Il mantra della data economy ha coinvolto un po' tutte le imprese. Facendo loro capire, se fosse ancora necessario,
l'importanza dei dati che producono e gestiscono. A sottolineare questa importanza ci si sono messe anche le normative come il GDPR. E purtroppo anche l'attenzione dei cyber criminali, che i dati fanno in modo di sottrarli. Ma
non ci sono solo i data breach a minacciare le informazioni. Esistono
molti modi in cui i dati possono uscire impropriamente da un'azienda. E anche molti modi per cercare di impedirlo. È il campo, piuttosto ampio, della
DLP. O
Data Loss Prevention. Che qui cerchiamo di sintetizzare alcuni punti fondamentali.
Cos'è la DLP?
Sintetizzando molto, la DLP è il complesso dei prodotti e delle procedure che servono a fare quello che indica il termine stesso. Ossia
la prevenzione (prevention) di qualsiasi perdita di dati (data loss). Non si tratta di un campo nuovo, anzi. Di DLP si parla da anni. Essenzialmente da quando i dipendenti delle imprese hanno cominciato ad usare in massa dispositivi e servizi online, anche fuori dal controllo dell'IT aziendale, per gestire informazioni critiche.
La DLP infatti non riguarda solo le perdite di dati dovute ad attacchi e data breach. Ma anche
all'incuria di chi carica informazioni importanti sul proprio Dropbox o su un pendrive USB. E poi magari lo perde. DLP è anche fare in modo che documenti importanti
non vengano sottratti dai dipendenti. O che non vengano allegati, anche per sbaglio, ad email indirizzate a destinatari esterni.
Oggi si fa DLP spesso
senza usare affatto l'espressione Data Loss Prevention. Si parla magari di cyber security in generale. O di endpoint protection. La DLP si è adattata all'evolversi degli scenari IT. Ma è ancora più importante ora che le imprese hanno, volontariamente o meno, dati importanti
distribuiti in cloud, su device mobili, tra sedi remote, persino nelle case dei dipendenti in smart working.
Cosa fa una soluzione di DLP?
Sul mercato esistono
diverse soluzioni di DLP, offerte come piattaforme classiche o come servizi cloud, e non tutte hanno lo stesso raggio d'azione. Il cuore della DLP è
monitorare il traffico dei dati all'interno di un'azienda per evidenziare i casi in cui i dati stessi circolano
impropriamente. Il che significa controllare quali dati e documenti sono consultati da quali endpoint aziendali e da quali risorse e servizi cloud. E quali dati circolano in rete all'interno dell'IT aziendale e da/verso di essa.
Questo utilizzo dei dati e dei documenti viene costantemente confrontato con le
policy di utilizzo corretto definite dall'impresa. In caso di anomalie, una soluzione di DLP attiva le necessarie
procedure di remediation. Che possono andare dalla generazione di allarmi al "blocco" dei dati coinvolti e dei sistemi che li hanno gestiti impropriamente.
Quali tipi di dati sono monitorati dalla DLP?
In teoria qualsiasi tipo di informazione. Poi è chiaro che ci si concentra
sui dati che hanno il maggior valore, che sono più "sensibili" o che hanno la maggiore probabilità di essere sottratti. Storicamente il mercato della Data Loss Prevention nasce per proteggere le informazioni di concreto valore commerciale. Quindi i dati di business, come i contratti. O che rappresentano una
proprietà intellettuale per l'azienda, come i progetti.
Oggi la spinta maggiore alle soluzioni mirate di DLP
viene invece dalla compliance. Norme recenti
come il GDPR europeo di fatto obbligano le aziende, anche piccole, ad essere sicure che la loro gestione delle informazioni sensibili sia ottimale. Il che significa anche
aver messo in atto i sistemi e le misure per evitare che finiscano in mano a chi non avrebbe diritto di consultarli.
Come si monitorano i dati in un sistema di DLP?
Il controllo dei dati avviene di solito con una combinazione di tre elementi di DLP, che possono anche in parte coincidere. Il primo è un
agent che viene installato sugli endpoint. Il suo compito è analizzare gli eventi che avvengono sull'endpoint, nella parte collegata alla gestione dei dati. Attivando le necessarie azioni di controllo. Ad esempio impedendo di inviare via mail un determinato documento. O di salvare su un disco esterno certe informazioni.
