1. DATA LO S S PR E V E N TI O N
GOOD
POINT
Come proteggere i dati sensibili in azienda dopo il caso
GOOD Wikileaks.
POINT
Ing. Francesco Marinuzzi, Ph.D.
GOOD
POINT Webinar organizzato da
Business International
MARINUZZI & ASSOCIATES
TEMPISMO E PROFESSIONALITÀ Versione 1.0 - 2011
5. Casi
12% Dolo
Negligenza
88% Non
dolo Dolo
Per ogni record “perso” si stima un costo
medio di 200 $.
5 DATA LOSS PREVENTION
6. I principali beni pubblicizzati nel black market:
– Informazioni carte di pagamento
– Credenziali per l’accesso a conti correnti
online
Pubblicizzati anche strumenti e servizi del black
market.
6 DATA LOSS PREVENTION
6
11. Nel 2009 l’88% delle perdite sono state per
negligenza e solo il 12% per dolo.
Per ogni record “perso” si stima un costo
medio di 200 $.
Il costo per “postazione” di un sistema DLP va
da 15$ a 30$.
Il ROI di una installazione per 1.000 postazioni
di lavoro è di circa 12 mesi nel caso di un
rischio significativo (50%) di perdita di circa
almeno 200 record/annui.
11 DATA LOSS PREVENTION
12. Localizzare e catalogare le informazioni
sensibili
Monitorare e controllare i movimenti dei dati
in rete e presso i sistemi degli utenti finali
Avere un luogo centralizzato per gestire e
controllare tutte le policy e le attività (DLP
management console).
12 DATA LOSS PREVENTION
14. Ricordare e proteggere tutte le proprie profili,
email, cellulari, accounts che hanno una user e
password con una password molto lunga(*) e
difficilmente pronunciabile ma facilmente
memorizzabile!
Installare e tenere aggiornati i sofware di
protezione per evitare virus e spyware.
(*) ad eccezione dei dispositivi che dopo tre tentativi errati si bloccano per un dato periodo.
14 DATA LOSS PREVENTION
15. Prevenire le perdite dei dati.
Formare ed educare gli utenti nel valore dei dati
sensibili gestiti ed innescare un cambiamento
organizzativo e culturale.
I sistemi DLP a differenza degli altri sistemi di
sicurezza dei sistemi (antivirus, firewall, ecc…)
segnalano esplicitamente ogni evento all’utente
per informarlo sulle “implicazioni per la sicurezza”
della sua azione e riportarlo nel futuro a
comportamenti più “consoni” (educazione on the
job).
15 DATA LOSS PREVENTION
16. Log: dell’evento con tutti i suoi attributi.
Report: a tutte le figure previste dal workflow.
Tag: secondo la tassonomia prevista.
Encrypt: con le chiavi centralizzate date.
Relocate: secondo l’assegnazione prevista.
Classify: secondo la tassonomia prevista.
EDRM: digital right management.
16 DATA LOSS PREVENTION
17. “At rest”: fissi memorizzati su alcuni supporti
visitabili e catalogabili grazie a degli opportuni
“crawlers” o “spider”. Caratterizzati anche dai
“path” di residenza.
“In motion”: in trasmissione sulle reti filtrati da
opportune “network appliance” che effettuano una
“deep packet inspection” ed eventualmente
decriptano e ricriptano il canale ed i singoli
pacchetti.
“In use”: in uso presso i sistemi utente finali dove
vengono installati degli “agenti software” che
controllano tutte le azioni (anche il cut & paste!).
17 DATA LOSS PREVENTION
18. Per le persone:
l'origine razziale ed etnica,
le convinzioni religiose, filosofiche o di altro genere,
le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale,
lo stato di salute e la vita sessuale
Dal Codice sulla protezione dei dati personali (d.lgs. 196/2003), art.4
Per le aziende:
I dati relativi alle possibili acquisizioni o merger con altre aziende e di bilancio,
I dati sulle retribuzioni del personale.
I dati dei clienti
I dati sulla produzione o sui servizi erogati.
Altri dati la cui “diffusione” può impattare significativamente sui processi
aziendali e/o sull’immagine dell’organizzazione.
