Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
10 pratiche migliori essenziali per la tua politica di Data Loss Prevention (DLP)

10 pratiche migliori essenziali per la tua politica di Data Loss Prevention (DLP)

Jul 16, 2019

Una solida politica di Data Loss Prevention (DLP) protegge dati sensibili come il PII, i registri finanziari e la proprietà intellettuale da perdite, uso improprio o furto. Le migliori pratiche includono la classificazione e la crittografia dei dati, il rafforzamento dei sistemi, l'applicazione regolare delle patch, l'automazione dei controlli e il monitoraggio delle anomalie. Ruoli chiari, educazione dei dipendenti e metriche misurabili rafforzano l'applicazione. Minimizzando i dati memorizzati e applicando il principio del privilegio minimo, le organizzazioni riducono il rischio, assicurano la conformità e proteggono la continuità operativa.

Ogni organizzazione, indipendentemente dalle dimensioni o dal settore, necessita di una strategia di prevenzione della perdita dei dati (DLP) per impedire che i dati vengano accessibili o cancellati impropriamente. La strategia dovrebbe concentrarsi sulla protezione di dati preziosi, sensibili o regolamentati, come cartelle cliniche, dati finanziari e proprietà intellettuale. La DLP coinvolge tipicamente sia tecnologie che politiche. Ad esempio, tecniche comuni includono la configurazione delle postazioni di lavoro degli utenti per bloccare l'uso di dispositivi USB e l'adozione di politiche formali riguardo la condivisione di dati confidenziali tramite email.

Contenuti correlati selezionati:

Per una protezione più completa, molte organizzazioni implementano un sistema di prevenzione della perdita di dati, che può aiutarle:

  • Controlla i permessi per accedere agli asset informativi
  • Monitora le attività riuscite e fallite su workstation, server e reti, inclusa l'identificazione di chi sta leggendo o copiando quali file o effettuando screenshot
  • Verifica i flussi di informazioni all'interno e all'esterno dell'organizzazione, inclusi quelli provenienti da postazioni remote tramite laptop e altri dispositivi mobili
  • Controlla il numero di canali di trasferimento delle informazioni (come l'uso di pen drive e app di messaggistica istantanea), inclusa l'intercettazione e il blocco dei flussi di dati in uscita

Creazione di una politica di prevenzione della perdita di dati

Per creare la vostra politica di prevenzione della perdita di dati, è necessario determinare il livello di protezione richiesto. Ad esempio, il vostro obiettivo è individuare i tentativi di accesso non autorizzati o monitorare tutte le azioni degli utenti?

Contenuti correlati selezionati:

Parametri di base

Ecco i parametri di base che dovresti definire:

  • Quali dati organizzativi devono essere protetti. Identificate esattamente quali contenuti necessitano protezione. Esempi includono numeri di previdenza sociale (SSN), informazioni su carte di credito, segreti commerciali, progetti, dati finanziari e informazioni personali identificabili (PII). Assicuratevi di considerare se la vostra organizzazione è soggetta a qualche politica di conformità; in tal caso, dovete proteggere tutti i dati descritti nel modello di politica.
  • Dove risiedono i dati. Per proteggere i dati, è necessario identificare tutti i luoghi in cui possono trovarsi, inclusi drive di rete condivisi, database, archiviazioni cloud, email, app di messaggistica istantanea e dischi rigidi. Se ai dipendenti è consentito utilizzare i propri dispositivi per accedere all'ambiente IT, anche i dati su tali dispositivi dovrebbero essere protetti.
  • Condizioni per accedere a diversi tipi di dati. Diversi tipi di dati richiedono livelli di protezione differenti. Ad esempio, le organizzazioni condividono liberamente alcuni dati con il pubblico, mentre altri dati sono top secret e dovrebbero essere disponibili solo a pochi individui selezionati. Tag digitali e filigrane vi aiuteranno ad assegnare l'accesso appropriato a ciascun pezzo di dati.
  • Azioni da intraprendere in caso di sicurezza delle informazioni Specificare le misure da adottare quando si rileva un'attività sospetta e chi è responsabile per ciascuna di esse. Ricordate che le soluzioni DLP possono spesso rispondere automaticamente, ad esempio bloccando l'operazione o inviando una notifica al servizio di sicurezza.
  • Quali informazioni devono essere archiviate e quando. La vostra politica DLP dovrebbe dettagliare le regole per l'archiviazione dei dati, come il vostro audit trail e le informazioni sugli incidenti di sicurezza IT. Ricordate che dovete proteggere il vostro sistema di archiviazione sia contro attaccanti esterni che minacce interne, come un amministratore di sistema che potrebbe alterare i record nell'archivio.
  • Minaccia La vostra politica dovrebbe considerare possibili scenari di perdita e valutare sia la probabilità del loro verificarsi sia il danno che potrebbe derivarne.

