Risolvere i problemi di Dropbox - L'importanza di un'efficace strategia di Data Protection

Pagina creata da Claudio Pagano
 
CONTINUA A LEGGERE
Risolvere i problemi di Dropbox - L'importanza di un'efficace strategia di Data Protection
Risolvere i
problemi di Dropbox
L'importanza di un'efficace strategia di Data Protection

Di Chris Pace, Product Marketing Manager
e Barbara Hudson, Product Marketing Manager

Si ritiene che più di 50 milioni di persone abbiano utilizzato
servizi di cloud storage pubblici come Dropbox per la
condivisione e il trasferimento dei file. I servizi cloud
pubblici sono facili da usare, e tale agevolezza può influire
negativamente sull'efficacia degli attuali criteri di sicurezza
informatica per il trasferimento dei dati di natura riservata. Con
volumi di dati che minacciano di superare la capacità di storage
in situ, i responsabili IT sono alla ricerca di un'alternativa
conveniente e sicura. Questo whitepaper descrive un semplice
approccio a tre fasi, per aiutare gli utenti a gestire l'accesso ai
servizi di cloud storage pubblici, senza mettere a repentaglio i
dati o la vostra azienda.
Risolvere i problemi di Dropbox - L'importanza di un'efficace strategia di Data Protection
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection

I dati sono ovunque
Cosa si intende per “cloud computing” e “cloud”? Per i media, il “cloud” è l'ultimissimo
tormentone ed è un termine che viene utilizzato per descrivere lo storage virtuale remoto di
ultima generazione. Per gli esperti IT significa un modo per prelevare, archiviare, ridistribuire e
gestire diversi zettabyte di dati. Per gli utenti, il cloud è un modo innocuo per archiviare
informazioni per uso personale, o per condividerle con persone esterne all'azienda.

I servizi di cloud storage come Dropbox (che vanta più di 25 milioni di utenti, secondo dati
raccolti nel mese di aprile del 2011), Egnyte o Microsoft SkyDrive sono utili strumenti che
consentono di accedere ai propri file da qualsiasi dispositivo o luogo geografico. Ma vi è la
possibilità che ciò possa mettere a repentaglio i vostri dati?

Oggi come oggi, per lavorare gli utenti si collegano da luoghi diversi; è quindi essenziale
accertarsi che la protezione dei dati sia in grado di seguirli. Ciò è in particolar modo applicabile
di questi tempi, in quanto i casi di violazione dei dati continuano ad attirare le indesiderate
attenzioni dei media, che espongono al pubblico aziende di qualsiasi dimensione o nazionalità.

Solo nel 2010 sono stati violati oltre 4 milioni di record, secondo il report "Data Breach
Investigations" del 2011, compilato da Verizon. E più del 92% di queste violazioni è stata causa-
ta da hacker esterni, piuttosto che da dipendenti o partner aziendali. Inoltre, il costo dei singoli
casi di violazione dei dati continua ad aumentare. L'ultimo report "U.S. Cost of a Data Breach"
del Ponemon Institute indica che il costo subito dalle organizzazioni quando si verifica una
violazione dei dati ammonta a $214 per record compromesso, con una media di $7,2 milioni
per ciascun caso1.

Ora più che mai è quindi fondamentale poter mettere in sicurezza laptop, unità disco, file archi-
viati nei server o in-the-cloud, ai quali è possibile accedere tramite dispositivi mobili. Può darsi
che i vostri utenti stiano già utilizzando cloud pubblici, senza vostro consenso o approvazione.
Quando si pensa alla sicurezza in-the-cloud, è necessario considerarne le implicazioni per i dati
aziendali.

ÌÌ I vostri utenti caricano file in-the-cloud?

ÌÌ Quali sono i servizi utilizzati dagli utenti, e come vi accedono?

ÌÌ Nei file sono presenti dati aziendali di natura sensibile?

ÌÌ I file non sono cifrati?

ÌÌ Siete a conoscenza di dove vengano archiviati i vostri dati?