18 DATA LOSS PREVENTION
19. Dati contenuti nei database aziendali.
Dati dei sistemi di messaggistica.
Dati sui forum, sui blog e sui wiki.
Dati sui “social network”: il problema della
irreversibilità e della proprietà.
Dati temporanei che sono “permanenti”.
Dati sui device “mobili”
Dati di supporto per chi lavora “da casa”…
19 DATA LOSS PREVENTION
22. Creare e gestire le varie policy.
Integrarsi con i servizi di “directory”.
Gestire il “workflow” degli incidenti segnalati.
Effettuare il backup e restore del sistema.
Produrre un articolato e flessibile reporting
per tutte le figure coinvolte nella gestione del
sistema DLP.
22 DATA LOSS PREVENTION
23. 1. Effettuare una tassonomia dei dati e dei flussi fra sistemi e
verso l’utente finale.
2. Identificare gli archivi principali e i “percorsi” principali sia
prima che dopo l’installazione della soluzione DLP.
3. Disegnare il ciclo di vita dei dati.
4. Definire le policy che correlano le azioni con i tipi di dati,
con i ruoli h24, con gli eventi.
5. Implementazione del sistema DLP: in primis solo come
“MONITOR”, poi con gradualità per evitare blocchi ai
processi di business per aree a maggior rischio
coinvolgendo sempre il top management e i responsabili
non IT delle aree coinvolte.
23 DATA LOSS PREVENTION
24. Protezione della proprietà intellettuale.
Miglioramento del rispetto a norme e regolamenti sul
trattamento dei dati.
Minor rischio di perdita dei dati.
Maggiore formazione e consapevolezza negli utenti del
valore dei dati trattati.
Miglioramento dei processi di business che venendo
analizzati sono spesso ridefiniti.
Ottimizzazione delle risorse HW (reti, supporti di memoria,
ecc…)
Maggior controllo nell’esistenza di codici “maliziosi” o
“virali” sulle postazioni utente.
24 DATA LOSS PREVENTION
25. Moduli DLP non adeguati che bloccano i
processi, fanno perder tempo, inducono danni a
clienti e partner, fanno perdere il supporto degli
“stake holder”.
Moduli DLP non dimensionati: che non
controllano tutto il traffico di rete o introducono
gravi rallentamenti.
Eccessivi falsi positivi
Conflitti con software sottostante e creazione di
problemi prestazionali.
25 DATA LOSS PREVENTION
26. Gestione della criptazione esistente: il sistema deve
poter gestire TUTTE le chiavi per poter aprire e
richiudere tutti i files criptati.
Grafica: il sistema non è in grado di capire “il
contenuto” più o meno sensibile di una immagine.
Fornitori e terze parti: devo adottare misure simili.
Device mobili: non sono adeguatamente supportati.
Supporto multilingua e caratteri internazionali: spesso
non presente.
Supporto di vari sistemi operativi: limitato.
Blocco su un fornitore: non sono previste funzioni di
import ed export per supportare il cambio del fornitore.
26 DATA LOSS PREVENTION
27. Nel processo decisionale devono esser coinvolti i manager
NON IT responsabili dei dati trattati.
I professionisti di assicurazione della qualità devono
garantire l’allineamento fra le policy dei DLP e gli obiettivi
aziendali.
Le persone coinvolte devono provenire da: ufficio legale,
ufficio della sicurezza, sicurezza informatica, sistemi ICT,
ufficio del personale, sindacato, manager rappresentativi
delle principali linee di business, top manager.
Per ogni processo di business occorre identificare quali
siano i dati sensibili.
Occorre verificare che l’implementazione tecnologica sia
stata fatta “ad arte”.
27 DATA LOSS PREVENTION
29. Nei sistemi meccanici a media bassa
complessità il valore del tutto è spesso dato
dalla “somma” del valore delle parti.
I sistemi “digitali” hanno spesso una altissima
complessità di vari ordini di grandezza che li
rende simili ai sistemi “biologici” dove il valore
del tutto è dato dall’armonia fra le parti.
29 DATA LOSS PREVENTION
30. Produrre sistemi digitali “universali” particolarizzati
con “strati software (per costruzione reversibili)” è
conveniente: si ammortizza con grande economia di
scala il costo della progettazione dell’hardware, il
resto è …“sabbia” (silicio).
