente anche di dimostrare
i vantaggi dell’automazione, le risorse ridotte necessarie per
monitorare e gestire gli eventi imprevisti e aumentare la produttività
dei team interessati.
7 Aggiornamento team dirigenziale 2

Il passo 9 tratta in modo più approfondito il ROI e il monitoraggio

della riduzione del rischio.

Fase 1 Lunedì Martedì Mercoledì Giovedì Venerdì

Settimana 1: installazione/messa a

punto/addestramento

Settimana 2: monitoraggio

Settimana 3: monitoraggio

Settimana 4: aggiornamento team

dirigenziale 1

Settimana 5: mitigazione del rischio

Settimana 6: aggiornamento team

forcepoint.com 13
dirigenziale 2
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

7. Espandere la copertura dei controlli DLP

Obbiettivo: Implementare la DLP sugli endpoint e sulle applicazioni

cloud approvate per misurare e iniziare a ridurre i rischi. 1 Implementare gli endpoint e l’applicazione cloud
(approvata) e monitorare
Descrizione generale: Ora siete pronti occuparvi dei dati in uso e
dei dati a riposo. Durante questo passaggio, si implementa la DLP
sugli endpoint e sulle applicazioni cloud approvate, si monitorano e
analizzano i dati, si aggiorna il team dirigenziale e si eseguono attività
2 Avviare la scansione di reperimento

di mitigazione dei rischi come al punto 6. La differenza principale è

che ora si sceglie di rispondere agli eventi imprevisti in base ai diversi
canali e alle opzioni disponibili per i dati in uso, che hanno luogo negli
endpoint e nelle applicazioni cloud. (La gravità dell’evento imprevisto 3 Analizzare i risultati
e la risposta sono state determinate in base al canale nel passo 3.)

Per i dati inattivi, il processo identifica e assegna priorità agli obiettivi

da scansionare e sposta i dati non aggiornati in una quarantena, dove
i team legale e di conformità possono procedere in base ai criteri di
4 Aggiornamento team dirigenziale 3

conservazione dei dati dell’organizzazione. Per quanto riguarda la

conformità, la collaborazione è fondamentale. Pertanto è necessario
collaborare, ma a una velocità ragionevole per l’organizzazione.
Tenere a mente che nessuno riceve un premio per essere arrivato per 5 Attività di mitigazione del rischio

primo.

Nel caso in cui sia necessario svolgere un’attività di reperimento

al più presto possibile, è possibile aumentare temporaneamente 6 Analizzare i risultati
(o in modo permanente) la velocità di esecuzione del reperimento
tramite agenti di reperimento locali o configurando più dispositivi di
reperimento di rete.

7 Aggiornamento del team dirigenziale 4

Fase 2 Lunedì Martedì Mercoledì Giovedì Venerdì

Settimana 7: Implementazione degli

endpoint e dell’applicazione cloud
(approvata)
Settimana 8: monitoraggio degli
endpoint e dell’applicazione (approvata)/
dati a riposo
Settimana 9: monitoraggio degli
endpoint e dell’applicazione (approvata)/
dati a riposo

Settimana 10: aggiornamento del team

dirigenziale 3

Settimana 11: mitigazione del rischio

Settimana 12: aggiornamento del team

dirigenziale 4

forcepoint.com 14
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

8. Integrare i controlli DLP nel

resto dell’organizzazione

Obbiettivo: La gestione degli eventi imprevisti è delegata alle 1 Creare e attivare la commissione
principali parti interessate delle principali unità aziendali.

Descrizione generale: Se non si ha ancora coinvolto direttamente

nell’implementazione i proprietari dei dati e le altre parti interessate
principali DLP, ora è il momento di farlo.
2 Aggiornamento del programma e ruoli

In particolare, il ruolo di responsabile di gestione degli incidenti è più

adatto per i proprietari dei dati, in quanto gli stessi sono responsabili
in caso di perdita di dati. Affidare loro la gestione degli incidenti 3 Corsi di formazione

elimina la presenza dell’intermediario e migliora l’efficienza operativa.