1 Ponemon Institute, “Second Annual Cost of Cyber Crime Study: Benchmark Study of US Companies”, agosto 2011

Whitepaper Sophos marzo 2012                                                                                   2
Risolvere i problemi di Dropbox - L'importanza di un'efficace strategia di Data Protection
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection

Il cloud è ovunque
I vendor di cloud storage posseggono accesso completo ai vostri dati e ne controllano l'ubica-
zione. È possibile che sappiate dove sia collocato geograficamente lo storage di un Managed
Service Provider (MSP). Ma generalmente non si conoscono informazioni specifiche sull'infra-
struttura o i meccanismi di sicurezza implementati dall'MSP. Ad esempio, i dati vengono
archiviati in un contenitore multi-tenant o isolato? Vengono utilizzati SAS-70 o controlli
ambientali?

Il cloud storage diventa ancora più problematico quando si considerano i requisiti di complian-
ce per i dati. Con tutta probabilità, i dati non vengono neppure archiviati nel vostro stesso
paese. Ciò potrebbe provocare problemi e complicazioni con gli auditor che si occupano della
valutazione dei vostri livelli di sicurezza dei dati e della catena di custodia. È inoltre presente il
rischio che utenti non autorizzati possano accedere a informazioni sensibili che non rientrano
in alcuna normativa, in quanto non sono state adeguatamente protette per via della mancanza
di controlli, criteri e procedure.

In un sondaggio del 2011 a cura di Ernst & Young, è emerso che il 61% delle aziende già
utilizzava o stava considerando l'adozione di sistemi di cloud storage. Ciononostante, più della
metà delle organizzazioni (il 52%) non aveva ancora implementato adeguati controlli per
mitigare il rischio a cui erano esposti i dati2.

In meno di una generazione, abbiamo compiuto il salto dall'archiviazione su unità flash USB a
quella su cloud storage, e dall'accesso ai documenti lavorativi tramite VPN a quello mediante
servizi come Dropbox.
La consumerizzazione dell'informatica e la disponibilità di connessioni Internet ad alta velocità
per i dispositivi mobili al lavoro, a casa e in qualsiasi luogo hanno cambiato il modo di concepi-
re l'accesso e l'archiviazione dei nostri dati.

Questi cambiamenti hanno dato agli utenti potere e autonomia. E nella maggior parte dei casi
gli utenti optano per servizi che conoscono e con cui si trovano bene, invece di seguire alla
lettera i criteri informatici aziendali. Ma dare agli utenti troppo controllo comporta dei rischi.

                                    $
  4,0 7,2
  Milioni di record
  violati
                                    Milioni di dollari
                                    per caso di viola-
                                    zione dei dati
                                                                        92
                                                                        Percentuale delle
  solamente nel 2011,               La perdita dei dati                 violazioni per mano
  secondo il report                 costa alle orga-                    di hacker esterni
  "Data Breach Inve-                nizzazioni $214                     piuttosto che
  stigations" del 2011,             per ciascun record                  dipendenti o partner
  a cura di Verizon.                compromesso.                        aziendali.

2. Sondaggio "Global Information Security" per il 2011, condotto da Ernst & Young

Whitepaper Sophos marzo 2012                                                                             3
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection

I limiti di un approccio digitale “fai da te”
In mancanza di criteri ben definiti, formazione per gli utenti finali e alternative ufficialmente
supportate per la condivisione dei file, gli utenti finali più abili possono trascurare sicurezza e
compliance in favore di alternative semplificate. Fra queste alternative sono inclusi: soluzioni
“dropbox” appositamente studiate per i consumatori, server FTP non commerciali, trasfe-
rimento di file come allegati e-mail, nonché programmi e script personalizzati sviluppati
internamente.

Siccome queste soluzioni sono ampiamente disponibili gratuitamente e per qualsiasi piattafor-
ma, sono diventate molto gettonate nelle aziende di qualsiasi dimensione, e spesso costitui-
scono parte integrante del flusso di lavoro.

I limiti delle soluzioni Dropbox destinate ai consumatori e dei programmi persona-
lizzati sviluppati internamente

ÌÌ Infrastruttura non supportata: con tutta probabilità le soluzioni studiate per i consumatori
   non supportano requisiti di livello aziendale. I programmi e gli script personalizzati possono
   essere stati sviluppati da ex dipendenti che hanno lasciato l'azienda da diverso tempo.

ÌÌ Mancata implementazione dei criteri: siccome queste funzionalità si basano su soluzioni
   destinate ai consumatori, o su personalizzazioni svolte in periodi di tempo diversi, è possibile
   che non riflettano gli attuali criteri aziendali di sicurezza e compliance.

