La prevenzione della perdita di dati (DLP) è la disciplina che protegge i dati sensibili da furti, smarrimenti e usi impropri utilizzando strategie, processi e tecnologie di cybersecurity.
Per molte aziende i dati rappresentano un elemento di differenziazione competitiva.Una tipica rete aziendale contiene una grande quantità di segreti commerciali, registri delle vendite, dati personali dei clienti e altre informazioni sensibili. Gli hacker prendono di mira questi dati, e le organizzazioni spesso faticano a mantenere al sicuro i loro dati critici.
Nel frattempo, centinaia, se non migliaia, di utenti autorizzati accedono ai dati aziendali attraverso lo storage cloud e i repository on-premise ogni giorno. Prevenire la perdita di dati facilitando al contempo gli accessi autorizzati è una priorità per la maggior parte delle organizzazioni.
La prevenzione della perdita di dati (DLP) aiuta le organizzazioni a impedire fughe e perdite di dati monitorandoli in tutta la rete e applicando a essi delle politiche di sicurezza. I team di sicurezza cercano di garantire che solo le persone giuste possano accedere ai dati giusti per i giusti motivi.
Una soluzione DLP ispeziona i pacchetti di dati mentre si spostano attraverso una rete, rilevando l'uso di informazioni riservate come numeri di carte di credito, dati sanitari, record dei clienti e proprietà intellettuale. In questo modo, le organizzazioni possono applicare i giusti controlli di accesso e criteri di utilizzo a ogni tipo di dati.
I dati sono a rischio indipendentemente da dove siano memorizzati, il che rende la protezione delle informazioni una priorità assoluta per ogni organizzazione. Il costo di una violazione può essere elevato. L'ultimo Report Cost of a Data Breach di IBM ha rilevato che il costo medio globale di una violazione dei dati è aumentato del 10% rispetto all'anno precedente, raggiungendo i 4,88 milioni di dollari: è l'aumento più significativo dai tempi della pandemia.
Le informazioni di identificazione personale (PII), in particolare, sono molto preziose per i ladri e spesso rappresentano un obiettivo privilegiato. Il report Cost of a Data Breach ha anche rilevato che quasi la metà di tutte le violazioni riguardava le informazioni personali dei clienti, che possono includere numeri di identificazione fiscale (ID), e-mail, numeri di telefono e indirizzi di casa. Seguono i record di proprietà intellettuale (IP) al secondo posto con (43% delle violazioni).
La protezione dei dati sta diventando sempre più difficile perché i dati di un'organizzazione possono essere utilizzati o archiviati in più formati, in più posizioni, da vari stakeholder all'interno dell'organizzazione. Inoltre, diversi set di dati potrebbero dover seguire regole diverse in base ai livelli di sensibilità o alle normative sulla privacy dei dati pertinenti.
Le politiche e gli strumenti DLP aiutano le organizzazioni a proteggersi monitorando ogni dato in tutta la rete in tutti e tre gli stati: in uso, in movimento e inattivi.
Dati in uso: si tratta del momento in cui i dati vengono consultati, elaborati, aggiornati o eliminati. Includono, ad esempio, i dati di un'organizzazione utilizzati per analisi o calcoli o un documento di testo modificato da un utente finale.
Dati in movimento: noti anche come dati in transito, includono i dati che si spostano in una rete, come quelli trasmessi da un server di event streaming o da un'app di messaggistica, o quelli trasferiti da una rete all'altra. I dati in movimento rappresentano il meno sicuro dei tre stati e richiedono un'attenzione particolare.
Dati inattivi: si tratta di dati memorizzati in uno storage, ad esempio un'unità cloud, un disco rigido locale o un archivio. In genere, i dati inattivi sono più facili da proteggere, ma richiedono comunque l'attuazione di misure di sicurezza. I dati inattivi possono essere compromessi anche tramite un semplice gesto, ad esempio la sottrazione di una chiavetta USB da una scrivania incustodita.
Idealmente, la soluzione di prevenzione della perdita di dati di un'organizzazione è in grado di monitorare tutti i dati in uso, in movimento e inattivi per l'intera varietà di software in uso. Ad esempio, aggiungendo la protezione DLP per l'archiviazione, le applicazioni di business intelligence (BI), la posta elettronica, il teaming e i sistemi operativi come macOS e Microsoft Windows.
