DLP – 7 passi per costruire una Data Loss Prevention Strategy

Author:Daniele Cerbarano

24 Novembre 2021

 

 

Data Loss Prevention (DLP) è un termine che, in sicurezza informatica, si riferisce a tecniche e sistemi che tengono sotto controllo i dati detenuti da un soggetto. Una DLP analizza i processi aziendali, ne ricostruisce il contesto e previene la perdita del dato in ogni scenario.

Attuare una DLP, quindi, non significa semplicemente impiegare uno strumento, ma determinare una catena di attività strettamente controllate che hanno impatti tecnici, direzionali e formativi sulla sicurezza delle informazioni.

Ma come fare a costruire una strategia efficiente, senza rischiare di cadere nel tranello dell’iperprotezione?

Di seguito ho deciso di condividere con voi una breve guida che io stesso utilizzo quando devo progettare, in prima analisi, un sistema di gestione per la sicurezza delle informazioni:

 

 

Passo 1: Coinvolgere la direzione

Assicurarsi il supporto della Direzione, compresi i capi di tutti i dipartimenti e le divisioni che potrebbero essere interessati. Nessun sistema è efficiente se la direzione non si impegna in esso (e non mette a disposizione le risorse necessarie).

 

Passo 2: Identificare e classificare i dati critici.

Distinguere i dati critici dai dati non critici. E’ necessario quindi identificare le tipologie di dati di cui si è in possesso (Dati personali comuni, dati particolari, dati afferenti a proprietà intellettuali e industriali ecc.) e definirne le caratteristiche (Riservatezza, disponibilità e integrità).

 

Passo 3: Valutare le minacce, le vulnerabilità e i rischi.

Individuare i rischi per le informazioni, che dipendono dalle specifiche dell’infrastruttura e dal sistema organizzativo. Chi accede al dato e come, è fondamentale per individuare le potenziali minacce alla nostra DLP.

E’ opportuno dettagliare cosa potrebbe succedere se i dati vengono persi, assicurandosi di considerare sia l’impatto diretto sul business che le eventuali sanzioni previste dalla legge.

 

Passo 4: Definire gli obiettivi.

Specificare quali obiettivi si vogliono raggiungere con il programma DLP, come ad esempio:

  • Salvaguardare i dati in movimento, in uso e a riposo;
  • Mantenere i dati disponibili per l’uso senza aumentare il rischio;
  • Standardizzare le procedure per la sicurezza, la privacy e la conformità;
  • Abbattere i livelli di rischio e il numero di vulnerabilità del nostro sistema.

Passo 5: Creare procedure passo dopo passo.

Stabilire processi e politiche per l’archiviazione e la gestione dei dati critici, così come piani di risposta dettagliati per le fughe di dati e altri incidenti di sicurezza.

 

Passo 6: Valutare i sistemi attuali e disponibili.

Considerare se l’hardware e il software esistenti possono soddisfare i vostri obiettivi di DLP. Ricordate che la maggior parte dei sistemi di protezione dei dati non può classificare i dati in modo accurato e coerente. Se i vostri sistemi attuali sono insufficienti, valutate altre soluzioni, tenendo a mente sia i vostri obiettivi che l’analisi del rischio/costo. Di quali funzionalità avete bisogno e quanto valgono per voi?

 

Passo 7: Educare tutti.

Costruire la consapevolezza all’interno dell’organizzazione sull’importanza del programma DLP, includendo informazioni su:

  1. Cosa costituisce un dato critico;
  2. Come i dati critici dovrebbero essere gestiti in certe situazioni, compreso l’uso di e-mail e Internet;
  3.  Quali leggi l’azienda deve rispettare;

Adattare la formazione alle esigenze dei diversi gruppi di dipendenti e ripeterla regolarmente. E’ importante testare periodicamente i vostri utenti e correggere gli individui che non seguono le procedure corrette.

Adattare metodologie e argomenti dei percorsi formativi alle esigenze specifiche, utilizzando i feedback ottenuti dai test periodici delle competenze e dalle vulnerabilità riscontrate.

 

 

In conclusione

Questo approccio, che io stesso utilizzo, deriva dalla metodologia proposta dalla norma ISO 27001. Negli anni, ho potuto osservare quanto costruire un sistema di gestione per la sicurezza delle informazioni significhi in effetti porre in atto una DLP e mantenerla efficiente nel tempo tenendo conto delle modifiche del mondo che ci circonda e adeguando le nostre misure ai tempi che cambiano.

Se ti è stato utile l’articolo, vuoi dare il tuo contributo, vuoi maggiori informazioni o vuoi semplicemente farmi sapere che hai trovato interessante la lettura ti invito a lasciare un commento e a consigliarmi ai tuoi collegamenti.

     

 

 

Related Articles

News

Corsi – Eventi

Normative

Join our Newsletter

Join Our Newsletter

Vuoi rimanere aggiornato sulle ultime news, nuovi eventi e corsi?

Iscriviti adesso

Privacy

4 + 14 =

Follow Us

Tutte le newsNews IsoNormativeEventi