Soluzioni Security Management Dynamic Data Classification

Classificazione delle informazioni sensibili e confidenziali

Vulnerability Management - Data Loss PreventionLa perdita accidentale o fraudolenta di informazioni sensibili è una preoccupazione primaria per ogni organizzazione: le informazioni sono infatti diventate l’asset più importante di un’organizzazione, e l’esigenza di proteggerle è la principale priorità per tutti coloro che si occupano di sicurezza informatica.

Siamo passati da un'era in cui i dati si trovavano stabilmente all'interno del perimetro aziendale, e quindi la sicurezza perimetrale era la maggiore garanzia di riservatezza, a un'epoca in cui i dati sono in continuo movimento e attraversano costantemente il perimetro, in ingresso e in uscita.

Negli ultimi tempi le cronache mondiali si sono occupate di alcuni casi famosi, come la sospensione della quotazione di Google, a causa di una mail che riportava dati economici preoccupanti rispetto alle aspettative di Wall Street. Si trattava di una mail partita inavvertitamente, che conteneva dati incompleti, ma ha addirittura provocato la sospensione della quotazione del gigante di Mountain View.

Queste vicende continuano ad aumentare al punto che tutti gli analisti convergono sul fatto che le probabilità che un’organizzazione vada incontro ad eventi di questo tipo, con conseguente perdita di informazioni critiche, è così alta che non ha più senso chiedersi SE l’evento accadrà, ma QUANDO accadrà e QUALE danno comporterà.

Del resto la crescita esponenziale dell'uso aziendale delle mail comporta un aumento dell'esposizione al rischio di perdita di informazioni critiche. Una ricerca ha evidenziato che ogni "impiegato" invia in media 34 mail al giorno, quindi all'incirca 7000 mail all'anno. Almeno il 10% di queste contengono informazioni sensibili, 700 mail in un anno. Basta un destinatario sbagliato in una sola di queste mail che l'organizzazione rischia di subire un danno importante, e questo indipendentemente dal fatto che l'errore possa essere accidentale o intenzionale. Nelle grandi organizzazioni questi numeri assumono proporzioni enormi e quindi anche l'esposizione al rischio cresce vertiginosamente.

Classificare le informazioni

E' quindi necessario proteggere i dati che contengono informazioni sensibili o comunque confidenziali, assicurandosi che a queste possano accedere solo coloro che sono autorizzati a farlo. In questi anni le organizzazioni aziendali hanno cercato di indirizzare questa specifica esigenza dotandosi di una strategia di classificazione delle informazioni (Information Classification Policy - ICP) rivolta a determinare quali dati siano meritevoli di protezione e di conseguenza di una gestione confidenziale soggetta ad un controllo accessi role-based

Una buona strategia di ICP prevede la definizione di alcuni elementi fondamentali: 

  • I livelli di classificazione minimi da adottare, come ad esempio: uso interno; confidenziale; limitato, segreto […]
  • I criteri per identificare e distinguere le fonti di informazioni, attribuendo loro un determinato livelli di classificazione
  • Le caratteristiche che si debbano attribuire alle informazioni a fronte del livello di classificazione, come ad esempio watermark, note, disclaimer […]
  • I criteri per implementare un controllo accessi role-based (RBAC), che definisca chi può accedere a determinati livelli di classificazione.

Purtroppo nella maggior parte dei casi il processo non procede oltre, e questo per l’oggettiva complessità dei processi di “classificazione”, e soprattutto perché le logiche di applicazione di queste regole vengono di fatto delegate alla "manualità" e alla buona volontà degli utenti, sottovalutando alcuni fenomeni:

  • non si può dare per scontata la conoscenza puntuale delle regole di classificazione da parte di tutti gli appartenenti all'organizzazione;
  • l'applicazione "manuale" delle regole da parte degli utenti finali ha un impatto insostenibile sulla loro produttività;
  • non si riduce il livello di esposizione rispetto a comportamenti fraudolenti o banalmente rispetto a dimenticanze o a valutazioni errate;
  • i comportamenti non conformi alle regole non vengono "tracciati", e questo riduce la possibilità di procedere a processi ricostruttivi.

Se si vuole ridurre concretamente il rischio relativo alla perdita di informazioni critiche, non si può lasciare ad un utente la "libertà" di applicare o meno un watermark ad un documento o un disclaimer ad una mail. E' necessaria quindi una capacità dinamica di applicare le policy aziendali sui dati non strutturati che vengono scambiati ogni giorno, come: mail, documenti, fogli di calcolo, presentazioni [...]. Altrimenti si rimane a livello delle "buone intenzioni", con una corretta definizione delle regole di protezione, senza però garantirne l'effettiva applicazione. 

La soluzione RightsWATCH

Per affrontare e risolvere questo problema il Gruppo Daman distribuisce in Italia RightsWATCH, prodotta da WatchFulche consente alle organizzazioni di salvaguardare le informazioni sensibili attraverso la classificazione dinamica dei dati non strutturati, con un approccio data centrico che si applica sia ai dati “in movimento” (data in-motion), e quindi a tutte le mail e ai file che vengono scambiati quotidianamente, sia ai dati preesistenti (legacy).

RightsWATCH è conforme con il modello Multi-Level Security (MLS) che consente alle organizzazioni di definire livelli di classificazione diversificati. Una volta che i livelli di classificazione e i criteri di attribuzione sono stati definiti, RightsWATCH garantisce l'applicazione concreta delle policy ai dati reali, con un approccio dinamico che diventa un supporto indispensabile per l'utente finale e che protegge l'organizzazione sia dalle violazioni accidentali sia da quelle fraudolente. 

RightsWATCH agisce, senza bisogno di ricevere alcun input da parte dell'utente, nel momento stesso in cui le mail vengono preparate e inviate oppure nel momento in cui un documento viene salvato; un'azione automatica che non produce alcun impatto sulla produttività dell'utente. Ove previsto l'utente potrà decidere di modificare i criteri di applicazione delle regole, modificando il livello di classificazione di una mail o di un documento, ma la sua scelta verrà registrata a beneficio di analisi ricostruttive, anche di carattere forense. 

Il motore di applicazione delle regole implementato da RightsWATCH consente di definire criteri di applicazioni dinamici che vanno oltre le tradizionali chiavi di definizione delle regole, ma che utilizzando la logica dei metadati, consentono di classificare i dati sulla base del contenuto, del contesto e dell'esperienza utente.  

RightsWATCH è in grado di applicare le stesse regole anche ai file preesistenti (legacy), consentendo così di proteggere l'intero patrimonio informativo dell'organizzazione.

Soluzione complementare con Microsoft RMS

RightsWATCH complementa ed estende le capacità di Microsoft Rights Management Services (RMS), assicurando che le informazioni sensibili e confidenziali siano identificate, classificate, etichettate e tracciate in modo appropriato. Una volta completato questo processo le organizzazioni avranno la garanzia che queste informazioni potranno essere usate solamente da chi possiede le necessarie autorizzazioni basate sul ruolo, stabilite dalle regole aziendali.

Data Classification

Argomenti correlati
Security Management
RightsWatch