Costruire un efficace programma di prevenzione della perdita di dati

I dati sono il fulcro di qualsiasi organizzazione oggi e, pertanto, la perdita di dati è una preoccupazione urgente sia per i team IT che per la C-suite. La perdita di dati può avere una vasta gamma di cause, dai guasti degli hard disk alle data leak causate da insider malintenzionati o hacker esterni. Le conseguenze della perdita di dati variano anche ampiamente. Processi aziendali cruciali possono essere facilmente interrotti e avere un documento critico nelle mani di un concorrente può essere devastante. L'organizzazione può anche affrontare multe per non conformità e perdita della fiducia dei clienti. Tutti questi fattori possono danneggiare i ricavi, fino al punto di mettere l'azienda fuori mercato.

Per minimizzare questi rischi, ogni organizzazione deve avere un piano di data loss prevention (DLP) che protegga i dati critici.

Progettare un efficace programma di prevenzione della perdita di dati

Un efficace programma di perdita dei dati richiede un approccio ampio. È importante non cedere alla tentazione di selezionare un unico software e pensare di aver fatto abbastanza. I dati che stai proteggendo sono troppo importanti e le potenziali conseguenze della loro perdita sono troppo gravi. Ecco i passaggi coinvolti nell'istituire un programma DLP veramente efficace.

Passo 1: Ottenere il sostegno esecutivo.

Prima di tutto, ottenere l'approvazione della dirigenza, inclusi i responsabili di tutti i dipartimenti e divisioni che potrebbero essere coinvolti. Il loro sostegno è necessario per il successo del programma.

Passaggio 2: Identificare e classificare i dati critici.

Distinguere i dati critici dai dati non critici è forse il passo più importante nella creazione di un programma di prevenzione della perdita di dati. Ecco alcuni dei tipi di dati che potresti dover identificare:

• Proprietà intellettuale (IP)
• Documenti legali
• Documenti di pianificazione strategica
• Dati di vendita
• Informazioni sui clienti
• Informazioni personali identificabili (PII)
• Dati di marketing e previsioni
• Documentazione delle operazioni
• Registri finanziari
• Dati sulle risorse umane
• Dati governativi
• Password e altri dati IT
• Dati soggetti a qualsiasi normativa di conformità

Contrassegna ogni pezzo di dati critici con una firma digitale che ne indica le classificazioni, in modo che le tue varie soluzioni software possano gestirlo in modo appropriato.

Passaggio 3: Identificare minacce e rischi.

Modellate l'attività intorno a ogni tipo di dato critico, inclusi chi ci accede e cosa ne fa. Identificate qualsiasi minaccia alla sicurezza di ogni pezzo di dato. Quali vulnerabilità sono presenti in ogni punto del ciclo di vita del dato? Chi è responsabile per l'uso sicuro del dato? Hanno gli strumenti di cui hanno bisogno per proteggerlo?

Descrivi cosa potrebbe accadere se i dati andassero persi. Assicurati di considerare sia gli impatti diretti sull'attività commerciale sia le sanzioni per non conformità.

Passaggio 4: Definisci i tuoi obiettivi.

Specificare quali obiettivi si desidera che il programma DLP raggiunga, come ad esempio:

• Identificare i rischi e i modi per affrontarli
• Proteggere i dati in movimento, in uso e a riposo
• Mantenere i dati disponibili all'uso senza aumentare il rischio
• Standardizzazione delle procedure per la sicurezza, la privacy e la conformità

Passaggio 5: Creare procedure passo dopo passo.

Stabilire processi e politiche per l'archiviazione e la gestione dei dati critici, così come piani di risposta dettagliati per fughe di dati e altri incidenti di sicurezza. La seguente tabella offre alcune best practices comprovate per la gestione sicura dei dati critici e sensibili; assicurati di creare procedure per implementare ciascuna di esse.

Fonte: https://www.isaca.org/Journal/archives/2018/Volume-1/Pages/data-loss-prevention-next-steps.aspx

Passaggio 6: Valutare i sistemi attuali e disponibili.

Valutate se l'hardware e il software esistenti possono soddisfare i vostri obiettivi di DLP. Ricordate che la maggior parte dei sistemi di protezione dei dati non è in grado di classificare i dati in modo accurato e coerente. Se i vostri sistemi attuali sono insufficienti, valutate altre soluzioni, tenendo presente sia i vostri obiettivi che l'analisi del rischio/costo. Quali funzionalità avete bisogno e quanto valgono per voi?

Passo 7: Istruite tutti.

Sviluppare la consapevolezza all'interno dell'organizzazione riguardo l'importanza del programma DLP. Includere informazioni su:

• Cosa costituisce dati critici
• Come devono essere gestiti i dati critici in determinate situazioni, inclusi l'uso di email e internet
• Quali leggi l'azienda deve rispettare

Personalizza la formazione in base alle esigenze dei diversi gruppi di dipendenti e ripetila regolarmente. Assicurati di testare periodicamente i tuoi utenti e di fare seguito con le persone che non seguono le procedure corrette.

Vantaggi di un solido programma di prevenzione della perdita di dati

Più efficace è il tuo programma di prevenzione della perdita dei dati, più sicuri saranno i tuoi dati. Inoltre, sarai meglio preparato per le verifiche di conformità, incluse quelle relative alle linee guida del National Institute of Standards and Technology (NIST) per la prevenzione della perdita dei dati per le entità federali. I programmi NIST DLP includono il Cybersecurity Framework, che comprende raccomandazioni che supportano la conformità con altri sistemi normativi, come FISMA e HIPAA.

La pietra angolare della DLP: classificazione automatica dei dati

La parte più importante di qualsiasi programma di prevenzione della perdita di dati è la Netwrix Data Classification. A meno che non si sappia quali tipi di dati si possiedono, non si può proteggere adeguatamente tali dati.

Netwrix Data Classification offre la classificazione dei dati accurata, coerente e flessibile di cui hai bisogno in tutto il tuo ambiente IT on-premises, cloud o ibrido.