Avete provato a implementare un prodotto di crittografia ma non ci siete riusciti? Non arrendetevi. Senza il giusto approccio, sarà difficile proteggere i dati aziendali. Se metà della vostra azienda lavora a distanza e utilizza dispositivi non criptati, anche un solo telefono rubato può mettere a repentaglio la vostra attività.
Le violazioni dei dati e il conseguente danno alla reputazione hanno spinto il settore delle piccole e medie imprese (PMI) ad adottare la crittografia anche prima dell'arrivo del GDPR. Il segmento delle PMI è tuttavia enorme e abbraccia un ampio spettro in termini di livelli di maturità della sicurezza informatica e di approcci di governance dei dati.
Il GDPR fa sì che la responsabilità legale dei proprietari di aziende e degli operatori IT sia quella di proteggere i dati personali di clienti e dipendenti. Il regolamento, che suggerisce di criptare, rendere anonimi o distruggere i dati (dopo l'uso commerciale), insieme a un numero sempre crescente di violazioni dei dati, sta spingendo le PMI a implementare tecnologie di protezione dei dati.
Tuttavia, nella fretta di mettere in sicurezza i dati aziendali, spesso è mancata una corretta verifica dei prodotti e delle migliori pratiche nell'implementazione delle soluzioni. Con il tempo limitato per le ricerche di settore, e avendo davanti un mercato inondato da una gamma molto diversificata di prodotti, resta ancora una sfida per i proprietari e i decisori a trovare la giusta soluzione per le loro esigenze.
Se siete di fronte a questa decisione, assicuratevi di rispondere alle seguenti domande:
1. Quali dispositivi presentano un rischio maggiore? Quelli on-site o off-site?
Diamo un'occhiata ai computer portatili, dato che possono essere considerati l'infrastruttura fisica principale per la maggior parte delle PMI. Quello che segue potrebbe sembrare un punto ovvio, ma sappiate che i dispositivi sono più suscettibili di furto quando sono lontani dall'ufficio. Tenerlo a mente è il modo giusto per iniziare a cercare una soluzione. Assicuratevi di testare l'efficacia di una soluzione nella gestione di scenari problematici per i vostri utenti da remoto. Se siete soddisfatti delle prestazioni quando utilizzata da utenti remoti, allora avete almeno creato una rosa di candidati.
2. Perché è importante un prodotto ben progettato?
La progettazione e la funzionalità sono aspetti interconnessi. La capacità di modificare rapidamente i criteri di sicurezza, le chiavi di cifratura, le caratteristiche e il funzionamento della cifratura degli endpoint in remoto significa che i criteri predefiniti possono essere forti e rigorosi. Le eccezioni possono essere impiegate solo quando e dove necessario e possono essere revocate con altrettanta facilità. Se non ci riuscite, sarete costretti a lasciare "una chiave sotto lo zerbino" per sicurezza. Sarebbe come realizzare dei buchi nei vostri criteri di sicurezza prima che l'implementazione sia completata.
3. Come gestire i blocchi a distanza e la pulizia dei computer portatili?
Questo problema potrebbe diventare cruciale se un computer portatile aziendale con crittografia a disco intero viene rubato mentre è in modalità sleep o ha il sistema operativo avviato. Ancor peggio accade se questi sistemi vengono forniti con la password di pre-avvio apposta su un'etichetta o infilata nella borsa del portatile. Se non è disponibile una funzione di blocco o di cancellazione a distanza, il sistema viene lasciato non protetto o protetto solo dalla password dell'account utente. In entrambi i casi, questo lascia la crittografia bypassata.
Inoltre, è importante sapere se la soluzione è stata progettata per soddisfare i casi d'uso tipici che altrimenti svelerebbero criteri di sicurezza ben elaborati.
4. Supporti rimovibili: La soluzione è in grado di metterli al sicuro senza inserire ogni articolo nella whitelist?
La diversità dei dispositivi scrivibili in uso per il lavoro quotidiano rende quasi impossibile per gli amministratori inserirli tutti nella whitelist, o decidere se è permesso leggere o scrivere su quel dispositivo. È molto più facile impostare un criterio a livello di file (distinguendo tra i file che necessitano di crittografia e quelli che non ne hanno bisogno), con i file selezionati protetti ogni volta che si spostano da una workstation o da una rete aziendale a qualsiasi dispositivo portatile. Quindi, se si collega una chiavetta USB personale, la soluzione non dovrebbe costringervi a criptare i dati privati. D'altra parte, tutti i file che vengono copiati dal sistema aziendale devono essere criptati. È un'idea semplice, ma che rende sicuro qualsiasi dispositivo senza la necessità di una whitelist.
In ultima analisi, sono la flessibilità e la facilità d'uso a garantire il successo della tecnologia di crittografia degli endpoint. Bisogna quindi definire se la soluzione che si desidera utilizzare è effettivamente facile da implementare. Se l'installazione impiega troppo tempo e richiede strumenti aggiuntivi per il funzionamento, creerà solamente problemi agli amministratori di sistema, oltre a nuovi rischi per la sicurezza.
SUGGERIMENTO: Puntate a una soluzione facile da implementare che non richieda competenze informatiche avanzate e che preservi sia le finanze sia le capacità delle risorse umane. Se a questa facile implementazione fa seguito un’esperienza positiva degli utenti, il personale IT non sarà ulteriormente tartassato da blocchi degli utenti, perdita di dati e altre problematiche.
I prodotti di crittografia commerciale convalidati si sono mostrati abbastanza resistenti per un certo periodo di tempo. Tuttavia, all'interno di organizzazioni che hanno acquistato e distribuito prodotti di crittografia si è verificato un numero significativo di violazioni dei dati registrati che coinvolgono computer portatili e unità USB smarriti o rubati. Dalle note archiviate riguardanti questi incidenti emerge che la sfida principale consiste nell’essere in grado di adattare la soluzione al proprio ambiente, alle pratiche di lavoro e alla facilità d'uso per gli utenti di tutti i giorni.