Che cos'è la prevenzione della perdita di dati (DLP)?

Per molte aziende i dati rappresentano un elemento di differenziazione competitiva. Una tipica rete aziendale contiene una grande quantità di segreti commerciali, dati sulle vendite, dati personali dei clienti e altre informazioni sensibili. Gli hacker prendono di mira questi dati e le organizzazioni spesso faticano a mantenere al sicuro i dati critici.

Nel frattempo centinaia, se non migliaia, di utenti autorizzati accedono ai dati aziendali attraverso lo storage cloud e i repository on-premise ogni giorno. Prevenire la perdita di dati facilitando al contempo gli accessi autorizzati è una priorità per la maggior parte delle organizzazioni.

La prevenzione della perdita di dati (DLP) aiuta le organizzazioni a impedire fughe e perdite di dati monitorandoli in tutta la rete e applicando a essi delle politiche di sicurezza. I team di sicurezza cercano di garantire che solo le persone giuste possano accedere ai dati giusti per i giusti motivi.

Una soluzione DLP ispeziona i pacchetti di dati mentre si spostano attraverso una rete, rilevando l'uso di informazioni riservate come numeri di carte di credito, dati sanitari, record dei clienti e proprietà intellettuale. In questo modo, le organizzazioni possono applicare i giusti controlli degli accessi, nonché criteri di utilizzo, a ogni tipo di dati.

I dati sono a rischio indipendentemente da dove sono archiviati, il che rende la protezione delle informazioni una priorità significativa per un'organizzazione. Il costo del fallimento può essere elevato. L'ultimo report Cost of a Data Breach di IBM ha rilevato che il costo medio globale di una violazione dei dati è aumentato del 10% rispetto all'anno precedente, raggiungendo i 4,88 milioni di USD: è il balzo più significativo dai tempi della pandemia.

Le informazioni di identificazione personale (PII), in particolare, sono molto preziose per i ladri e spesso rappresentano un obiettivo chiave. Il report Cost of a Data Breach ha anche rilevato che quasi la metà di tutte le violazioni riguardava le informazioni personali dei clienti, che possono includere numeri di identificazione fiscale (ID), e-mail, numeri di telefono e indirizzi di residenza. Seguono i dati sulla proprietà intellettuale (IP), al secondo posto con il 43% delle violazioni.

La protezione dei dati sta diventando sempre più difficile perché i dati di un'organizzazione possono essere utilizzati o archiviati in più formati, in più posizioni, da vari stakeholder all'interno dell'organizzazione. Inoltre, diversi set di dati potrebbero dover seguire regole diverse in base ai livelli di sensibilità o alle normative sulla privacy dei dati pertinenti.

Le politiche e gli strumenti DLP aiutano le organizzazioni a proteggersi monitorando ogni dato in tutta la rete in tutti e tre gli stati: in uso, in movimento e inattivi.

• Dati in uso: si tratta del momento in cui i dati vengono consultati, elaborati, aggiornati o eliminati. Ad esempio, i dati di un'organizzazione utilizzati per analisi o calcoli o un documento di testo modificato da un utente finale.

• Dati in movimento: noti anche come dati in transito, includono i dati che si spostano in una rete, come quelli trasmessi da un server di event streaming o da un'app di messaggistica, o quelli trasferiti da una rete all'altra. I dati in movimento rappresentano il meno sicuro dei tre stati e richiedono un'attenzione particolare.

• Dati inattivi: si tratta di dati archiviati, ad esempio su un'unità cloud, su un disco rigido locale o in un archivio. In genere, i dati inattivi sono più facili da proteggere, ma richiedono comunque la presenza di misure di sicurezza. I dati inattivi possono essere compromessi anche da una semplice azione, come qualcuno che prende una chiavetta USB da una scrivania incustodita.

Idealmente, la soluzione di prevenzione della perdita di dati di un'organizzazione è in grado di monitorare tutti i dati in uso, in movimento e inattivi per l'intera varietà di software in uso. Ad esempio, aggiungendo la protezione DLP per l'archiviazione, le applicazioni di business intelligence (BI), la posta elettronica, il teaming e i sistemi operativi come macOS e Microsoft Windows.

Gli eventi di perdita di dati sono spesso descritti come violazioni dei dati, perdite di dati o esfiltrazione dei dati. Questi termini vengono spesso utilizzati in modo intercambiabile, ma hanno significati distinti.

• Violazione dei dati: una violazione dei dati è un qualsiasi incidente di sicurezza che comporta l'accesso non autorizzato a informazioni riservate o sensibili. Ciò include qualsiasi attacco informatico o altro incidente di sicurezza in cui persone non autorizzate accedono a dati sensibili o informazioni riservate.

