DATA LO S S PR E V E N TI O N GOOD POINTCome proteggere i dati sensibili in azienda dopo il caso GOOD                 Wiki...
2   DATA LOSS PREVENTION
3   DATA LOSS PREVENTION
4   DATA LOSS PREVENTION
Casi          12% Dolo                                Negligenza                     88% Non                       dolo   ...
 I principali beni pubblicizzati nel black market:   – Informazioni carte di pagamento   – Credenziali per l’accesso a co...
7   DATA LOSS PREVENTION
8   DATA LOSS PREVENTION
DATA LO S S PR E V E N TI O N GOOD POINT GOOD POINT GOOD POINTMARINUZZI & ASSOCIATES TEMPISMO E PROFESSIONALITÀ
10   DATA LOSS PREVENTION
 Nel 2009 l’88% delle perdite sono state per  negligenza e solo il 12% per dolo. Per ogni record “perso” si stima un cos...
 Localizzare e catalogare le informazioni  sensibili Monitorare e controllare i movimenti dei dati  in rete e presso i s...
13   DATA LOSS PREVENTION
 Ricordare e proteggere tutte le proprie profili,  email, cellulari, accounts che hanno una user e  password con una pass...
 Prevenire le perdite dei dati. Formare ed educare gli utenti nel valore dei dati  sensibili gestiti ed innescare un cam...
   Log: dell’evento con tutti i suoi attributi.   Report: a tutte le figure previste dal workflow.   Tag: secondo la ta...
 “At rest”: fissi memorizzati su alcuni supporti  visitabili e catalogabili grazie a degli opportuni  “crawlers” o “spide...
 Per le persone:  lorigine razziale ed etnica,  le convinzioni religiose, filosofiche o di altro genere,  le opinioni pol...
Dati contenuti nei database aziendali.Dati dei sistemi di messaggistica.Dati sui forum, sui blog e sui wiki.Dati sui “soci...
20   DATA LOSS PREVENTION
21   DATA LOSS PREVENTION
   Creare e gestire le varie policy.   Integrarsi con i servizi di “directory”.   Gestire il “workflow” degli incidenti...
1.   Effettuare una tassonomia dei dati e dei flussi fra sistemi e     verso l’utente finale.2.   Identificare gli archivi...
 Protezione della proprietà intellettuale. Miglioramento del rispetto a norme e regolamenti sul  trattamento dei dati. ...
 Moduli DLP non adeguati che bloccano i  processi, fanno perder tempo, inducono danni a  clienti e partner, fanno perdere...
 Gestione della criptazione esistente: il sistema deve  poter gestire TUTTE le chiavi per poter aprire e  richiudere tutt...
 Nel processo decisionale devono esser coinvolti i manager  NON IT responsabili dei dati trattati. I professionisti di a...
28   DATA LOSS PREVENTION
 Nei sistemi meccanici a media bassa  complessità il valore del tutto è spesso dato  dalla “somma” del valore delle parti...
 Produrre sistemi digitali “universali” particolarizzati  con “strati software (per costruzione reversibili)” è  convenie...
 Ipod, itune e il mercato delle “apps” di Apple ha  assunto il valore economico che ha grazie  all’inibizione della funzi...
32   DATA LOSS PREVENTION
I principi fondano le metodologie e le policy che    vengono attuate con gli opportuni strumenti.Gli strumenti “leader” di...
Privacy vs sicurezza      34       DATA LOSS PREVENTION
I dati “sensibili” sono legislativamente    equivalenti al materiale “esplosivo”. Perché  affidarli a personale “sconosciu...
 Registrazione degli accessi    Adozione di sistemi di controllo che consentano la registrazione degli accessi    effettu...
 Dovranno infine essere valutate con attenzione  esperienza, capacità, e affidabilità della persona  chiamata a ricoprire...
Il modello del professionista, dello studio associato e    della società di ingegneria ha reso l’ingegneria    civile ital...
39   DATA LOSS PREVENTION
 La professionalità e l’indipendenza devono  essere predicate “in primis” a livello della  persona “fisica” che poi può a...
Grazie dell’attenzione.              Riferimento:    Francesco Marinuzzi                              direzione@marinuzzi....
Upcoming SlideShare
Loading in...5
×