Inoltre, consente loro di valutare con precisione la loro tolleranza
al rischio e di comprendere correttamente come i loro asset di dati
vengono utilizzati da altri. 4 Risposta assistita agli eventi imprevisti

Durante questo passaggio, chiedere al team di implementazione

DLP di tenere una riunione introduttiva per presentare i controlli
DLP agli altri membri. Tenere quindi un corso di formazione per far
familiarizzare i nuovi membri del team con l’applicazione di gestione
5 Aggiornamento team dirigenziale 5

degli eventi imprevisti. Prima di delegare le responsabilità di gestione

degli eventi improvvisi, prevedere un periodo di tempo durante il
quale verrà fornita una risposta assistita agli eventi imprevisti per
consentire ai nuovi membri del team di diventare operativi. 6 Risposta agli eventi imprevisti da parte della
commissione

7 Aggiornamento team dirigenziale 6

Fase 3 Lunedì Martedì Mercoledì Giovedì Venerdì

Settimana 13: selezione

e notifica

Settimana 14: aggiornamento del

programma e ruoli

Settimana 15: formazione con

risposta assistita

Settimana 16: aggiornamento team

dirigenziale 5

Settimana 17: evento imprevisto

Risposta da parte della commissione

Settimana 18: aggiornamento team

dirigenziale 6

forcepoint.com 15
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

9. Tenere traccia dei risultati della riduzione del Di seguito è riportato un esempio di come viene applicato il
raggruppamento e di come viene tenuta traccia della riduzione dei
rischio
rischi. Si noti che nell’esempio si è preso in considerazione un periodo
di tempo coerente, ci si è concentrati sugli eventi imprevisti ad alto
Obbiettivo: Mostrare il ROI dimostrando una riduzione misurabile del
rischio e che questi incidenti sono raggruppati secondo il rispettivo
rischio
canale.

Descrizione generale: Vi sono due punti chiave da aggiungere al

Opzione DLP adattiva al rischio: Se si è deciso di adottare un
processo di monitoraggio della riduzione del rischio menzionato per
approccio adattivo al rischio, è consigliabile fornire un confronto
la prima volta nel passo 6. Questi punti sono:
tra gli eventi imprevisti acquisiti in modalità di solo controllo
(tutti gli eventi imprevisti) piuttosto che tra gli eventi imprevisti
1. Gli eventi imprevisti correlati devono essere raggruppati.
che richiedono un’analisi con l’applicazione graduale. Il riepilogo
I gruppi comuni includono la gravità, il canale, il tipo di dati e la
dovrebbe mostrare il numero di incidenti per ogni livello di rischio 1-5,
normativa. Per le organizzazioni più grandi, la creazione di sottogruppi
contrapposti a quelli che effettivamente richiedono un’analisi (livelli
aggiuntivi contribuisce a chiarire ulteriormente il rischio in base alle
di rischio 4-5)
ubicazioni geografiche o alle filiali.

Infine, quando si aggiorna il team dirigenziale sul processo DLP e

2. Mantenere la coerenza tra le fasi di riduzione del rischio.
sui relativi risultati, ricordarsi che "meno è, meglio è". Concentrarsi
Per preservare l’integrità dei risultati, i periodi di monitoraggio e di
sul quadro generale mentre si spiegano i vettori ad alto rischio
riduzione del rischio devono avere la stessa durata. All’inizio, due
dell’organizzazione e si delineano le attività di mitigazione del rischio
settimane sono auspicabili per migliorare il time-to-value e per
consigliate, nonché i costi, i vantaggi e lo sforzo di ogni membro dei
semplificare l’analisi. Tuttavia, sta a voi determinare la tempistica più
team.
appropriata per l’organizzazione.