• Fuga di dati: si tratta dell'esposizione accidentale di dati sensibili o informazioni riservate al pubblico. La fuga di dati può derivare da una vulnerabilità di sicurezza tecnica o da un errore di sicurezza procedurale e può includere sia trasferimenti elettronici che fisici.

• Esfiltrazione di dati: l'esfiltrazione è l'atto di rubare i dati. Si verifica quando l'autore di un attacco sposta o copia i dati di qualcun altro su un dispositivo sotto il controllo dell'autore dell'attacco stesso. Tutte le esfiltrazioni dei dati richiedono una fuga o una violazione dei dati, ma non tutte le fughe o le violazioni dei dati portano all'esfiltrazione dei dati.

Alcune fughe derivano da semplici errori, mentre altre sono causate da attacchi informatici come gli attacchi distributed denial-of-service (DDoS) e il phishing. Quasi tutte le fughe di dati possono causare gravi disagi per l'azienda.

Alcune delle cause più comuni di perdita di dati includono:

• Errore umano e ingegneria sociale
  
• Minacce interne
• Malware
• Minacce fisiche
• Vulnerabilità della sicurezza
• Furto di smartphone o PC
• Credenziali deboli o rubate

I ladri di dati utilizzano tattiche che ingannano le persone, inducendole a condividere dati che non dovrebbero comunicare. L'ingegneria sociale può essere un attacco astuto quanto un attacco di phishing che convince un dipendente a inviare dati riservati tramite e-mail, oppure subdolo come lasciare una chiavetta USB infetta da malware dove un dipendente potrebbe trovarla e collegarla a un dispositivo fornito dall'organizzazione.

D'altra parte, l'errore umano potrebbe verificarsi semplicemente lasciando uno smartphone alla cassa o eliminando dei file per errore.

Gli utenti autorizzati, compresi dipendenti, consulenti, stakeholder e fornitori, possono mettere a rischio i dati intenzionalmente o per negligenza.

Gli insider malevoli sono spesso motivati da guadagni personali o da risentimento nei confronti dell'azienda. Le minacce interne possono essere involontarie e semplici, come la negligenza di non aggiornare le password, o pericolose come l'esposizione di dati aziendali sensibili utilizzando l'AI generativa (gen AI) pubblicamente disponibile.
 
Gli attacchi da parte di insider malevoli sono comuni e costosi. L'ultimo report Cost of a Data Breach di IBM ha rilevato che, rispetto ad altri vettori, gli attacchi tramite insider malevoli hanno comportato costi più elevati, pari in media a 4,99 milioni di USD.

Si tratta di un software creato appositamente per danneggiare un sistema informatico o i suoi utenti. La forma più nota di malware che minaccia i dati è il ransomware, che crittografa i dati in modo che non sia possibile accedervi e richiede il pagamento di un riscatto per la chiave di decrittazione. A volte, gli aggressori chiedono anche un secondo pagamento per evitare che i dati vengano esfiltrati o condivisi con altri criminali informatici.

A seconda del livello di backup dei dati di un'organizzazione, un malfunzionamento del disco rigido potrebbe essere catastrofico. La causa potrebbe essere un head crash o un danneggiamento del software. Rovesciare una bevanda rinfrescante in ufficio (caffè, tè, soda o acqua) potrebbe causare un cortocircuito nella scheda di sistema di un PC, e non accade quasi mai in un momento opportuno. Un'interruzione dell'alimentazione potrebbe spegnere i sistemi nel momento sbagliato, interrompendo così il salvataggio del lavoro o interrompendo le trasmissioni.

Le vulnerabilità sono punti deboli o difetti della struttura, del codice o dell'implementazione di un'applicazione, dispositivo, rete o altro asset IT che gli hacker possono utilizzare. Includono errori di codifica, configurazioni errate e vulnerabilità zero-day (punti deboli sconosciuti o ancora privi di patch) o software obsoleto, come una versione precedente di MS Windows.

Qualsiasi dispositivo digitale lasciato incustodito, su una scrivania, un sedile dell'auto o dell'autobus, può essere un obiettivo allettante e concedere al ladro l'accesso a una rete e il permesso di accedere ai dati. Anche se il ladro intende vendere l'apparecchiatura solo per denaro, l'organizzazione subisce comunque l'interruzione dell'accesso a quel dispositivo e la sua sostituzione.

Questo include password che gli hacker possono facilmente scoprire, o password o altre credenziali, come ad esempio le carte d'identità, che potrebbero essere rubate da hacker o criminali informatici.