Il secondo componente è una
appliance che si installa nella rete ed esamina il suo traffico, operando a diversi livelli del tradizionale stack ISO-OSI. Valuta cioé il traffico a livello dei protocolli di rete veri e propri, ma sa anche individuare i dati scambiati a livello applicativo. Ed esaminare in dettaglio dati strutturati e non strutturati. L'appliance può anche essere virtuale. E se ne possono avere più di una.
Il terzo elemento è un
agent di data discovery. Semplificando, scandaglia tutte le risorse di storage (on-premise, in cloud, primario, secondario, di backup...) ed esamina i dati che contengono. La combinazione dei tre elementi permette di controllare i dati in uso da parte degli endpoint, che transitano in rete e che sono memorizzati da qualche parte. Cioè tutte le possibili "posizioni" dei dati.
Come si identificano i dati da proteggere?
Li si può indicare esplicitamente alla piattaforma di DLP. Ma questo è un approccio ovviamente limitato. Di norma si usano
sistemi automatici che valutano la "criticità" delle informazioni. Ci sono vari approcci per questa analisi, di cui alcuni vanno molto bene per certi tipi di dati e meno bene per altri. Ad esempio, un sistema di DLP può analizzare un documento testuale o un database
alla ricerca di parti che soddisfano regole specifiche o espressioni regolari.
Per file non strutturati si adottano altri approcci. Come la
generazione di hash per identificarli univocamente in base al contenuto. O l'applicazione di un insieme di
regole e dizionari, anche predefiniti per forme specifiche di complance, a file a priori completamente non strutturati. Oggi su punta molto anche su sistemi DLP che usano
il machine learning e l'analisi statistica per identificare le violazioni alla sicurezza delle informazioni.
Attenzione: non si può proteggere quello che non si sa di avere. Quindi una parte importante e preventiva della Data Loss Prevention è costituita da
attività di data discovery. In sostanza, individuare e catalogare tutti i dati gestiti in azienda. O una loro parte.
Ci sono metriche per ottimizzare la DLP?
La metrica
qualitativa "se non si perdono dati, il sistema funziona" non porta molto lontano. Può forse dire che sì, il sistema nel complesso funziona. Ma non è detto davvero. Comunque non dice
se può funzionare meglio. E soprattutto se i controlli interferiscono con il lavoro dell'azienda in generale. Un sistema di DLP va valutato secondo
diversi parametri, ciascuno con sue metriche.
Ciò che conta è soprattutto l'
efficacia delle policy di DLP. Perché in fondo tutto il funzionamento di un sistema si basa su regole, esplicitate o generate automaticamente, che dicono cosa fare se un certo tipo di dati viene usato in un certo modo. Qui le metriche chiave sono due: il numero di falsi positivi per unità di tempo (giorno, settimana, mese...) e il numero delle eccezioni permesse, sempre per unità di tempo. Entrambi idealmente dovrebbero essere zero.
Avere troppi
falsi positivi indica di solito che c'è un problema nella definizione delle regole o nella valutazione della criticità delle informazioni. Se il sistema ci avvisa di una violazione che poi non viene giudicata tale, vuol dire infatti che abbiamo posto regole troppo stringenti o che certi dati giudicati sensibili non lo erano.
Consentire troppe
eccezioni alle regole indica invece che c'è un problema più ampio. La valutazione della criticità delle informazioni e delle violazioni è corretta, ma si ammettono molte eccezioni perché probabilmente non si sono compresi appieno i processi di gestione delle informazioni da parte dei dipendenti. C'è forse una differenza di visione marcata tra chi gestisce la sicurezza e i business manager. E questa differenza genera potenzialmente punti deboli nella gestione delle informazioni.
In un sistema DLP conta anche molto la
capacità di reazione. Che dipende dalle funzioni del singolo sistema, da come lo abbiamo configurato, da come lo abbiamo collegato agli altri elementi di gestione dei dati. La domanda da porsi è:
quanto tempo passa dal momento in cui una funzione di DLP genera un allarme a quando l'azione che lo ha causato viene bloccata? Non è detto infatti che la piattaforma di DLP abbia le funzioni, o sia stata impostata, per bloccare istantaneamente le operazioni che giudica illecite. Ma se la reazione è troppo lenta, il data breach è dietro l'angolo.