Gli eventi di perdita di dati sono spesso descritti come violazioni dei dati, perdite di dati o esfiltrazione dei dati. Questi termini vengono spesso utilizzati in modo intercambiabile, ma hanno significati distinti.
Violazione dei dati: una violazione dei dati è un qualsiasi incidente di sicurezza che comporta l'accesso non autorizzato a informazioni riservate o sensibili. Ciò include qualsiasi attacco informatico o altro incidente di sicurezza in cui soggetti non autorizzati accedono a dati sensibili o informazioni riservate.
Perdita di dati: si tratta dell'esposizione accidentale di dati sensibili o informazioni riservate al pubblico. La perdita di dati può derivare da una vulnerabilità di sicurezza tecnica o da un errore di sicurezza procedurale e può includere sia trasferimenti elettronici che fisici.
Esfiltrazione di dati: l' esfiltrazione è l'atto di rubare i dati. Si verifica quando l'autore di un attacco sposta o copia i dati di qualcun altro su un dispositivo sotto il controllo dell'autore dell'attacco stesso. Tutte le esfiltrazioni di dati richiedono una fuga o una violazione dei dati, ma non tutte le fughe o le violazioni dei dati portano all'esfiltrazione dei dati.
Alcune perdite derivano da semplici errori, mentre altre sono causate da attacchi informatici come gli attacchi DDos (Distributed Denial-of-Service) e il phishing. Quasi tutte le perdite di dati possono causare interruzioni significative dell'attività.
Alcune delle cause più comuni di perdita di dati includono:
I ladri di dati utilizzano tattiche che ingannano le persone inducendole a condividere dati che non dovrebbero comunicare. L' ingegneria sociale può essere un attacco astuto quanto un attacco di phishing che convince un dipendente a inviare dati riservati via e-mail, o subdolo come lasciare una chiavetta USB infetta da malware dove un dipendente potrebbe trovarla e collegarla a un dispositivo fornito dall'organizzazione.
D'altra parte, l'errore umano potrebbe verificarsi semplicemente lasciando uno smartphone alla cassa o eliminando dei file per errore.
Gli utenti autorizzati, compresi i dipendenti, gli appaltatori, gli stakeholder e i fornitori, possono mettere a rischio i dati intenzionalmente o per negligenza.
Gli insider malevoli sono spesso motivati da un tornaconto personale o da un risentimento nei confronti dell'azienda. Le minacce interne possono essere involontarie e semplici come la negligenza di non aggiornare le password, o pericolose come esporre dati aziendali sensibili utilizzando l'AI generativa(gen AI) disponibile al pubblico.
Gli attacchi degli insider malevoli sono comuni e costosi. L'ultimo report Cost of a Data Breach di IBM ha rilevato che, rispetto ad altri vettori, gli attacchi con insider malevoli hanno comportato costi più elevati, pari in media a 4,99 milioni di dollari.
Si tratta di un software creato appositamente per danneggiare un sistema informatico o i suoi utenti. La forma più nota di malware che minaccia i dati è il ransomware, che crittografa i dati in modo che non sia possibile accedervi e richiede il pagamento di un riscatto per la chiave di decrittazione. A volte, gli aggressori chiedono anche un secondo pagamento per evitare che i dati vengano esfiltrati o condivisi con altri criminali informatici.
A seconda del livello di backup dei dati di un'organizzazione, un malfunzionamento del disco rigido potrebbe essere catastrofico. La causa potrebbe essere un head crash o un danneggiamento del software. Rovesciare una bevanda rinfrescante in ufficio (caffè, tè, soda o acqua) potrebbe causare un cortocircuito nella scheda di sistema di un PC, e non accade quasi mai in un momento opportuno. Un'interruzione dell'alimentazione potrebbe spegnere i sistemi nel momento sbagliato, interrompendo così il salvataggio del lavoro o interrompendo le trasmissioni.
Le vulnerabilità sono punti deboli o difetti della struttura, del codice o dell'implementazione di un'applicazione, dispositivo, rete o altro asset IT che gli hacker possono sfruttare. Queste includono errori di programmazione, configurazioni errate e vulnerabilità zero-day (punti deboli sconosciuti o ancora privi di patch) o software obsoleto, come una versione precedente di MS Windows.