Le politiche DLP possono riguardare diverse questioni, tra cui la classificazione dei dati, i controlli di accesso, gli standard di crittografia, le pratiche di conservazione ed eliminazione dei dati, i protocolli di risposta agli incidenti e controlli tecnici come firewall, sistemi di rilevamento delle intrusioni e software antivirus.

Uno dei principali benefici delle politiche di protezione dei dati è la definizione di standard chiari. I dipendenti sono consapevoli delle proprie responsabilità in materia di protezione delle informazioni sensibili e spesso sono formati sulle pratiche di sicurezza dei dati, come l'identificazione dei tentativi di phishing, la gestione sicura delle informazioni sensibili e la segnalazione tempestiva degli incidenti di sicurezza.

Inoltre, le politiche di protezione dei dati possono migliorare l'efficienza operativa offrendo processi chiari per le attività relative ai dati come le richieste di accesso, il provisioning degli utenti, la segnalazione degli incidenti e i controlli di sicurezza.

Invece di elaborare un’unica policy per tutti i dati, i team addetti alla sicurezza delle informazioni in genere creano policy diverse per i diversi tipi di dati nelle proprie reti. Questo perché tipi di dati diversi spesso devono essere gestiti in modo diverso per diversi casi d'uso, al fine di soddisfare le esigenze di conformità ed evitare di interferire con il comportamento approvato degli utenti finali autorizzati.

Ad esempio, le informazioni di identificazione personale (PII), come i numeri di carta di credito, i numeri di previdenza sociale e gli indirizzi di casa e posta elettronica, sono soggette a normative sulla sicurezza dei dati che stabiliscono come gestirli in modo appropriato.

Tuttavia, l’azienda può agire come desidera sulla propria proprietà intellettuale (IP). Inoltre, le persone che necessitano di accesso alle PII potrebbero non essere le stesse persone che necessitano di accesso all’IP aziendale.

Entrambe le tipologie di dati devono essere protette, ma in modi diversi; pertanto, sono necessarie distinte politiche DLP, personalizzate per ogni tipologia di dati.

Le organizzazioni utilizzano le soluzioni DLP per monitorare le attività di rete, identificare e contrassegnare i dati e applicare le policy DLP per prevenire l'uso improprio o il furto.

Esistono tre tipi principali di soluzioni DLP:

• DLP di rete
• DLP per endpoint
• DLP cloud

Le soluzioni DLP di rete si concentrano sul modo in cui i dati si muovono attraverso, dentro e fuori una rete. Spesso utilizzano l'intelligenza artificiale (AI) e il machine learning (ML) per rilevare flussi di traffico anomali che potrebbero segnalare fughe o perdite di dati. Sebbene gli strumenti DLP di rete siano progettati per monitorare i dati in movimento, molti possono anche offrire visibilità dei dati in uso e inattivi sulla rete.

Gli strumenti DLP per endpoint monitorano l'attività su laptop, server, dispositivi mobili e altri dispositivi che accedono alla rete. Queste soluzioni vengono installate direttamente sui dispositivi che monitorano e possono impedire agli utenti di commettere azioni vietate su tali dispositivi. Alcuni strumenti DLP per endpoint bloccano anche i trasferimenti di dati non approvati tra dispositivi.

Le soluzioni di sicurezza cloud si concentrano sui dati archiviati e a cui si accede dai servizi cloud. Possono scansionare, classificare, monitorare e crittografare i dati in repository cloud. Questi strumenti possono anche aiutare ad applicare policy di controllo degli accessi sui singoli utenti finali e su eventuali servizi cloud che potrebbero accedere ai dati aziendali.

Le organizzazioni possono scegliere di utilizzare un tipo di soluzione o una combinazione di più soluzioni, a seconda delle loro esigenze e della modalità di archiviazione dei dati. L'obiettivo per tutti rimane chiaro: proteggere tutti i dati sensibili.

I team di sicurezza in genere seguono un processo in 4 fasi durante l'intero ciclo di vita dei dati per mettere in pratica le politiche DLP con l'aiuto degli strumenti DLP:

• Identificazione e classificazione dei dati
  
• Monitoraggio dei dati
• Applicazione di protezioni dei dati
• Documentazione e creazione di report sulle attività DLP

Innanzitutto, l'organizzazione cataloga tutti i dati strutturati e non strutturati.

• I dati strutturati sono dati con una forma standardizzata, come ad esempio un numero di carta di credito. Di solito vengono chiaramente etichettati e archiviati in un database.
  
  
• I dati non strutturati sono informazioni in formato libero, come documenti di testo o immagini, che potrebbero non essere ben organizzate in un database centrale. 

