Le informazioni memorizzate elettronicamente sono beni cruciali per qualsiasi organizzazione, ma spesso non sono protette in modo sufficiente come dimostrato dall’alto profilo delle violazioni ai dati riscontrate negli anni recenti. Questa lacuna nel proteggere i dati è costosa, non solamente per il livello “fine” che oggi viene imposto dalle regolamentazioni, ma anche per il danno reputazionale e la perdita del vantaggio competitivo che tipicamente comporta.

  Ma da chi e da cosa dobbiamo proteggerci?

Fino ad oggi la maggior parte delle risorse sono state spese per sviluppare e mantenere sistemi di sicurezza che controllassero e prevenissero azioni malevoli dall’esterno.
Studi svolti negli ultimi anni hanno invece dimostrato che la perdita di informazioni, soprattutto di dati riservati, è da attribuire a fattori interni all’organizzazione, ovvero da persone che a quei dati avevano accesso per la loro attività lavorativa, per poi, volontariamente o meno, distribuirli all’esterno.

L’evoluzione della rete Internet e delle Infrastrutture IT, ha poi reso ancor più difficile il controllo delle informazioni attraverso i comuni sistemi di protezione, pensiamo ad esempio al Cloud Computing ed i nuovi strumenti di comunicazione (applicazioni Web 2.0), al crescente utilizzo di servizi IT a richiesta (Software as a Service) basati su Internet e ciò significa che i dati sono sempre più gestiti da terze parti e che le pratiche di sicurezza dei dati devono adeguarsi a questo scenario.
Anche la varietà di strumenti utilizzati per condividere informazioni sta aumentando, di conseguenza si estende il perimetro della sicurezza e il controllo separato di ciascun mezzo di comunicazione non è più praticabile/efficace. Molti responsabili della sicurezza confermano (e lo ritengono un problema prioritario) che nemmeno con la posta elettronica aziendale (consolidata, diffusa, critica stante l’elevato impiego) ci sia un ragionevole livello di confidenza che i controlli siano attuati.

La problematica può essere affrontata efficacemente con l’applicazione di linee guida note ai responsabili IT che vanno reinterpretate in chiave di architetture IT orientate alla compliance, ovvero un insieme di policy e best practice rafforzate (dove praticabile) con la tecnologia, che minimizzano la probabilità di perdita dei dati e che forniscono delle evidenze (audit trail) per investigare le circostanze quando si verifica una perdita di dati.

Oggi la tecnologia consente alle persone di fruire dei dati tramite l’applicazione di regole di sicurezza, ovvero tramite architetture dei sistemi informativi orientate alla Compliance degli standard di sicurezza più ampiamente diffusi come ISO 27001. Agendo in questo modo, le aziende possono condividere le informazioni in modo sicuro – internamente ed esternamente – assicurando la continuità dei processi di business e una corretta gestione dei dati.

Gli elementi funzionali che caratterizzano principalmente un’architettura orientata alla Compliance in relazione alla sicurezza dei dati riservati sono due e strettamente correlati tra loro:

• un sistema di Identity and Access Management (IAM) per gestire il ciclo di vita dell’utenza nel sistema informativo aziendale; iniziando anzitutto dalla profilazione dell’utenza (ruolo aziendale associato alle credenziali nel sistema informativo);
• un sistema di Data Loss Prevention (DLP) con la capacità di localizzare e classificare i dati congiuntamente alla possibilità di applicare policy di sicurezza per governarne l’impiego sulla base del ruolo e della persona che il sistema di Identity and Access Management consente di gestire.

scarica il focus in pdf