ÌÌ Sottovalutazione dei rischi: è possibile che le aziende che continuano a condividere file
   mediante questi ambienti non supportati non valutino consapevolmente i rischi che ne
   conseguono. Ad assumere un ruolo importante in questo ambito è il classico attrito fra
   criteri aziendali e produttività degli utenti finali.

Limitazioni del trasferimento dei file per allegati e-mail

ÌÌ Dimensioni dei file allegati: le tipiche configurazioni per le e-mail aziendali limitano le
   dimensioni degli allegati a 10MB o meno.

ÌÌ Performance: le e-mail non sono state concepite per file di grandi dimensioni.
   Può spesso essere problematico fornire un delivery tempestivo e affidabile.

ÌÌ Storage: gli allegati di grandi dimensioni (spesso copie multiple di allegati di grandi
   dimensioni) esauriscono velocemente lo spazio di storage. Allegati di piccole dimensioni
   dalla distribuzione diffusa possono generare gli stessi problemi.

ÌÌ Sicurezza e compliance: troppo spesso l'implementazione dei criteri dipende dalle
   decisioni dei singoli utenti finali, piuttosto che dall'implementazione automatizzata dei
   fornitori delle soluzioni.
Fonte: Aberdeen Group, gennaio 2012

Whitepaper Sophos marzo 2012                                                                          4
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection

Sviluppare una strategia per la protezione dei dati in-the-
cloud
Per stabilire cosa rientra nell'interesse di azienda e utenti, ponetevi le seguenti domande:

ÌÌ Chi è responsabile per la gestione dei dati?

ÌÌ Siete in grado di mantenere il controllo sui vostri dati?

ÌÌ Quali possono essere le conseguenze in caso di violazione dei dati?

ÌÌ Qual è la probabilità che si verifichi un caso di perdita dei dati?

ÌÌ Siete in grado di rendere conto della sicurezza dei dati?

È possibile che non riceviate adeguate risposte a queste domande, se gli utenti accedono a
servizi cloud senza il vostro consenso o senza applicare i criteri di cifratura. Se ancora non
esercitate controllo sull'accesso degli utenti a servizi di storage e applicazioni basati su cloud,
o sulla cifratura dei file di natura sensibile, è giunto il momento di cominciare.

Vi sono tre semplici procedure che potete seguire per diffondere ulteriormente l'uso consape-
vole dei servizi di cloud storage, massimizzando nel contempo la protezione dei dati per la
vostra azienda.

1. A
    pplicate criteri basati sul Web che utilizzino il filtraggio degli URL
   Potete controllare l'accesso a siti Web come Dropbox.com grazie al filtraggio degli URL,
   che impedisce agli utenti di navigare sui siti proibiti. Avete anche l'opzione di consentire
   l'accesso a seconda del caso, con impostazioni di profilo multiple, in modo che determina-
   ti utenti possano continuare a usufruire dell'accesso, mentre viene negato ad altri.

2. U
    tilizzate il controllo delle applicazioni
   Servitevi della funzionalità di controllo delle applicazioni per impostare criteri per l'intera
   azienda o determinati gruppi, in modo da bloccare o consentire l'uso di determinate ap-
   plicazioni. Nel caso di Dropbox.com, il controllo delle applicazioni impedisce agli utenti di
   installare e eseguire questa applicazione, bloccando il file eseguibile di Dropbox.

3. S
    ervitevi della cifratura dei dati
   Cifrate automaticamente i file, prima che vengano caricati in-the-cloud da qualsiasi
   endpoint gestito. Con l'accesso ai file cifrati protetto da password, gli utenti sono pur
   sempre in grado di accedere al file da qualsiasi dispositivo o luogo geografico.

Whitepaper Sophos marzo 2012                                                                          5
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection

Controllare i dati con una soluzione di cifratura
Una soluzione end-to-end per la gestione diretta della cifratura dei dati archiviati localmente o
in-the-cloud consente agli utenti di impostare, gestire e conservare chiavi di cifratura per la
messa in sicurezza di determinati file. Gli utenti devono avere la possibilità di accedere ai dati
in qualsiasi momento, sia che siano protetti dal firewall o che si trovino in-the-cloud; devono
anche poter usufruire di standard di cifratura coerenti su tutti i livelli. Considerate ad esempio
SafeGuard Encryption for Cloud Storage: mantiene cifrati tutti i file, indipendentemente se
siano stati copiati o trasferiti su altre unità, reti o dispositivi.