I team addetti alla sicurezza utilizzano in genere gli strumenti DLP per eseguire la scansione dell'intera rete alla ricerca di dati ovunque siano archiviati (nel cloud, su dispositivi endpoint fisici, sui dispositivi personali dei dipendenti e altrove).

Successivamente, l'organizzazione classifica questi dati, ordinandoli in gruppi in base al livello di riservatezza e alle caratteristiche condivise. La classificazione dei dati consente all'organizzazione di applicare le policy DLP giuste ai dati giusti.

Ad esempio, alcune organizzazioni possono raggruppare i dati in base al tipo, come i dati finanziari, i dati di marketing o la proprietà intellettuale. Altre organizzazioni potrebbero raggruppare i dati in base alle normative pertinenti, come il Regolamento generale sulla protezione dei dati (GDPR) o il California Consumer Privacy Act (CCPA).

Molte soluzioni DLP possono automatizzare la classificazione dei dati. Questi strumenti utilizzano l'AI, il machine learning e il pattern matching per analizzare dati strutturati e non strutturati allo scopo di determinare di che tipo di dati si tratta, se sono riservati e quali politiche devono essere applicate.

Dopo la classificazione dei dati, il team di sicurezza ne monitora la gestione. Gli strumenti DLP possono utilizzare diverse tecniche per identificare e monitorare i dati riservati in fase di utilizzo. Queste tecniche includono: 

• Analisi dei contenuti, come l'utilizzo dell'AI e del machine learning per analizzare un messaggio di posta elettronica alla ricerca di informazioni riservate.
  
  
• Corrispondenza dei dati, ad esempio il confronto dei contenuti dei file con dati riservati noti.
  
  
• Rilevamento di etichette, tag e altri metadati che identificano esplicitamente un file come riservato. Viene chiamato anche "data fingerprint". 
  
  
• Corrispondenza dei file, in cui uno strumento DLP confronta gli hash, ovvero le identità dei file, dei file protetti.
  
  
• Corrispondenza delle parole chiave, in cui la DLP cerca le parole chiave che si trovano spesso nei dati sensibili.
  
  
• Corrispondenza dei modelli, come la ricerca di dati che seguono un determinato formato. Ad esempio, una carta American Express avrà sempre un numero di 15 cifre e inizierà con "3". Tuttavia, non tutti questi numeri si riferiscono ad AmEx, quindi una soluzione DLP può anche cercare il nome dell'azienda, l'abbreviazione o una data di scadenza nelle vicinanze.

Quando uno strumento DLP rileva dati sensibili, cerca violazioni delle policy, comportamenti anomali degli utenti, vulnerabilità del sistema e altri segni di potenziale perdita di dati, tra cui: 

• Fughe di dati, come un utente che tenta di condividere un file riservato con un individuo esterno all'organizzazione.
  
  
• Utenti non autorizzati che tentano di accedere ai dati critici o provano a eseguire azioni non approvate, come la modifica, l'eliminazione o la copia di un file con informazioni sensibili.
  
  
• Firme malware, traffico proveniente da dispositivi sconosciuti o altri indicatori di attività dannose.

Quando le soluzioni DLP rilevano violazioni delle policy, possono rispondere con interventi di correzione in tempo reale. Ecco alcuni esempi: 

• Crittografare i dati mentre si spostano nella rete.
  
  
• Interrompere l'accesso non autorizzato ai dati.
  
  
• Bloccare i trasferimenti non autorizzati e il traffico dannoso.
  
  
• Avvisare gli utenti quando stanno violando le policy.
  
  
• Segnalare comportamenti sospetti affinché il team addetto alla sicurezza possa esaminarli.
  
  
• Attivare ulteriori richieste di autenticazione prima che gli utenti possano interagire con i dati critici.
  
  
• Imporre l'accesso alle risorse con privilegi minimi, come in un ambiente zero-trust.

Alcuni strumenti DLP aiutano anche nel ripristino dei dati, eseguendo automaticamente il backup delle informazioni in modo che possano essere ripristinate dopo una perdita.

Anche le organizzazioni possono adottare misure più proattive per applicare le politiche DLP. L'efficace gestione delle identità e degli accessi (IAM), incluse le politiche di controllo dell'accesso basato sui ruoli, può limitare l'accesso ai dati alle persone giuste. La formazione dei dipendenti sui requisiti di sicurezza dei dati e sulle procedure migliori può aiutare a prevenire ulteriori perdite e fughe di dati accidentali prima che si verifichino.

Gli strumenti DLP sono in genere dotati di dashboard e funzioni di reporting che i team di sicurezza possono utilizzare per monitorare i dati riservati in tutta la rete. Questa documentazione consente al team di sicurezza di tenere traccia delle prestazioni del programma DLP nel tempo in modo che le politiche e le strategie possano essere modificate in base alle esigenze.