Qualsiasi dispositivo digitale lasciato incustodito, su una scrivania, un sedile dell'auto o dell'autobus, può essere un obiettivo allettante e concedere al ladro l'accesso a una rete e il permesso di accedere ai dati. Anche se il ladro intende vendere l'apparecchiatura solo per denaro, l'organizzazione non potrà più accedere a quel dispositivo e dovrà sostituirlo.
Questo include password che gli hacker possono facilmente scoprire, o password o altre credenziali, come ad esempio le carte d'identità, che potrebbero essere rubate da hacker o criminali informatici.
Le politiche DLP possono riguardare diverse questioni, tra cui la classificazione dei dati, i controlli di accesso, gli standard di crittografia, le pratiche di conservazione ed eliminazione dei dati, i protocolli di risposta agli incidenti e controlli tecnici come firewall, sistemi di rilevamento delle intrusioni e software antivirus.
Uno dei principali vantaggi delle politiche di protezione dei dati è la definizione di standard chiari. I dipendenti sono consapevoli delle proprie responsabilità in materia di protezione delle informazioni sensibili e spesso sono formati sulle pratiche di sicurezza dei dati, come l'identificazione dei tentativi di phishing, la gestione sicura delle informazioni sensibili e la segnalazione tempestiva degli incidenti di sicurezza.
Inoltre, le politiche di protezione dei dati possono migliorare l'efficienza operativa offrendo processi chiari per le attività relative ai dati come le richieste di accesso, il provisioning degli utenti, la segnalazione degli incidenti e i controlli di sicurezza.
Invece di elaborare un’unica politica per tutti i dati, i team di sicurezza delle informazioni in genere creano politiche diverse per i diversi tipi di dati nelle proprie reti. Questo perché diversi tipi di dati spesso devono essere gestiti in modo diverso per diversi casi d'uso per soddisfare le esigenze di conformità ed evitare di interferire con il comportamento approvato degli utenti finali autorizzati.
Ad esempio, le informazioni di identificazione personale (PII), come i numeri di carta di credito, i numeri di previdenza sociale e gli indirizzi di casa e posta elettronica, sono soggette a normative sulla sicurezza dei dati che stabiliscono come gestirli in modo appropriato.
Tuttavia, l’azienda potrebbe agire come desidera sulla propria proprietà intellettuale (IP). Inoltre, le persone che necessitano di accesso alle PII potrebbero non essere le stesse persone che necessitano di accesso all’IP aziendale.
Entrambe le tipologie di dati devono essere protette, ma in modi diversi; pertanto, sono necessarie politiche DLP distinte, personalizzate per ogni tipologia di dati.
Le organizzazioni utilizzano le soluzioni DLP per monitorare le attività di rete, identificare e contrassegnare i dati e applicare le politiche DLP per prevenire l'uso improprio o il furto.
Esistono tre tipi principali di soluzioni DLP:
Le soluzioni DLP di rete si concentrano sul modo in cui i dati si muovono attraverso, dentro e fuori una rete. Spesso utilizzano l'intelligenza artificiale (AI) e il machine learning (ML) per rilevare flussi di traffico anomali che potrebbero segnalare fughe o perdite di dati. Sebbene gli strumenti DLP di rete siano progettati per monitorare i dati in movimento, molti possono anche offrire visibilità di dati in uso e inattivi sulla rete.
Gli strumenti DLP per endpoint monitorano l'attività su laptop, server, dispositivi mobili e altri dispositivi che accedono alla rete. Queste soluzioni vengono installate direttamente sui dispositivi che monitorano e possono impedire agli utenti di commettere azioni vietate su tali dispositivi. Alcuni strumenti DLP per endpoint bloccano anche i trasferimenti di dati non approvati tra dispositivi.
Le soluzioni di sicurezza cloud si concentrano sui dati archiviati e a cui si accede dai servizi cloud. Possono scansionare, classificare, monitorare e crittografare i dati nei repository cloud. Questi strumenti possono anche aiutare ad applicare politiche di controllo degli accessi sui singoli utenti finali e su eventuali servizi cloud che potrebbero accedere ai dati aziendali.