Stati dei dati

Mentre dai forma alla tua politica, ricorda di considerare i dati in tutte le loro forme:

  • Dati inattivi — Informazioni memorizzate in database, repository cloud, computer, laptop, dispositivi mobili e così via
  • Dati in movimento — Dati che vengono trasmessi tra le parti (ad esempio, durante le transazioni di pagamento)
  • Dati in uso — Dati con cui gli utenti stanno attivamente lavorando e che potrebbero modificare

Applica questa conoscenza per aiutare a definire i flussi di dati nella tua organizzazione e i percorsi di trasmissione consentiti per diversi tipi di documenti. Crea regole che specificano le condizioni per l'elaborazione, la modifica, la copia, la stampa e altri usi di questi dati. Assicurati di includere i processi aziendali eseguiti all'interno di applicazioni e programmi che accedono a dati riservati.

Questioni legali e correlate

Assicurati di valutare le potenziali implicazioni legali della tua politica DLP. In particolare, registrare le azioni dei dipendenti su video potrebbe essere considerato una violazione dei loro diritti costituzionali, e falsi allarmi dal tuo sistema DLP possono generare conflitti con dipendenti le cui azioni legittime vengono segnalate come sospette. Le opzioni per affrontare queste preoccupazioni potrebbero includere la modifica degli accordi di lavoro e la formazione dei dipendenti riguardo le politiche di sicurezza.

Contenuti correlati selezionati:

Come funzionano le soluzioni DLP

Una volta che avete creato una politica DLP su carta, potete concentrarvi sulla configurazione delle politiche appropriate nel vostro sistema DLP. Tipicamente, un sistema DLP ha un insieme di regole specifiche che vengono seguite rigorosamente dal programma. Ogni regola consiste in una condizione e l'azione da intraprendere quando tale condizione è soddisfatta. Le regole sono classificate per priorità, e il programma le elabora in quell'ordine. Alcune soluzioni includono tecnologie di machine learning che generano o migliorano le regole.

Ad esempio, il processo potrebbe procedere così:

  • Una regola identifica un incidente (ad esempio, un utente tenta di inviare informazioni sensibili tramite un messaggio istantaneo).
  • La soluzione impedisce l'invio del messaggio.
  • La soluzione genera un rapporto con i dettagli dell'incidente, incluso l'utente coinvolto, e lo invia a un indirizzo email specificato (come all'ufficiale di sicurezza IT) o lo memorizza su una condivisione specifica, come specificato nella vostra politica DLP.

Tecniche di rilevamento

La funzionalità principale di un sistema DLP è rilevare informazioni riservate in un flusso di dati. Diversi sistemi utilizzano metodi differenti, inclusi i seguenti:

  • Creazione di impronte digitali di informazioni protette
  • Applicazione di etichette alle informazioni
  • Alla ricerca di determinate parole chiave ed espressioni regolari spesso presenti in vari tipi di documenti sensibili (come contratti o bilanci)
  • Utilizzando l'analisi del testo

Naturalmente, l'accuratezza è fondamentale. I falsi negativi — il mancato rilevamento di informazioni che sono effettivamente sensibili — possono portare a perdite non rilevate. I falsi positivi — l'allarme su dati che non sono effettivamente sensibili — spreca le risorse del team di sicurezza e porta a conflitti con utenti falsamente accusati di comportamento inappropriato. Pertanto, dovresti cercare una soluzione DLP che minimizzi sia i falsi negativi che i falsi positivi.

Migliori pratiche per la prevenzione della perdita di dati

La prevenzione della perdita di dati (DLP) e le tecniche di auditing dovrebbero essere utilizzate per far rispettare continuamente le politiche di utilizzo dei dati. L'obiettivo è conoscere come i dati vengono effettivamente utilizzati, dove stanno andando o sono andati, e se ciò rispetta gli standard delle politiche di conformità come GDPR o meno. Quando viene rilevato un evento sospetto, dovrebbero essere inviate notifiche in tempo reale agli amministratori affinché possano indagare. I trasgressori dovrebbero affrontare le conseguenze definite nella politica di sicurezza dei dati.