Gli strumenti DLP possono anche aiutare le organizzazioni a rispettare le normative pertinenti, conservando le informazioni relative alle loro attività di sicurezza dei dati. In caso di attacco informatico o audit, l'organizzazione può utilizzare queste informazioni per dimostrare di avere seguito le procedure appropriate di gestione dei dati.

Le strategie DLP sono spesso allineate alle iniziative di conformità. Molte organizzazioni elaborano le proprie politiche DLP appositamente per conformarsi a normative come il GDPR (General Data Protection Regulation), il CCPA (California Consumer Privacy Act), l'HIPAA (Health Insurance Portability and Accountability Act) e il PCI DSS (Payment Card Industry Data Security Standard). 

Normative diverse impongono standard diversi per tipi diversi di dati. Ad esempio, l'HIPAA stabilisce le regole per le informazioni sanitarie personali, mentre il PCI DSS stabilisce come le organizzazioni gestiscono i dati delle carte di pagamento. Un'azienda che raccoglie entrambi i tipi di dati necessiterebbe probabilmente di una policy DLP distinta per ciascun tipo, al fine di soddisfare i requisiti di conformità.

Molte soluzioni DLP includono policy DLP predefinite, allineate ai vari standard di sicurezza e privacy dei dati che le aziende devono soddisfare.

Dall'ascesa dell'AI generativa alle normative emergenti, diversi fattori stanno cambiando il landscape dei dati. A loro volta, le politiche e gli strumenti DLP dovranno evolversi per soddisfare questi cambiamenti. Tra le tendenze più significative nel campo della protezione dei dati figurano:

• Ambienti ibridi e multicloud
• Generative AI
• Regolamentazione in aumento
• Personale mobile e lavoro da remoto
• Shadow IT e shadow data

Molte organizzazioni ora archiviano i dati on-premise e in più cloud, possibilmente anche in più paesi. Queste misure potrebbero aggiungere flessibilità e risparmi sui costi, ma aumentano anche la complessità della protezione di quei dati.

Ad esempio, il report Cost of a Data Breach ha rilevato che il 40% delle violazioni si verifica nelle organizzazioni che archiviano i propri dati in più ambienti.

I modelli linguistici di grandi dimensioni (LLM) sono, per definizione, di grandi dimensioni e consumano enormi quantità di dati che le organizzazioni devono archiviare, tracciare e proteggere da minacce come la prompt injection. Gartner ha previsto che "Entro il 2027, il 17% del totale degli attacchi informatici/fughe di dati coinvolgerà l'AI generativa".¹

Le violazioni dei dati e l'uso improprio dei social media comportano crescenti richieste di regolamentazione da parte di governi e settori, il che può aumentare la complessità dei sistemi e le verifiche di conformità. Recenti sviluppi, come l'EU AI Act e le CCPA draft rules on AI, stanno imponendo alcune delle norme più rigorose finora in materia di privacy e protezione dei dati.

Gestire i dati all'interno di un edificio o di una rete è più semplice che fornire l'accesso al sistema al personale mobile o ai lavoratori da remoto, dove i problemi di comunicazione e di accesso moltiplicano gli sforzi richiesti al personale IT.

Inoltre, i lavoratori da remoto a volte hanno più datori di lavoro o contratti, quindi i "collegamenti incrociati" possono causare più fughe di dati. Gartner prevede che "entro la fine del 2026, la democratizzazione della tecnologia, la digitalizzazione e l'automazione del lavoro aumenteranno il mercato totale disponibile di lavoratori completamente remoti e ibridi al 64% di tutti i dipendenti, rispetto al 52% del 2021".¹

Poiché i dipendenti utilizzano sempre più hardware e software personali sul lavoro, questo shadow IT non gestito crea un grave rischio per le organizzazioni.

I dipendenti potrebbero condividere file di lavoro su un account di storage cloud personale, riunirsi su una piattaforma di videoconferenza non autorizzata o creare una chat di gruppo non ufficiale senza l'approvazione dell'IT. Le versioni personali di Dropbox, Google Drive e Microsoft OneDrive potrebbero creare problemi di sicurezza al team IT.

Le organizzazioni hanno anche a che fare con un aumento degli shadow data, ossia dei dati presenti nella rete aziendale che il dipartimento IT non conosce o gestisce. La proliferazione degli shadow data è uno dei principali fattori che contribuiscono alle violazioni dei dati. Secondo il report Cost of a Data Breach, il 35% delle violazioni coinvolge shadow data.