Le organizzazioni possono scegliere di utilizzare un tipo di soluzione o una combinazione di più soluzioni, a seconda delle loro esigenze e della modalità di archiviazione dei dati. L'obiettivo per tutti rimane chiaro: proteggere tutti i dati sensibili.
I team di sicurezza in genere seguono un processo in 4 fasi durante l'intero ciclo di vita dei dati per mettere in pratica le politiche DLP con l'aiuto degli strumenti DLP:
Prima di tutto, l'organizzazione cataloga tutti i propri dati strutturati e non strutturati.
I team di sicurezza utilizzano in genere gli strumenti DLP per eseguire la scansione dell'intera rete alla ricerca di dati ovunque siano archiviati: nel cloud, su dispositivi endpoint fisici, sui dispositivi personali dei dipendenti e altrove.
Successivamente, l'organizzazione classifica questi dati, ordinandoli in gruppi in base al livello di riservatezza e alle caratteristiche condivise. La classificazione dei dati consente all'organizzazione di applicare le politiche DLP giuste ai dati giusti.
Ad esempio, alcune organizzazioni possono raggruppare i dati in base al tipo, come i dati finanziari, i dati di marketing o la proprietà intellettuale. Altre organizzazioni potrebbero raggruppare i dati in base alle normative pertinenti, come il Regolamento generale sulla protezione dei dati (GDPR) o il California Consumer Privacy Act (CCPA).
Molte soluzioni DLP possono automatizzare la classificazione dei dati. Questi strumenti utilizzano l'AI, il machine learning e il pattern matching per analizzare dati strutturati e non strutturati allo scopo di determinare di che tipo di dati si tratta, se sono riservati e quali politiche devono essere applicate.
Dopo la classificazione dei dati, il team di sicurezza ne monitora la gestione. Gli strumenti DLP possono utilizzare diverse tecniche per identificare e monitorare i dati riservati in fase di utilizzo. Queste tecniche includono:
Quando uno strumento DLP rileva dati sensibili, cerca violazioni delle politiche, comportamenti anomali degli utenti, vulnerabilità del sistema e altri segni di potenziale perdita di dati, tra cui:
Quando le soluzioni DLP rilevano violazioni delle politiche, possono rispondere con interventi di correzione in tempo reale. Degli esempi sono:
Alcuni strumenti DLP aiutano anche nel recupero dei dati, eseguendo automaticamente il backup delle informazioni in modo che possano essere ripristinate dopo una perdita.
Anche le organizzazioni possono adottare misure più proattive per applicare le politiche DLP. Un'efficace gestione delle identità e degli accessi (IAM), incluse le politiche di controllo degli accessi basati sui ruoli, può limitare l'accesso ai dati alle persone giuste. La formazione dei dipendenti sui requisiti di sicurezza dei dati e sulle best practice da seguire può aiutare a prevenire ulteriori perdite e fughe di dati accidentali prima che si verifichino.
Gli strumenti DLP sono in genere dotati di dashboard e funzioni di reporting che i team di sicurezza possono utilizzare per monitorare i dati riservati in tutta la rete. Questa documentazione consente al team di sicurezza di tenere traccia delle prestazioni del programma DLP nel tempo in modo che le politiche e le strategie possano essere modificate in base alle esigenze.
Gli strumenti DLP possono anche aiutare le organizzazioni a rispettare le normative pertinenti, conservando i registri delle loro attività di sicurezza dei dati. In caso di attacco informatico o verifica, l'organizzazione può utilizzare questi record per dimostrare di aver seguito le procedure appropriate di gestione dati.
Le strategie DLP sono spesso allineate alle iniziative di conformità. Molte organizzazioni elaborano le proprie politiche DLP appositamente per conformarsi a normative come il GDPR (General Data Protection Regulation), il CCPA (California Consumer Privacy Act), l'HIPAA (Health Insurance Portability and Accountability Act) e il PCI DSS (Payment Card Industry Data Security Standard).
Normative diverse impongono standard diversi per tipi diversi di dati. Ad esempio, l'HIPAA stabilisce le regole per le informazioni sanitarie personali, mentre il PCI DSS stabilisce come le organizzazioni gestiscono i dati delle carte di pagamento. Un'azienda che raccoglie entrambi i tipi di dati necessiterebbe probabilmente di una politica DLP distinta per ciascun tipo per soddisfare i requisiti di conformità.