I sistemi “fisici” sono pensati fin dall’inizio
specificatamente per ogni singolo uso.
Il valore nei sistemi “digitali universali” è spesso
dato dalla “inibizione irreversibile” di una
funzionalità piuttosto che dall’aggiunta.
30 DATA LOSS PREVENTION
31. Ipod, itune e il mercato delle “apps” di Apple ha
assunto il valore economico che ha grazie
all’inibizione della funzione di “copia” a livello
irreversibile (hardware).
Paradossalmente “Rompere” meccanicamente una
porta USB di un PC può risultare una misura di
sicurezza più efficiente di tante altre “software”
reversibili per natura centrate nel “controllo della
stessa porta”.
Il lucchetto o l’involucro per il cabinet del PC che
non lo rende accessibile e aggiornabile.
31 DATA LOSS PREVENTION
33. I principi fondano le metodologie e le policy che
vengono attuate con gli opportuni strumenti.
Gli strumenti “leader” di mercato hanno al loro
interno già “embedded” il supporto per le
policy e le metodologie più efficaci per le
minacce ed i rischi più “recenti”.
Risulta dunque organizzativamente critico saper
scegliere lo strumento più adeguato.
33 DATA LOSS PREVENTION
35. I dati “sensibili” sono legislativamente
equivalenti al materiale “esplosivo”. Perché
affidarli a personale “sconosciuto” che lavora
spesso in subappalto per catene di terzisti?
Più i ruoli e le mansioni sono “inferiori” più i
dati devono essere “aggregati” e/o con breve
finestra storica.
Gli amministratori dei sistemi che gestiscono le
credenziali devono sottostare a doveri
specifici.
35 DATA LOSS PREVENTION
36. Registrazione degli accessi
Adozione di sistemi di controllo che consentano la registrazione degli accessi
effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi
elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione
dell'evento che le ha generate e devono essere conservate per un congruo periodo,
non inferiore a sei mesi.
Verifica della attività
Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza
dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di
sicurezza previste dalla legge per i trattamenti di dati personali.
Elenco degli amministratori di sistema e loro
caratteristiche
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico
della sicurezza o in un documento interno (disponibile in caso di accertamenti da
parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco
delle funzioni loro attribuite.
36 DATA LOSS PREVENTION
37. Dovranno infine essere valutate con attenzione
esperienza, capacità, e affidabilità della persona
chiamata a ricoprire il ruolo di amministratore di
sistema, che deve essere in grado di garantire il
pieno rispetto della normativa in materia di
protezione dei dati personali, compreso il profilo
della sicurezza.
Si scopre che quando c’e’ bisogno di tutelare un
bene vitale della persona o dell’organizzazione
sono utili gli albi, ma allora….
37 DATA LOSS PREVENTION
38. Il modello del professionista, dello studio associato e
della società di ingegneria ha reso l’ingegneria
civile italiana leader nel mondo; per il settore ICT
c’e’ il DPR 328/2001 che prevede l’”ingegnere
dell’informazione”.
Utili soprattutto per le attività di terzietà dove la
professionalità e l’indipendenza rappresentano i
valori aggiunti principali: auditing, controllo esterno,
collaudi, verifiche, stime, studi di fattibilità,
documenti di gara o RFP, monitoraggi, scrittura di
metodologie e policy.
38 DATA LOSS PREVENTION
40. La professionalità e l’indipendenza devono
essere predicate “in primis” a livello della
persona “fisica” che poi può anche partecipare o
appartenere ad un’organizzazione superiore con
altri suoi “simili” che può offrire maggiori
garanzie.
Studi ben noti effettuali nel settore hanno
dimostrato che la produttività di un addetto ICT
può variare da 1 a 10 in funzione della
competenza, degli strumenti a disposizione e
della motivazione dello stesso.
40 DATA LOSS PREVENTION
41. Grazie dell’attenzione.
Riferimento: Francesco Marinuzzi
direzione@marinuzzi.it
Tel. 06 4522 18 27 1
www.marinuzzi.it
41 DATA LOSS PREVENTION