5 fattori per la sicurezza dei dati

Secude mostra di seguito i temi importanti che occuperanno le aziende nei prossimi mesi, fino all'entrata in vigore del nuovo Regolamento generale sulla protezione dei dati (GDPR) dell'UE. Una gestione più precisa dei diritti d'uso per i dipendenti e i partner, la forte domanda di automazione e i meccanismi di scambio di dati tra le applicazioni, che ora integrano il fattore umano con quello macchina-macchina, svolgono un ruolo essenziale. È inoltre importante considerare i sistemi presumibilmente sicuri, ad esempio i sistemi ERP come SAP, perché è proprio qui che si verificano spesso esportazioni incontrollate di dati - dall'uomo e dalla macchina. 

1. conformità - colmare le lacune di conoscenza
La conoscenza dell'uso e dell'archiviazione dei dati aziendali non è più una questione di scelta. Il nuovo GDPR impone a tutte le aziende di avere una visione d'insieme dell'attuale ubicazione, utilizzo e distribuzione dei dati sensibili e personali in tutte le applicazioni aziendali. In futuro, la documentazione e l'attuazione delle misure di protezione dei dati dovranno essere dimostrate anche alle autorità di regolamentazione. Per molte aziende, questo è l'impulso a implementare soluzioni di reporting, auditing e analisi dei log che identificano le minacce o i rischi in base ai modelli di movimento dei dati e al comportamento degli utenti. Particolarmente colpiti sono i sistemi in cui sono memorizzati molti dati rilevanti per la sicurezza, ad esempio i sistemi ERP SAP. Sebbene le informazioni all'interno di questi sistemi siano relativamente ben protette, molte aziende non hanno una visione d'insieme di quanti dati vengono esportati quotidianamente ed elaborati o trasmessi attraverso sistemi e canali meno protetti.

2. soluzioni di protezione dei dati centrate sui dati
I clienti sono alla ricerca di soluzioni che proteggano i loro documenti e le esportazioni di dati dal momento in cui vengono creati, anche prima che lascino le infrastrutture sicure. Cercare di proteggere adeguatamente tutti i canali e i sistemi attraverso i quali i dati rilevanti per la sicurezza potrebbero essere condivisi e ulteriormente elaborati si rivela un compito di Sisifo quasi impossibile. Pertanto, l'approccio consigliato è quello di classificare le informazioni stesse nel momento in cui vengono create, al fine di determinarne la rilevanza per la sicurezza e le autorizzazioni per il loro ulteriore trattamento. "Nel nostro mondo aziendale sempre più connesso in rete, le informazioni non possono più essere conservate semplicemente all'interno di sistemi aziendali sicuri. È quindi molto più sensato proteggere i dati stessi invece di affidarsi alla protezione dei luoghi di archiviazione e dei canali di comunicazione. Le soluzioni di protezione dei dati reattive e sensibili al contesto, come la DLP, svolgono importanti funzioni di base, ma non sono sufficienti", spiega Volker Kyra, amministratore delegato di Secude GmbH.

3. diritti di utilizzo dei dati personali
Chiunque tratti dati personali sarà obbligato, al più tardi dalla nuova direttiva UERegolamento generale sulla protezione dei dati saranno ritenuti responsabili a partire dal 2018. Ciò vale anche per la collaborazione con partner e parti esterne e in particolare per i diritti di utilizzo dei dati personali e il loro trattamento. In questo caso, occorre distinguere tra diritti d'uso limitati e utenti privilegiati, spesso gestiti in modo inadeguato. Per soddisfare i requisiti della nuova normativa e superare gli audit, le aziende devono quindi verificare esattamente chi è autorizzato a visualizzare quali dati, a esportarli dai sistemi e a elaborarli ulteriormente. Un problema è che molti sistemi in cui vengono archiviati dati sensibili consentono solo un'assegnazione molto approssimativa dei diritti. Una persona può avere pieni diritti di utilizzo per determinati dati o non averne affatto. In questo caso sono necessarie soluzioni granulari, in modo che le informazioni possano essere gestite in conformità con la nuova legislazione senza che le restrizioni d'uso ostacolino importanti processi aziendali.

4. fattore umano - automazione
L'automazione delle attività legate alla sicurezza, come il patching dei sistemi, è un argomento molto discusso. Secondo Capgemini, è anche considerato uno dei principali temi di sicurezza dalle aziende, perché fino al 95% di tutte le interruzioni rilevanti per la sicurezza sono dovute a errori umani. Tuttavia, questo non vale solo per l'automazione delle patch di sicurezza, ma anche per la classificazione dei dati. Qui si determina quali informazioni sono particolarmente sensibili e quindi soggette a criteri di sicurezza più severi. Se la classificazione viene lasciata ai dipendenti, non solo si verificano spesso errori di valutazione, ma il processo di classificazione rallenta notevolmente i processi di lavoro.

"La classificazione automatica dei dati contestuali sarà quindi un fattore chiave per la sicurezza dei dati nei prossimi anni", sottolinea Volker Kyra. "Un altro fattore è l'esplosione del numero di applicazioni nel contesto della digitalizzazione, che rende l'automazione altrettanto imperativa".

5. fattore macchina - meccanismi di scambio di dati tra applicazioni
La rapida evoluzione concettuale delle architetture aziendali sta portando a un significativo cambiamento di paradigma in termini di integrazione delle applicazioni e distribuzione dei dati. La capacità di monitorare i flussi di dati tra le applicazioni sta quindi diventando un altro fattore cruciale per la sicurezza dei dati. Ora non solo i dipendenti si scambiano dati sensibili, ma anche le applicazioni stesse (machine-to-machine).

Il problema è che, a causa della complessità dei sistemi odierni, sia che siano cresciuti organicamente sia che siano stati progettati appositamente, è praticamente impossibile per le aziende ottenere il controllo sulla comunicazione logica dei dati in corso. Ciò rappresenta una sfida significativa per i responsabili della sicurezza informatica e ha un forte impatto sulle linee guida di conformità derivanti dagli obblighi normativi. Sono quindi necessarie soluzioni intelligenti per consentire la classificazione e la tracciabilità dei flussi di dati sensibili.

Fonte: Secude