Molte soluzioni DLP includono policy DLP predefinite, allineate ai vari standard di sicurezza e privacy dei dati che le aziende devono soddisfare.
Dall'ascesa dell'AI generativa alle normative emergenti, diversi fattori stanno cambiando il landscape dei dati. A loro volta, le politiche e gli strumenti DLP dovranno evolversi per soddisfare questi cambiamenti. Tra le tendenze più significative nel campo della protezione dei dati figurano:
Molte organizzazioni ora archiviano i dati on-premise e in più cloud, possibilmente anche in più paesi. Queste misure potrebbero aggiungere flessibilità e risparmi sui costi, ma aumentano anche la complessità della protezione di quei dati.
Ad esempio, il report Cost of a Data Breach ha rilevato che il 40% delle violazioni si verifica nelle organizzazioni che archiviano i propri dati in più ambienti.
I modelli linguistici di grandi dimensioni (LLM) sono, per definizione, di grandi dimensioni e consumano enormi quantità di dati che le organizzazioni devono archiviare, tracciare e proteggere da minacce come la prompt injection. Gartner ha previsto che "Entro il 2027, il 17% del totale degli attacchi informatici/fughe di dati coinvolgerà l'AI generativa". 1
Le violazioni dei dati e l'uso improprio dei social media comportano crescenti richieste di regolamentazione da parte di governi e industrie, il che può aumentare la complessità dei sistemi e delle verifiche di conformità. Recenti sviluppi, come l'EU AI Act e il progetto di norme sull'AI del CCPA , stanno imponendo alcune delle norme più rigorose finora in materia di privacy e protezione dei dati.
Gestire i dati all'interno di un edificio o di una rete è più semplice che fornire l'accesso al sistema al personale mobile o a lavoratori da remoto, dove i problemi di comunicazione e di accesso moltiplicano gli sforzi richiesti al personale IT.
Inoltre, i lavoratori da remoto a volte hanno più datori di lavoro o contratti, e la confusione che ne consegue può causare più fughe di dati. Gartner prevede che "entro la fine del 2026, la democratizzazione della tecnologia, la digitalizzazione e l'automazione del lavoro aumenteranno il mercato totale disponibile di lavoratori completamente remoti e ibridi al 64% di tutti i dipendenti, rispetto al 52% del 2021".1
Dal momento che i dipendenti utilizzano sempre più hardware e software personali sul lavoro, questo shadow IT non gestito crea un grave rischio per le organizzazioni.
I dipendenti potrebbero condividere file di lavoro su un account di cloud storage personale, riunirsi su una piattaforma di videoconferenza non autorizzata o creare una chat di gruppo non ufficiale senza l'approvazione dell'IT. Le versioni personali di Dropbox, Google Drive e Microsoft OneDrive potrebbero creare problemi di sicurezza al team IT.
Le organizzazioni hanno anche a che fare con un aumento degli shadow data, ossia dei dati presenti nella rete aziendale che il dipartimento IT non conosce o gestisce. La proliferazione degli shadow data è uno dei principali fattori che contribuiscono alle violazioni dei dati. Secondo il report Cost of a Data Breach, il 35% delle violazioni coinvolge shadow data.
1 Forecast Analysis: Information Security and Risk Management, Worldwide. Gartner. 29 febbraio 2024.
IBM web domains
ibm.com, ibm.org, ibm-zcouncil.com, insights-on-business.com, jazz.net, mobilebusinessinsights.com, promontory.com, proveit.com, ptech.org, s81c.com, securityintelligence.com, skillsbuild.org, softlayer.com, storagecommunity.org, think-exchange.com, thoughtsoncloud.com, alphaevents.webcasts.com, ibm-cloud.github.io, ibmbigdatahub.com, bluemix.net, mybluemix.net, ibm.net, ibmcloud.com, galasa.dev, blueworkslive.com, swiss-quantum.ch, blueworkslive.com, cloudant.com, ibm.ie, ibm.fr, ibm.com.br, ibm.co, ibm.ca, community.watsonanalytics.com, datapower.com, skills.yourlearning.ibm.com, bluewolf.com, carbondesignsystem.com, openliberty.io