Probabilità di perdita di dati

Legenda degli indicatori

Alto

Moderato

Basso

Accettabile

Periodo di riferimento di
30 giorni
60 giorni

90 giorni

Stampa in rete

Numero di eventi imprevisti in un periodo di 90 giorni. Obbiettivi

60 Riduzione superi-
Eventi imprevisti Web Email FTP IM Stampa in rete
giorni ore del 25%
Periodo di riferimento
200 150 50 10 45 90 Riduzione superi-
di 30 giorni giorni ore del 50%
60 giorni 100 100 15 5 30
Riduzione del rischio in
un periodo di 60 giorni 50% 33% 70% 50% 33%

90 giorni 60 76 5 2 15
Riduzione del rischio in 70% 49% 90% 80% 67%
un periodo di 90 giorni

forcepoint.com 16
 La guida pratica per Dirigenti sulla prevenzione della perdita di dati

Conclusioni
Per ottenere una implementazione DLP di successo non è sufficiente adottare nuove
tecnologie e installarle nel data center. Il successo dell’implementazione DLP dipenderà
invece dalla vostra capacità di:

1 Comprendere la metodologia e la strategia di esecuzione di un fornitore DLP.

L’organizzazione trae vantaggio nel riconoscere il tipo di approccio dei fornitori alla DLP. In questo modo è possibile determinare
le metodologie dei fornitori più promettenti per l’ambiente dell’organizzazione e quali tecnologie DLP prendere in considerazione.
Prendere in considerazione un fornitore in grado di fornire una soluzione adattiva al rischio può aggiungere vantaggi di lunga
durata a un’organizzazione, tra cui una maggiore efficienza e produttività. E non dimenticate: l’applicazione della metodologia di un
fornitore alla tecnologia di un altro comporta delle conseguenze negative a lungo termine.

2 Applicare la formula del rischio per la perdita di dati.

Una volta compresa e applicata la formula del rischio per la perdita di dati, il team di sicurezza può collaborare con i proprietari dei
dati per identificare e assegnare priorità agli asset di dati. Inoltre, ogni attività di mitigazione del rischio dovrebbe essere progettata
al solo scopo di ridurre la frequenza di occorrenza (FO) di perdita di dati. FO è la misurazione appropriata per tenere traccia della
riduzione dei rischi e mostrare il ROI per i controlli DLP.
Promemoria: prestare particolare attenzione quando si mettono a confronto le soluzioni DLP tradizionali con una DLP che si avvale
di una tecnologia adattiva al rischio, per assicurarsi di non confrontare i falsi positivi con i positivi reali.

3 Applicare la regola 80/20 per l’assegnazione delle risorse.

Comprendendo quali vettori di perdita di dati rappresentano il rischio maggiore di una violazione dei dati ad alto impatto,
l’organizzazione può utilizzare la regola 80/20 per assegnare risorse e formulare strategie efficaci di protezione dei dati.

4 Seguire i 9 passi verso il successo.

Sia che si adotti un approccio DLP tradizionale o adattivo al rischio, il nostro processo in 9 passi è una formula collaudata per
implementare in modo pratico i controlli DLP ed è in grado di fornire risultati utilizzabili, misurabili e adattivi per il rischio.

forcepoint.com 17
Informazioni su Forcepoint
Forcepoint sta trasformando la cybersicurezza concentrandosi sul fattore più importante: il
comportamento delle persone durante la loro interazione con i dati critici e i sistemi. Questo
approccio antropocentrico alla cybersicurezza consente ai dipendenti di innovare comprendendo
il normale ritmo del comportamento degli utenti e il flusso di dati in entrata e in uscita da
un’organizzazione. Le soluzioni Forcepoint basate sul comportamento si adattano ai rischi in
tempo reale e vengono fornite tramite una piattaforma di sicurezza convergente per proteggere gli
utenti della rete e l’accesso al cloud, impedire l’esfiltrazione di dati riservati dalla rete aziendale ed
eliminare le violazioni causate dagli addetti ai lavori. Con sede ad Austin, Texas, Forcepoint protegge
il punto umano per migliaia di clienti aziendali e governativi in più di 150 paesi.

forcepoint.com/contact

© 2019 Forcepoint. Forcepoint e il logo FORCEPOINT sono marchi registrati di Forcepoint. Tutti gli altri marchi
registrati utilizzati nel presente documento appartengono ai rispettivi proprietari.
[WHITEPAPER-THE-PRACTICAL-EXECUTIVES-GUIDE-TO-DLP-NEXT-GEN-YOUR-DATA-PROTECTION-GLOBAL-
DIGITAL-CAMPAIGN-IT_IT] 200071..032019