La prevenzione dei data breach passa attraverso la predisposizione di opportune contromisure. In linea di massima, il punto di partenza è sempre quello di fare un’analisi del Rischio. Partendo da ciò che si fa e dal perché lo si fa, cioè di fatto mission e funzioni, si passa a analizzare come lo si fa, e quindi processi e servizi, e cosa occorre per farlo, cioè gli asset. I dati sono tra questi ultimi. Fatto questo, si passa a analizzare le minacce agli asset, ad esempio incendi, terremoti, malware, hacker, furti ecc, e le vulnerabilità che permettono a queste minacce di operare. I Rischi così individuati possono essere mitigati attraverso opportune contromisure.

Nel seguito vedremo alcune di esse:

1. OBBLIGHI LEGALI - la privacy e la sicurezza dei dati sono affrontate in leggi specifiche, come ad esempio il GDPR, ma anche in leggi e regolamenti specifici per un determinato ambito come il caso dei dati sanitari o dei dati giudiziari. Seguire le prescrizioni relative e gli aggiornamenti evita di esporsi a problemi giudiziari o multe. Inoltre, in caso di violazione dei dati, il rispetto delle normative è la prima cosa che viene controllata.

2. POLICY DI SICUREZZA DEI DATI – è il documento principale che deve essere prodotto e a cui deve sottostare l’ente nel suo complesso. Esso dettaglia le best practice, gli standard e le procedure che devono essere seguiti per massimizzare la sicurezza dei dati. Deve riguardare la conservazione dei dati, sia fisici che digitali, il loro trasporto, le modalità di accesso (CRUD – Create, Read, Update, Delete), le responsabilità e così via

3. POLICY PER L'UTILIZZO DI APPARATI AZIENDALI – in questo documento vengono affrontate tutte le problematiche relative all’utilizzo degli strumenti che un ente mette a disposizione dei suoi dipendenti e consulenti. E’ lecito portare a casa un computer portatile? E possibile usarlo a fini privati? Che complessità devono avere le credenziali di accesso? Cosa deve essere fatto quando un computer, portato temporaneamente all’esterno dell’ente vi rientra? Deve essere definita una procedura di quarantena? E’ possibile scaricare software? Cosa fare quando un dipendente lascia l’ente?

4. AUTORIZZAZIONE AGLI UTENTI – gli utenti devono ricevere solo i privilegi strettamente necessari per le operazioni che devono compiere. Inoltre i privilegi non dovrebbero mai essere attribuiti direttamente agli utenti ma dovrebbero seguire paradigmi come RBAC (Role Based Access Control), cioè gli utenti dovrebbero, sulla base dei loro ruoli aziendali, essere aggregati in gruppi e i privilegi dovrebbero essere attribuiti a questi ultimi. Anche i gruppi dovrebbero essere strutturati in modo da ricevere solo i privilegi strettamente necessari

5. AUTOMATIZZAZIONE – è stato valutato che l’errore umano è il primo responsabile dei data breaches ed è normalmente il prodotto di una bassa cultura della sicurezza, di una gestione inaccurata, negligente e incontrollata dei dati, dell’utilizzo ad esempio di password deboli e così via. Automatizzare i processi laddove possibile permette di far lavorare le persone in modo controllato e standardizzato. Inoltre, l’adozione di controlli automatici permette di prevenire e contrastare l’errore umano prima ancora che si verifichi il problema come, ad esempio, il controllo automatizzato della complessità delle password o l’uso di configurazioni dei sistemi operativi che impediscano l’installazione di software non approvato dall’ente.

6. PROMOZIONE DI CONSAPEVOLEZZA DELLA SICUREZZA – le persone sono la prima linea di difesa se opportunamente educate e formate.

7. USO DELLA CRIPTAZIONE DOVE POSSIBILE – criptare i dati, stazionari e in movimento, con meccanismi di complessità adeguata è un ottimo modo per affrontare il problema dell’integrità e dell’accesso ai dati.

8. TRACCIAMENTO E MONITORAGGIO – l’accesso ai dati e tutte le funzioni eseguite su essi devono essere tracciati in tempo reale e i log prodotti devono essere conservati con tutta la cura possibile per il tempo richiesto dalla legge e dai regolamenti interni. Oltre alle verifiche in tempo reale devono essere fatti periodicamente Audit da parte di consulenti esterni.

9. BACKUP DEI DATI – il backup dei dati permette il ripristino nel caso di eventi distruttivi. La frequenza dei backup, i tempi di conservazione dei backup, la scelta dei supporti dei backup e la loro modalità di conservazione devono tutti essere scelti in modo compatibile all’importanza dei dati e all’analisi del rischio effettuata in precedenza. Attenzione al fatto, ovviamente, che la qualità di un backup dipende dalla qualità del dato di partenza: se quest’ultimo era già corrotto anche il backup presenterà lo stesso problema.

10. GESTIONE DELLE PATCH – l’adeguamento di software e sistemi operativi via via che vengono individuate nuove vulnerabilità deve essere fatto con la massima priorità possibile, soprattutto nel caso di patch di sicurezza ma non essere precipitoso in tutti gli altri casi. Prima di installare una patch devono sempre essere effettuati i backup e le patch devono sempre essere provate in un ambiente di test prima dell’installazione in ambiente di produzione.

FONTE: AgID - Agenzia per l'Italia digitale