Prevenzione della perdita: è questo il significato di loss prevention. Nello specifico con DLP si intende letteralmente la prevenzione della perdita di dati. Nell’era della data economy, imprese, cittadini e PA ne producono e ne gestiscono una ingente quantità, facendo i conti da un lato con le stringenti normative del GDPR e dall’altro con minacce informatiche che spaziano dalle violazioni hacker alla perdita ‘involontaria’.
Per rispondere adeguatamente a qualsiasi forma di Data Breach, la DLP si affida a strategie e strumenti diversi: software, certamente, ma anche figure specialistiche e testi metodologici, come ad esempio il manuale di conservazione.
Cos’è la DLP: definizione e ambito
Nell’ambito della cybersecurity la D L P è un insieme di strumenti, processi e metodologie che hanno come obiettivo generale la sicurezza informatica e la conformità alle normative su uso, archiviazione e conservazione dei dati.
Ogni tool e ogni testo di riferimento per la Data Loss Prevention, a sua volta, è finalizzato a soddisfare esigenze quali:
- Impedire il trasferimento illecito di dati all’esterno dell’organizzazione
- Evitare la perdita accidentale di dati sensibili
- Garantire che l’organizzazione rispetti le normative di conformità
- Comunicare l’eventuale fuoriuscita di dati.
In sintesi, la DLP è il complesso di prodotti, processi e persone che contribuiscono a mettere a terra ciò che è sintetizzato nel termine medesimo: prevenzione (prevention) di qualsiasi perdita di dati (data loss).
Quali sono i principi della norma ISO 27001 e come vengono attuati?
L’aspetto compliance è fondamentale per capire l’ambito di competenza della Data Loss Prevention. È quindi importante conoscere le normative di riferimento.
A cominciare da ISO 27001: principale norma internazionale sulla sicurezza delle informazioni, pubblicata dall’International Organization for Standardization (ISO), in collaborazione con la International Electrotechnical Commission (IEC). Per tale motivo il nome completo è “ISO/IEC 27001 – Tecnologia dell’informazione – Tecniche per la sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti”.
Abbreviato per comodità in ISO 27001 tale standard descrive le pratiche virtuose per l’ISMS, ovvero per il Sistema di Gestione della Sicurezza delle Informazioni (SGSI, acronimo in italiano). L’obiettivo è proteggere la riservatezza, l’integrità e la disponibilità delle informazioni.
Per adeguarsi allo standard ISO 27001 ogni organizzazione è obbligata a mettere in atto misure pratiche e metodologie conformi. In Italia AgID ha adottato le “Linee guida per la formazione, gestione e conservazione dei documenti informatici”, operative dal 1° gennaio 2022, che fanno focus sul processo della conservazione digitale avente come obiettivo la protezione nel tempo dell’integrità, dell’autenticità, dell’inalterabilità e della reperibilità del documento informatico.
Il Manuale di Conservazione come strumento di prevenzione
Come detto sopra, la conservazione digitale è un insieme di tecniche e di attività di sicurezza informatica finalizzate a mantenere integri, inalterabili e disponibili i dati e le informazioni.
Il documento metodologico ad essa relativo è il Manuale della Conservazione Digitale realizzato internamente e firmato dal Responsabile della Conservazione Digitale: la persona che presiede il processo. Uno degli scopi di questo documento è attestare la conformità alla normativa vigente, vigilando e attuando le seguenti politiche:
- illustrare l’organizzazione della struttura incaricata di realizzare il sistema di conservazione;
- definire i soggetti coinvolti e i ruoli svolti;
- descrivere le architetture e le infrastrutture utilizzate, nonché le misure di sicurezza.
Riassumendo, il Manuale di Conservazione Digitale è un vero e proprio vademecum che contiene informazioni sul quadro legislativo e istruzioni pratiche.
Come funziona la DLP?