Contenuti correlati selezionati:

Le seguenti migliori pratiche di prevenzione della perdita di dati ti aiuteranno a proteggere i tuoi dati sensibili da minacce interne ed esterne:

1. Identificare e classificare i dati sensibili.

Per proteggere efficacemente i dati, è necessario sapere esattamente quali tipi di dati si possiedono. La tecnologia di data discovery eseguirà la scansione dei tuoi repository di dati e riporterà i risultati, offrendoti visibilità sul contenuto che devi proteggere. I motori di data discovery utilizzano solitamente le regular expressions per le loro ricerche; sono molto flessibili ma piuttosto complicate da creare e perfezionare.

Utilizzare la scoperta dei dati e la tecnologia di data classification aiuta a controllare l'accesso ai dati degli utenti ed evitare di memorizzare dati sensibili in luoghi non sicuri, riducendo così il rischio di data leak e perdita di dati. Tutti i dati critici o sensibili dovrebbero essere chiaramente etichettati con una firma digitale che ne denota la classificazione, così da poterli proteggere in conformità con il loro valore per l'organizzazione. Strumenti di terze parti, come Netwrix Data Classification, possono rendere la scoperta e la classificazione dei dati più facili e accurate.

Man mano che i dati vengono creati, modificati, archiviati o trasmessi, la classificazione può essere aggiornata. Tuttavia, dovrebbero essere implementati dei controlli per impedire agli utenti di falsificare i livelli di classificazione. Ad esempio, solo gli utenti privilegiati dovrebbero essere autorizzati a declassare la classificazione dei dati.

Segui queste linee guida per creare una solida data classification policy. E non dimenticare di eseguire la scoperta e la classificazione dei dati come parte del tuo IT risk assessment processo.

Contenuti correlati selezionati:

Liste di controllo degli accessi

Un elenco di controllo degli accessi (ACL) è un elenco di chi può accedere a quale risorsa e a quale livello. Può essere una parte interna di un sistema operativo o di un'applicazione. Ad esempio, un'applicazione personalizzata potrebbe avere un ACL che elenca quali utenti hanno quali permessi in quel sistema.

Le ACL possono basarsi su whitelist o blacklist. Una whitelist è un elenco di elementi consentiti, come un elenco di siti web che gli utenti possono visitare utilizzando i computer aziendali o un elenco di soluzioni software di terze parti autorizzate ad essere installate sui computer aziendali. Le blacklist sono elenchi di cose che sono proibite, come siti web specifici che i dipendenti non sono autorizzati a visitare o software che è vietato installare sui computer dei clienti.

Le whitelist sono utilizzate più comunemente e vengono configurate a livello del file system. Ad esempio, in Microsoft Windows, è possibile configure NTFS permissions e creare elenchi di controllo di accesso NTFS da questi. È possibile trovare maggiori informazioni su come configurare correttamente i permessi NTFS in questo elenco di NTFS permissions management best practices. Ricorda che i controlli di accesso dovrebbero essere implementati in ogni applicazione che dispone di controllo di accesso basato sui ruoli (RBAC); esempi includono Active Directory groups e la delega.

2. Utilizzare la crittografia dei dati.

Tutti i dati aziendali critici dovrebbero essere criptati quando sono inattivi o in transito. I dispositivi portatili dovrebbero utilizzare soluzioni di disco criptato se devono contenere dati importanti.

La crittografia degli hard disk di computer e laptop aiuterà a evitare la perdita di informazioni critiche anche se gli attacchi ottengono accesso al dispositivo. Il modo più basilare per criptare i dati sui vostri sistemi Windows è la tecnologia Encrypting File System (EFS). Quando un utente autorizzato apre un file criptato, EFS decripta il file in background e fornisce una copia non criptata all'applicazione. Gli utenti autorizzati possono visualizzare o modificare il file, e EFS salva le modifiche in modo trasparente come dati criptati. Ma gli utenti non autorizzati non possono visualizzare il contenuto di un file anche se hanno pieno accesso al dispositivo; riceveranno un errore di “Accesso negato”, prevenendo una violazione dei dati.

Un'altra tecnologia di crittografia di Microsoft è BitLocker. BitLocker integra EFS fornendo un ulteriore strato di protezione per i dati memorizzati sui dispositivi Windows. BitLocker protegge i dispositivi endpoint che vengono persi o rubati dal furto o dalla divulgazione dei dati e offre uno smaltimento sicuro dei dati quando si dismette un dispositivo.