Webinar sulla Prevenzione della perdita di dati

161

Published on

Materiale del seminario on line sulla prevenzione della perdita dei dati

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
161
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Webinar sulla Prevenzione della perdita di dati

  1. 1. DATA LO S S PR E V E N TI O N GOOD POINTCome proteggere i dati sensibili in azienda dopo il caso GOOD Wikileaks. POINT Ing. Francesco Marinuzzi, Ph.D. GOOD POINT Webinar organizzato da Business InternationalMARINUZZI & ASSOCIATES TEMPISMO E PROFESSIONALITÀ Versione 1.0 - 2011
  2. 2. 2 DATA LOSS PREVENTION
  3. 3. 3 DATA LOSS PREVENTION
  4. 4. 4 DATA LOSS PREVENTION
  5. 5. Casi 12% Dolo Negligenza 88% Non dolo DoloPer ogni record “perso” si stima un costo medio di 200 $. 5 DATA LOSS PREVENTION
  6. 6.  I principali beni pubblicizzati nel black market: – Informazioni carte di pagamento – Credenziali per l’accesso a conti correnti online Pubblicizzati anche strumenti e servizi del black market. 6 DATA LOSS PREVENTION 6
  7. 7. 7 DATA LOSS PREVENTION
  8. 8. 8 DATA LOSS PREVENTION
  9. 9. DATA LO S S PR E V E N TI O N GOOD POINT GOOD POINT GOOD POINTMARINUZZI & ASSOCIATES TEMPISMO E PROFESSIONALITÀ
  10. 10. 10 DATA LOSS PREVENTION
  11. 11.  Nel 2009 l’88% delle perdite sono state per negligenza e solo il 12% per dolo. Per ogni record “perso” si stima un costo medio di 200 $. Il costo per “postazione” di un sistema DLP va da 15$ a 30$. Il ROI di una installazione per 1.000 postazioni di lavoro è di circa 12 mesi nel caso di un rischio significativo (50%) di perdita di circa almeno 200 record/annui. 11 DATA LOSS PREVENTION
  12. 12.  Localizzare e catalogare le informazioni sensibili Monitorare e controllare i movimenti dei dati in rete e presso i sistemi degli utenti finali Avere un luogo centralizzato per gestire e controllare tutte le policy e le attività (DLP management console). 12 DATA LOSS PREVENTION
  13. 13. 13 DATA LOSS PREVENTION
  14. 14.  Ricordare e proteggere tutte le proprie profili, email, cellulari, accounts che hanno una user e password con una password molto lunga(*) e difficilmente pronunciabile ma facilmente memorizzabile! Installare e tenere aggiornati i sofware di protezione per evitare virus e spyware.(*) ad eccezione dei dispositivi che dopo tre tentativi errati si bloccano per un dato periodo. 14 DATA LOSS PREVENTION
  15. 15.  Prevenire le perdite dei dati. Formare ed educare gli utenti nel valore dei dati sensibili gestiti ed innescare un cambiamento organizzativo e culturale.I sistemi DLP a differenza degli altri sistemi di sicurezza dei sistemi (antivirus, firewall, ecc…) segnalano esplicitamente ogni evento all’utente per informarlo sulle “implicazioni per la sicurezza” della sua azione e riportarlo nel futuro a comportamenti più “consoni” (educazione on the job). 15 DATA LOSS PREVENTION
  16. 16.  Log: dell’evento con tutti i suoi attributi. Report: a tutte le figure previste dal workflow. Tag: secondo la tassonomia prevista. Encrypt: con le chiavi centralizzate date. Relocate: secondo l’assegnazione prevista. Classify: secondo la tassonomia prevista. EDRM: digital right management. 16 DATA LOSS PREVENTION
  17. 17.  “At rest”: fissi memorizzati su alcuni supporti visitabili e catalogabili grazie a degli opportuni “crawlers” o “spider”. Caratterizzati anche dai “path” di residenza. “In motion”: in trasmissione sulle reti filtrati da opportune “network appliance” che effettuano una “deep packet inspection” ed eventualmente decriptano e ricriptano il canale ed i singoli pacchetti. “In use”: in uso presso i sistemi utente finali dove vengono installati degli “agenti software” che controllano tutte le azioni (anche il cut & paste!). 17 DATA LOSS PREVENTION
  18. 18.  Per le persone: lorigine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, ladesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale Dal Codice sulla protezione dei dati personali (d.lgs. 196/2003), art.4 Per le aziende: I dati relativi alle possibili acquisizioni o merger con altre aziende e di bilancio, I dati sulle retribuzioni del personale. I dati dei clienti I dati sulla produzione o sui servizi erogati. Altri dati la cui “diffusione” può impattare significativamente sui processi aziendali e/o sull’immagine dell’organizzazione. 18 DATA LOSS PREVENTION
  19. 19. Dati contenuti nei database aziendali.Dati dei sistemi di messaggistica.Dati sui forum, sui blog e sui wiki.Dati sui “social network”: il problema della irreversibilità e della proprietà.Dati temporanei che sono “permanenti”.Dati sui device “mobili”Dati di supporto per chi lavora “da casa”… 19 DATA LOSS PREVENTION
  20. 20. 20 DATA LOSS PREVENTION
  21. 21. 21 DATA LOSS PREVENTION
  22. 22.  Creare e gestire le varie policy. Integrarsi con i servizi di “directory”. Gestire il “workflow” degli incidenti segnalati. Effettuare il backup e restore del sistema. Produrre un articolato e flessibile reporting per tutte le figure coinvolte nella gestione del sistema DLP. 22 DATA LOSS PREVENTION
  23. 23. 1. Effettuare una tassonomia dei dati e dei flussi fra sistemi e verso l’utente finale.2. Identificare gli archivi principali e i “percorsi” principali sia prima che dopo l’installazione della soluzione DLP.3. Disegnare il ciclo di vita dei dati.4. Definire le policy che correlano le azioni con i tipi di dati, con i ruoli h24, con gli eventi.5. Implementazione del sistema DLP: in primis solo come “MONITOR”, poi con gradualità per evitare blocchi ai processi di business per aree a maggior rischio coinvolgendo sempre il top management e i responsabili non IT delle aree coinvolte. 23 DATA LOSS PREVENTION
  24. 24.  Protezione della proprietà intellettuale. Miglioramento del rispetto a norme e regolamenti sul trattamento dei dati. Minor rischio di perdita dei dati. Maggiore formazione e consapevolezza negli utenti del valore dei dati trattati. Miglioramento dei processi di business che venendo analizzati sono spesso ridefiniti. Ottimizzazione delle risorse HW (reti, supporti di memoria, ecc…) Maggior controllo nell’esistenza di codici “maliziosi” o “virali” sulle postazioni utente. 24 DATA LOSS PREVENTION
  25. 25.  Moduli DLP non adeguati che bloccano i processi, fanno perder tempo, inducono danni a clienti e partner, fanno perdere il supporto degli “stake holder”. Moduli DLP non dimensionati: che non controllano tutto il traffico di rete o introducono gravi rallentamenti. Eccessivi falsi positivi Conflitti con software sottostante e creazione di problemi prestazionali. 25 DATA LOSS PREVENTION
  26. 26.  Gestione della criptazione esistente: il sistema deve poter gestire TUTTE le chiavi per poter aprire e richiudere tutti i files criptati. Grafica: il sistema non è in grado di capire “il contenuto” più o meno sensibile di una immagine. Fornitori e terze parti: devo adottare misure simili. Device mobili: non sono adeguatamente supportati. Supporto multilingua e caratteri internazionali: spesso non presente. Supporto di vari sistemi operativi: limitato. Blocco su un fornitore: non sono previste funzioni di import ed export per supportare il cambio del fornitore. 26 DATA LOSS PREVENTION
  27. 27.  Nel processo decisionale devono esser coinvolti i manager NON IT responsabili dei dati trattati. I professionisti di assicurazione della qualità devono garantire l’allineamento fra le policy dei DLP e gli obiettivi aziendali. Le persone coinvolte devono provenire da: ufficio legale, ufficio della sicurezza, sicurezza informatica, sistemi ICT, ufficio del personale, sindacato, manager rappresentativi delle principali linee di business, top manager. Per ogni processo di business occorre identificare quali siano i dati sensibili. Occorre verificare che l’implementazione tecnologica sia stata fatta “ad arte”. 27 DATA LOSS PREVENTION
  28. 28. 28 DATA LOSS PREVENTION
  29. 29.  Nei sistemi meccanici a media bassa complessità il valore del tutto è spesso dato dalla “somma” del valore delle parti. I sistemi “digitali” hanno spesso una altissima complessità di vari ordini di grandezza che li rende simili ai sistemi “biologici” dove il valore del tutto è dato dall’armonia fra le parti. 29 DATA LOSS PREVENTION
  30. 30.  Produrre sistemi digitali “universali” particolarizzati con “strati software (per costruzione reversibili)” è conveniente: si ammortizza con grande economia di scala il costo della progettazione dell’hardware, il resto è …“sabbia” (silicio). I sistemi “fisici” sono pensati fin dall’inizio specificatamente per ogni singolo uso. Il valore nei sistemi “digitali universali” è spesso dato dalla “inibizione irreversibile” di una funzionalità piuttosto che dall’aggiunta. 30 DATA LOSS PREVENTION
  31. 31.  Ipod, itune e il mercato delle “apps” di Apple ha assunto il valore economico che ha grazie all’inibizione della funzione di “copia” a livello irreversibile (hardware). Paradossalmente “Rompere” meccanicamente una porta USB di un PC può risultare una misura di sicurezza più efficiente di tante altre “software” reversibili per natura centrate nel “controllo della stessa porta”. Il lucchetto o l’involucro per il cabinet del PC che non lo rende accessibile e aggiornabile. 31 DATA LOSS PREVENTION
  32. 32. 32 DATA LOSS PREVENTION
  33. 33. I principi fondano le metodologie e le policy che vengono attuate con gli opportuni strumenti.Gli strumenti “leader” di mercato hanno al loro interno già “embedded” il supporto per le policy e le metodologie più efficaci per le minacce ed i rischi più “recenti”.Risulta dunque organizzativamente critico saper scegliere lo strumento più adeguato. 33 DATA LOSS PREVENTION
  34. 34. Privacy vs sicurezza 34 DATA LOSS PREVENTION
  35. 35. I dati “sensibili” sono legislativamente equivalenti al materiale “esplosivo”. Perché affidarli a personale “sconosciuto” che lavora spesso in subappalto per catene di terzisti?Più i ruoli e le mansioni sono “inferiori” più i dati devono essere “aggregati” e/o con breve finestra storica.Gli amministratori dei sistemi che gestiscono le credenziali devono sottostare a doveri specifici. 35 DATA LOSS PREVENTION
  36. 36.  Registrazione degli accessi Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dellevento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Verifica della attività Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza delloperato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali. Elenco degli amministratori di sistema e loro caratteristiche Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e lelenco delle funzioni loro attribuite. 36 DATA LOSS PREVENTION
  37. 37.  Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.Si scopre che quando c’e’ bisogno di tutelare un bene vitale della persona o dell’organizzazione sono utili gli albi, ma allora…. 37 DATA LOSS PREVENTION
  38. 38. Il modello del professionista, dello studio associato e della società di ingegneria ha reso l’ingegneria civile italiana leader nel mondo; per il settore ICT c’e’ il DPR 328/2001 che prevede l’”ingegnere dell’informazione”. Utili soprattutto per le attività di terzietà dove la professionalità e l’indipendenza rappresentano i valori aggiunti principali: auditing, controllo esterno, collaudi, verifiche, stime, studi di fattibilità, documenti di gara o RFP, monitoraggi, scrittura di metodologie e policy. 38 DATA LOSS PREVENTION
  39. 39. 39 DATA LOSS PREVENTION
  40. 40.  La professionalità e l’indipendenza devono essere predicate “in primis” a livello della persona “fisica” che poi può anche partecipare o appartenere ad un’organizzazione superiore con altri suoi “simili” che può offrire maggiori garanzie. Studi ben noti effettuali nel settore hanno dimostrato che la produttività di un addetto ICT può variare da 1 a 10 in funzione della competenza, degli strumenti a disposizione e della motivazione dello stesso. 40 DATA LOSS PREVENTION
  41. 41. Grazie dell’attenzione. Riferimento: Francesco Marinuzzi direzione@marinuzzi.it Tel. 06 4522 18 27 1 www.marinuzzi.it 41 DATA LOSS PREVENTION

×