Senza entrare troppo nel dettaglio tecnico, diamo un cenno a come funziona la gestione dei dati nella DLP. La combinazione di tre ‘momenti di monitoraggio’ permette di controllare i dati durante le varie fasi: in endpoint, in transito in rete e in memoria.
- Agent sugli endpoint: questo alert analizza gli eventi sugli endpoint, ovvero sui dispositivi che si connettono a Internet. La sua azione, ad esempio, può impedire di salvare su un disco esterno alcune informazioni.
- Appliance di rete: tale dispositivo esamina il traffico, analizzando i protocolli di rete e individuando i dati scambiati a livello applicativo.
- Agent di data discovery: un tool di controllo che scandaglia tutte le risorse di archiviazione, come cloud, backup e simili e valuta i dati contenuti.
Strategie di DLP: Data in Transit, in Use e at Rest
Il funzionamento della DLP determina le principali azioni strategiche da implementare per raggiungere un livello di protezione soddisfacente:
- Data in Transit: è la protezione del dato in transito nella rete interna e in Internet. Si tratta di un aspetto sottovalutato, perché spesso si tende a prestare maggiore attenzione al dato memorizzato piuttosto che al percorso da esso compiuto.
- Data in Use: è la messa in sicurezza del dato in corso di modifica o di aggiornamento. Tale tipologia di informazioni presenta criticità rilevanti, perché rappresenta i dati gestiti nella fase di operatività.
- Data at Rest: è il dato memorizzato nei diversi dispositivi, oppure archiviato sui supporti storage. Ha generalmente un valore molto alto e richiede tecniche e strumenti adeguati a garantire la necessaria sicurezza.
Casi d’uso di Data Loss Prevention
I Data Breach e gli attacchi hacker sono soltanto una parte dei problemi che la DLP si trova ad affrontare nel proprio ambito, anche perché lo scenario della cybersecurity si è evoluto: oggi le imprese fanno i conti con un massiccio volume di dati distribuiti (in cloud, su device mobili, nelle case dei collaboratori in smart working).
In un contesto così diversificato ci sono da affrontare, e da prevenire, le conseguenze derivanti dall’incuria e dalla disattenzione. Pensiamo a un dipendente che invia per sbaglio un documento importante via e-mail, oppure che carica informazioni riservate su una pendrive e poi la smarrisce.
Alla luce di tali premesse si deduce che il principale caso d’uso delle tecniche di Data Loss Prevention è finalizzato a evitare perdita dei dati, accidentale oppure intenzionale (dovuta a un’azione malevola).
Affinché la protezione sia efficace, le tecniche DLP devono identificare i dati da attenzionare.
Come si identificano i dati da proteggere?
Per proteggere i dati bisogna prima conoscerli, motivo per cui una parte rilevante della Data Loss Prevention è l’attività di data discovery che consiste nell’individuare e nel catalogare i dati gestiti.
Nella fase iniziale, la DLP faceva focus soprattutto sulla protezione di dati dal valore commerciale, ovvero quelli più rilevanti lato business.
Con il tempo la spinta della compliance ha ampliato il raggio di azione e le norme del GDPR europeo obbligano tutte le organizzazioni, comprese le piccole aziende, alla competenza e alla responsabilità per la gestione ottimale dei dati, soprattutto quelli personali e sensibili.
Classificazione dei dati personali e dei dati sensibili
Per quanto ogni tipo di informazione o di documento possa essere considerato un dato, non per questo tutti i dati sono uguali.
Ci aiuta nella distinzione l’articolo 4 del GDPR che definisce il dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile, direttamente o indirettamente”, come ad esempio: nome, luogo di residenza, indirizzo di posta elettronica ed altri elementi caratterizzanti l’identità.
Una sottospecie del dato personale è il cosiddetto dato sensibile. L’articolo 9 del Regolamento (UE) 2016/679 include in tale categoria informazioni su origini etniche, credo religioso, opinioni politiche, stato di salute, vita e orientamento sessuale, nonché dati genetici e biometrici.