Crittografia basata su hardware

Oltre alla crittografia basata su software, può essere applicata la crittografia basata su hardware. All'interno delle impostazioni di configurazione avanzate presenti in alcuni menu di configurazione del BIOS, è possibile scegliere di abilitare o disabilitare un trusted platform module (TPM), che è un chip in grado di memorizzare chiavi crittografiche, password o certificati. Un TPM può assistere nella generazione di chiavi hash e può proteggere dispositivi diversi dai PC, come gli smartphone. Può generare valori utilizzati con la crittografia dell'intero disco, come BitLocker. Un chip TPM può essere installato sulla scheda madre.

3. Rafforza i tuoi sistemi.

Ogni luogo in cui potrebbero risiedere dati sensibili, anche temporaneamente, dovrebbe essere protetto in base ai tipi di informazioni a cui quel sistema potenzialmente potrebbe avere accesso. Ciò include tutti i sistemi esterni che potrebbero ottenere accesso alla rete interna tramite connessione remota con privilegi significativi, poiché una rete è sicura solo quanto il suo anello più debole. Tuttavia, l'usabilità deve ancora essere presa in considerazione, e deve essere determinato un equilibrio adeguato tra funzionalità e sicurezza.

Baselining del sistema operativo

Il primo passo per proteggere i tuoi sistemi è assicurarsi che la configurazione del sistema operativo sia il più sicura possibile. Di base, la maggior parte dei sistemi operativi include servizi non necessari che offrono agli aggressori ulteriori vie di compromissione. Gli unici programmi e servizi in ascolto che dovrebbero essere abilitati sono quelli essenziali affinché i dipendenti possano svolgere il loro lavoro. Se qualcosa non ha uno scopo aziendale, dovrebbe essere disabilitato. Può essere inoltre vantaggioso creare un'immagine OS di base sicura che venga utilizzata per il tipico impiegato. Se qualcuno necessita di funzionalità aggiuntive, abilitare tali servizi o programmi su base individuale. I sistemi operativi Windows e Linux avranno ciascuno le loro configurazioni di base uniche.

4. Implementare una rigorosa strategia di gestione delle patch.

Assicurarsi che tutti i sistemi operativi e le applicazioni nel vostro ambiente IT siano aggiornati è essenziale per la protezione dei dati e la cybersecurity. Mentre alcune cose, come gli aggiornamenti delle firme per gli strumenti antivirus, possono essere automatizzate, le patch per l'infrastruttura critica devono essere testate approfonditamente per garantire che nessuna funzionalità sia compromessa e che non vengano introdotte vulnerabilità nel sistema.

5. Assegnare i ruoli.

Definire chiaramente il ruolo di ogni individuo coinvolto nella strategia di prevenzione della perdita di dati. Specificare chi possiede quali dati, quali ufficiali di sicurezza IT sono responsabili per quali aspetti delle indagini sugli incidenti di sicurezza e così via.

6. Automatizzare il più possibile.

Più i processi DLP sono automatizzati, più ampiamente sarai in grado di implementarli in tutta l'organizzazione. I processi DLP manuali sono intrinsecamente limitati in termini di portata e non possono essere scalati per soddisfare le esigenze di ambienti IT che non siano i più piccoli.

7. Utilizzare il rilevamento delle anomalie.

Per identificare comportamenti utente anomali, alcune moderne soluzioni DLP integrano semplici analisi statistiche e regole di correlazione con apprendimento automatico e analisi comportamentale. Generare un modello del comportamento normale di ciascun utente e gruppo di utenti consente un rilevamento più accurato delle attività sospette che potrebbero risultare in una perdita di dati.

8. Formare gli stakeholder.

Non è sufficiente implementare una politica DLP. Investire nell'informare gli stakeholder e gli utenti dei dati sulla politica, la sua importanza e ciò che devono fare per proteggere i dati dell'organizzazione.

9. Stabilire le metriche.

Misurate l'efficacia della vostra strategia DLP utilizzando metriche come la percentuale di falsi positivi, il numero di incidenti e il tempo medio di risposta agli incidenti.

10. Non salvare dati non necessari.

Un'organizzazione dovrebbe conservare solo le informazioni essenziali. I dati che non possiedi non possono andare persi.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Jeff Melnick

Direttore dell'Ingegneria dei Sistemi

Jeff è un ex Direttore dell'Ingegneria delle Soluzioni Globali presso Netwrix. È un blogger di Netwrix da lungo tempo, nonché relatore e presentatore. Nel blog di Netwrix, Jeff condivide lifehack, consigli e trucchi che possono migliorare notevolmente la tua esperienza di amministrazione del sistema.

Scopri di più su questo argomento

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza