La Data Loss Prevention contro la perdita di dati riservati non è solo una questione tecnica, ma è efficace solo coinvolgendo i collaboratori. Questo è l’approccio migliore.
Testo: Andreas Heer, 18 giugno 2019, aggiornato il 13.02.2024
Basta un attimo per perdere dei dati: a causa della fretta, si seleziona il destinatario dell’e-mail sbagliato ed ecco che la presentazione di un prodotto altamente confidenziale arriva a contatti non autorizzati. Altro caso è quello dei dati aziendali nello spazio di archiviazione cloud condivisi pubblicamente con tutto il mondo esterno. Per non parlare dei criminali informatici, che ricorrono al social engineering e al phishing per ottenere i dati di accesso alle informazioni aziendali.
La protezione dei dati riservati delle aziende è una questione di cruciale importanza e al tempo stesso molto sfaccettata, come mostrano questi esempi. Le espressioni «Data Loss Prevention» (DLP) oppure «Data Leakage Prevention» fanno riferimento a tutte quelle misure volte a impedire una possibile perdita delle informazioni aziendali. In tal senso, assumono un ruolo centrale i requisiti a livello di conformità sulla base dei regolamenti e delle leggi sulla protezione dei dati come la nuova LPD svizzera. Un’eventuale mancata osservanza di suddette regole, infatti, può comportare multe molto pesanti. Allo stesso tempo, anche la reputazione riveste un ruolo altrettanto cruciale al fine di sviluppare una fiducia da parte dei clienti. «Giustamente i clienti si aspettano che le aziende trattino i dati loro affidati con la massima sicurezza e affidabilità», afferma Raffael Peluso, Head of Product Management Cybersecurity presso Swisscom. Un’eventuale perdita di dati può quindi portare anche a una perdita di clienti.
E, allo stesso tempo, sulla scia della digitalizzazione si assiste anche a un aumento dell’importanza che i dati rivestono per le aziende. È inoltre fondamentale continuare a proteggere da occhi esterni anche la proprietà intellettuale salvata in modalità digitale, come ad esempio l’eventuale roadmap dei prodotti, che potrebbe avvantaggiare in modo considerevole la concorrenza qualora arrivasse nelle sue mani. Anche in questo caso si rende quindi necessario ricorrere a misure di DLP.
Gli esempi sopra riportati, relativi all’invio di e-mail a destinatari errati o alla divulgazione incauta dei dati, mostrano la necessità di includere nella DLP un mix di provvedimenti tecnici, processi e misure di sensibilizzazione dei collaboratori. Forse l’errato invio della presentazione di un prodotto si poteva evitare con un accorgimento tecnico. I collaboratori che hanno ricevuto una formazione sulla gestione dei dati confidenziali sanno tuttavia che tali documenti non vanno inviati per e-mail o condivisi in modo non protetto.
Lo studio «Costi derivanti da un’eventuale violazione dei dati» di IBM dimostra come la loro sensibilizzazione sia necessaria a completamento delle misure tecniche: nel 2023, il 60% di tutti i furti di dati a livello globale è dipeso anche da un comportamento umano. Quando i collaboratori sensibilizzati mettono in pratica nel quotidiano le conoscenze acquisite, questa «security awareness» riduce al minimo i rischi. In altre parole: la consapevolezza rappresenta un’eccellente arma di difesa.
Per la formazione dei collaboratori vi sono diverse soluzioni con diversi gradi di impegno. «Secondo la mia personale esperienza, l’e-learning rappresenta una soluzione adatta, ad esempio sotto forma di video tutorial seguiti da alcune domande di verifica o con una formazione sul phishing», afferma Raffael Peluso. «Inoltre, è importante che la formazione sia accompagnata da ulteriori campagne informative, ad esempio su intranet».
Tali misure di security awareness aiutano a comprendere come gestire i dati riservati e quali direttive, processi e misure di sicurezza tecnica sono necessari.
Tuttavia, la sicurezza non potrà mai essere al 100%. Un eventuale collaboratore determinato a portare avanti i suoi fini criminali troverà sempre un modo per aggirare le misure di protezione. Raffael Peluso non si fa illusioni al riguardo: «Come qualsiasi altra misura di sicurezza, anche la Data Loss Prevention rappresenta una soluzione che bilancia costi e possibili rischi».
Secondo Peluso, la chiave giusta per scongiurare efficacemente una possibile perdita di dati è la sua modalità di attuazione: «Le misure applicate non devono risultare di ostacolo al business, in quanto non verrebbero accettate dai collaboratori, che troverebbero quindi delle strade creative per aggirare la DLP».
Maggiori informazioni