Una soluzione di cifratura efficace consente di selezionare i servizi di cloud storage preferiti
dagli utenti, in quanto i file sono sempre cifrati e le chiavi vengono sempre fornite da voi. E
siccome la cifratura viene effettuata sul client prima della sincronizzazione de dati, avete pieno
controllo sulla sicurezza dei vostri dati. Non avrete la preoccupazione legata alla possibilità
che la sicurezza del vostro fornitore di servizio di cloud storage venga violata.

Le chiavi vengono assegnate in maniera centralizzata e consentono a utenti o gruppi autoriz-
zati di accedere ai file e di mantenere tali file cifrati per chiunque altro. Qualora smarriste la
vostra chiave Web (ad es. nel caso in cui un utente abbia dimenticato la password), l'addetto
alla sicurezza aziendale sarebbe comunque in grado di accedere alle chiavi, per accertarsi che
il personale autorizzato abbia accesso ai file.

È anche possibile creare account Dropbox.com per i singoli reparti commerciali. Per esempio,
risorse umane può avere la possibilità di cifrare tutti i propri file su Dropbox con una password
nota a tutto il personale del reparto. Se un dipendente di risorse umane accede a tali file dal
proprio laptop fornito in dotazione dall'azienda, la chiave è già presente; ciò consente la
visualizzazione e la condivisione dei file con i colleghi su richiesta, a seconda delle esigenze.

Con SafeGuard Encryption for Cloud Storage non importa da dove venga effettuato l'accesso
ai file sul servizio di cloud storage: computer domestici, laptop aziendali, o, a partire dal 2012,
lettori di file per iOS (ad es. iPhone, iPad) e dispositivi Android. Nota: su questi dispositivi, i
contenuti cifrati possono essere visualizzati ma non modificati.

Case study sul rischio a cui sono esposti i dati: furto da parte dei dipendenti
Quella che segue è una situazione ipotetica in cui la mancata cifratura dei file può causare
serie conseguenze per la vostra azienda. La vostra azienda sta attraversando un anno da
ricordare, ma non appena si sparge voce che il personale del reparto vendite non riceverà il
bonus discrezionale di fine anno, uno dei vostri dipendenti decide di andare alla ricerca di
un'opportunità di lavoro con la concorrenza. Sa che le informazioni relative a clienti attuali e
potenziali possono essergli di aiuto, ma è anche a conoscenza del fatto che le misure di
sicurezza implementate dal reparto IT inviano notifiche in caso di download dei file dalla
workstation di un dipendente.

Dopo aver trascorso pochi minuti sul Web, scopre come installare un'applicazione gratuita sul
proprio iPad che consente l'accesso remoto ai file di cui si serve per scopo lavorativo. Grazie
alla nuova applicazione, riesce segretamente a copiare sul proprio iPad tutti i record confiden-
ziali accumulati nel corso degli ultimi anni. Incontra quindi il responsabile delle vendite del
maggiore esponente della concorrenza e si serve delle informazioni contenute nell'iPad per
ottenere un'offerta di lavoro. Ricevuta tale offerta, presenta la propria lettera di licenziamento
e lascia l'azienda, senza che il reparto IT sappia che informazioni proprietarie sono state
prelevate dalla vostra rete sicura3.

3. Per gentile concessione di Sheehan Phinney Bass + Green PA, www.sheehan.com.

Whitepaper Sophos marzo 2012                                                                          6
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection

Acquistare familiarità con il cloud
I dati non sono una risorsa statica della vostra azienda. Aumentano, vengono modificati, e
influiscono sulla curva di successo della vostra azienda sia nel presente che nel futuro. Per
questo motivo i dati hanno bisogno di sicurezza, protezione e riservatezza. Inoltre, i dati sono
intesi per essere condivisi: con dipendenti, partner, dirigenti, consiglio di amministrazione, e
chiunque abbia investito nella performance della vostra azienda.

L'aumento dell'uso di smartphone e PC tablet rappresenta un importante cambiamento nella
modalità in cui avvengono le varie collaborazioni. Se fornite tali dispositivi in dotazione ai vostri
dipendenti, o anche se ne consentite l'uso come parte dei vostri criteri “bring your own device”
(BYOD), spalancate le porte a incredibili opportunità di comodità e incremento della produttivi-
tà degli utenti.

Ma una maggiore mobilità può aumentare produttività e flessibilità solamente se sono presen-
ti adeguati strumenti. L'utilizzo di soluzioni di cloud storage rappresenta appunto uno di questi
strumenti di collaborazione. A meno che non si fornisca un'alternativa flessibile per il cloud
aziendale, il blocco di tali servizi rischia di ostacolare il successo della vostra strategia mobile.

Eppure, niente va dato per scontato. Fin quando ci saranno dati pronti per essere visualizzati o
condivisi, saranno presenti anche servizi esterni per aiutare gli utenti a svolgere tali operazioni.
Le intenzioni degli utenti hanno per la maggior parte uno scopo positivo, come ad esempio
l'aumento della produttività. Altre volte invece è facile che trascurino procedure che ritengono
troppo severe e che quindi limitano, piuttosto che incoraggiare, le best practice.

Gli utenti possono sostenere che sia più facile utilizzare servizi simili a Dropbox, di quanto non
lo sia adoperare una VPN o l'invio dei dati al proprio indirizzo e-mail. Un problema ancor più
serio può essere il trasferimento di tali dati su dispositivi USB non cifrati o protetti.

Scoprite come e quando può avvenire la condivisione dei file fra questi gruppi o fra i singoli
individui. Siete voi a stabilire le regole, e potete decidere se consentire o negare l'archiviazione
delle informazioni in-the-cloud, oppure se permetterla in determinate circostanze e a quali
utenti siano applicabili tali autorizzazioni.

Caso di utilizzo: condivisione sicura dei file in-the-cloud
Immaginate che la vostra azienda sia il fornitore statunitense di un produttore internazionale.
Le immagini di design computerizzato create dal vostro team sono troppo grandi per essere
inviate alla vostra controparte in Europa, e i server FTP a entrambi i lati dell'Atlantico non
supportano la cifratura. Inoltre, non posseggono la possibilità di inviare conferma che un
trasferimento sia stato completato, né quella di verificare l'integrità dei file. Utilizzando
SafeGuard Enterprise 6 per cifrare i file prima di adoperare Dropbox, la vostra controparte in
Europa può accedere al proprio account Dropbox, aprirlo e recuperare agevolmente le
immagini; ne può quindi cominciare la valutazione immediata in termini di costi di produzione e
fabbricazione.

Whitepaper Sophos marzo 2012                                                                            7
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection

SafeGuard Encryption for Cloud Storage
SafeGuard Encryption for Cloud Storage aiuta a soddisfare le richieste degli utenti finali e
ad accertarvi che sappiano come agire nel modo migliore. Invece di impedire agli utenti di fare
qualcosa a cui sono abituati, potete implementare criteri aziendali e utilizzare soluzioni che li
aiutino a raggiungere i propri obiettivi in un modo conforme ai criteri informatici e agli standard
aziendali. Ciò include:

La protezione dei dati in-the-cloud. Potete mantenere pieno controllo sulle chiavi di cifratu-
ra. E solamente chi possiede queste chiavi è in grado di accedere ai vostri preziosi dati.

Condivisione sicura dei dati di natura confidenziale con i membri del vostro team. Avete
persino la facoltà di condividerli con collaboratori esterni, senza comprometterne la sicurezza.

Cifratura iniziale eseguita in modo trasparente e in background. Consente agli utenti di
lavorare senza interruzioni.

Sicurezza concreta, grazie ai comprovati algoritmi di cifratura, in grado di fornire il meglio
in termini di protezione e prestazioni.

Protezione dei dati end-to-end per i dati archiviati su hard drive, unità flash, condivisioni dei
file e cloud.

Osservatelo in azione
Richiedete una prova gratuita di
SafeGuard Encryption for Cloud
Storage

Vendite per Italia
Tel: (+39) 02 911 808
E-mail: sales@sophos.it

Boston, USA | Oxford, Regno Unito
© Copyright 2012. Sophos Ltd. Tutti i diritti riservati.
Tutti i marchi sono proprietà dei rispettivi titolari.

Whitepaper Sophos 3.12v1.dNA
Puoi anche leggere