Principali minacce
In un’economia sempre più basata sui dati, è ovvio che questi ultimi diventino il bersaglio più ambito per la criminalità informatica. Per danaro, ovviamente: la monetizzazione tramite vendita illecita, oppure con il ricatto è il movente più comune e solo nel 10% dei casi si parla di spionaggio.
Le pratiche di cybersecurity oggigiorno devono fare i conti con pericoli di vario livello che prendono di mira non soltanto grandi imprese, organismi statali e istituti bancari, ma anche piccoli e-commerce e singoli utenti.
Le minacce possono essere esterne con attacchi intenzionali da parte di criminali informatici, ma anche interne con rilasci non intenzionali e fughe di dati.
Preso atto di ciò, chi gestisce per qualsiasi motivo dati personali è chiamato a prendere le necessarie precauzioni commisurate al valore dei medesimi.
Come agire in caso di Data Breach?
Documentazione e comunicazione sono le parole d’ordine in caso di violazione dei dati personali. Ma cosa si intende per violazione in ambito cybersecurity? Questo è un breve elenco delle azioni che rientrano in suddetta casistica:
- Accesso non autorizzato o perdita d’accesso
- Copia o modifica non autorizzata
- Cancellazione dei dati
- Divulgazione non intenzionale
Cosa fare se si verifica una cosa del genere? Lo spiegano gli articoli 33 e 34 del GDPR: il primo relativo alla gestione interna e alla gestione dei rapporti con il Garante; il secondo sui rapporti con le persone delle quali possediamo i dati personali.
Sintetizzando al massimo, gli articoli 33 e 34 del GDPR impongono la registrazione di qualsiasi evento di Data Breach che va notificato al Garante se rientra in specifici casi di violazione, come quelli che comportano un rischio per i diritti delle persone.
Per quanto riguarda invece la documentazione essa deve essere puntuale e dettagliata per ogni criticità, obbligando le aziende e le organizzazioni alla propria accountability: ovvero alla responsabilità. Un concetto che merito un approfondimento.
Il concetto di accountability nel Manuale di Conservazione
Come si attesta la propria accountability, ovvero come può l’azienda dimostrare di essere stata consapevole e responsabile? Semplicemente fornendo le prove documentali del processo.
Per essere accountable (responsabile), chi è titolare del trattamento deve documentare qualsiasi violazione – circostanze, conseguenze e provvedimenti – al fine di dare modo al Garante di verificare il rispetto della normativa. Ed è esattamente quello che fa, ad esempio, il Responsabile della Conservazione identificato nel Manuale di Conservazione Digitale.
Perché, giova ricordarlo, se si omette la registrazione e l’eventuale comunicazione oltre al danno provocato dalla violazione si farà i conti anche con una sanzione amministrativa.
Considerazioni finali
Al termine di questa guida, la DLP emerge come un intero ecosistema all’interno del quale ogni azienda identifica persone, strumenti tecnici e documentali e attività per monitorare il traffico dei dati.
L’uso dei dati è costantemente confrontato con le policy dell’organizzazione sulla base delle normative vigenti e in caso di anomalie la DLP attiva il necessario remedy.
Tra i documenti che agiscono in funzione della Data Loss Prevention abbiamo più volte menzionato il Manuale di Conservazione Digitale: obbligatorio ai fini della conservazione digitale. Tale documento per essere redatto correttamente e aggiornato periodicamente richiede una formazione specialistica e competenze specifiche.
Motivo per il quale le aziende nominano il Responsabile della Conservazione e si avvalgono del supporto del ‘Conservatore’, un requisito normativo che identifica il soggetto abilitato ad erogare servizi di conservazione digitale della PA.
InfoCert dal 2014 è tra le prime aziende italiane accreditate come Conservatore da AgID e da febbraio 2022 è iscritta nel marketplace AgID dei servizi di conservazione. Un riconoscimento che attesta l’impegno di InfoCert nello sviluppo di soluzioni tecnologiche innovative, come LegalDoc, finalizzate a preservare nel tempo il valore legale delle informazioni digitali.