Risolvere i problemi di Dropbox - L'importanza di un'efficace strategia di Data Protection
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Risolvere i problemi di Dropbox L'importanza di un'efficace strategia di Data Protection Di Chris Pace, Product Marketing Manager e Barbara Hudson, Product Marketing Manager Si ritiene che più di 50 milioni di persone abbiano utilizzato servizi di cloud storage pubblici come Dropbox per la condivisione e il trasferimento dei file. I servizi cloud pubblici sono facili da usare, e tale agevolezza può influire negativamente sull'efficacia degli attuali criteri di sicurezza informatica per il trasferimento dei dati di natura riservata. Con volumi di dati che minacciano di superare la capacità di storage in situ, i responsabili IT sono alla ricerca di un'alternativa conveniente e sicura. Questo whitepaper descrive un semplice approccio a tre fasi, per aiutare gli utenti a gestire l'accesso ai servizi di cloud storage pubblici, senza mettere a repentaglio i dati o la vostra azienda.
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection I dati sono ovunque Cosa si intende per “cloud computing” e “cloud”? Per i media, il “cloud” è l'ultimissimo tormentone ed è un termine che viene utilizzato per descrivere lo storage virtuale remoto di ultima generazione. Per gli esperti IT significa un modo per prelevare, archiviare, ridistribuire e gestire diversi zettabyte di dati. Per gli utenti, il cloud è un modo innocuo per archiviare informazioni per uso personale, o per condividerle con persone esterne all'azienda. I servizi di cloud storage come Dropbox (che vanta più di 25 milioni di utenti, secondo dati raccolti nel mese di aprile del 2011), Egnyte o Microsoft SkyDrive sono utili strumenti che consentono di accedere ai propri file da qualsiasi dispositivo o luogo geografico. Ma vi è la possibilità che ciò possa mettere a repentaglio i vostri dati? Oggi come oggi, per lavorare gli utenti si collegano da luoghi diversi; è quindi essenziale accertarsi che la protezione dei dati sia in grado di seguirli. Ciò è in particolar modo applicabile di questi tempi, in quanto i casi di violazione dei dati continuano ad attirare le indesiderate attenzioni dei media, che espongono al pubblico aziende di qualsiasi dimensione o nazionalità. Solo nel 2010 sono stati violati oltre 4 milioni di record, secondo il report "Data Breach Investigations" del 2011, compilato da Verizon. E più del 92% di queste violazioni è stata causa- ta da hacker esterni, piuttosto che da dipendenti o partner aziendali. Inoltre, il costo dei singoli casi di violazione dei dati continua ad aumentare. L'ultimo report "U.S. Cost of a Data Breach" del Ponemon Institute indica che il costo subito dalle organizzazioni quando si verifica una violazione dei dati ammonta a $214 per record compromesso, con una media di $7,2 milioni per ciascun caso1. Ora più che mai è quindi fondamentale poter mettere in sicurezza laptop, unità disco, file archi- viati nei server o in-the-cloud, ai quali è possibile accedere tramite dispositivi mobili. Può darsi che i vostri utenti stiano già utilizzando cloud pubblici, senza vostro consenso o approvazione. Quando si pensa alla sicurezza in-the-cloud, è necessario considerarne le implicazioni per i dati aziendali. ÌÌ I vostri utenti caricano file in-the-cloud? ÌÌ Quali sono i servizi utilizzati dagli utenti, e come vi accedono? ÌÌ Nei file sono presenti dati aziendali di natura sensibile? ÌÌ I file non sono cifrati? ÌÌ Siete a conoscenza di dove vengano archiviati i vostri dati? 1 Ponemon Institute, “Second Annual Cost of Cyber Crime Study: Benchmark Study of US Companies”, agosto 2011 Whitepaper Sophos marzo 2012 2
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection Il cloud è ovunque I vendor di cloud storage posseggono accesso completo ai vostri dati e ne controllano l'ubica- zione. È possibile che sappiate dove sia collocato geograficamente lo storage di un Managed Service Provider (MSP). Ma generalmente non si conoscono informazioni specifiche sull'infra- struttura o i meccanismi di sicurezza implementati dall'MSP. Ad esempio, i dati vengono archiviati in un contenitore multi-tenant o isolato? Vengono utilizzati SAS-70 o controlli ambientali? Il cloud storage diventa ancora più problematico quando si considerano i requisiti di complian- ce per i dati. Con tutta probabilità, i dati non vengono neppure archiviati nel vostro stesso paese. Ciò potrebbe provocare problemi e complicazioni con gli auditor che si occupano della valutazione dei vostri livelli di sicurezza dei dati e della catena di custodia. È inoltre presente il rischio che utenti non autorizzati possano accedere a informazioni sensibili che non rientrano in alcuna normativa, in quanto non sono state adeguatamente protette per via della mancanza di controlli, criteri e procedure. In un sondaggio del 2011 a cura di Ernst & Young, è emerso che il 61% delle aziende già utilizzava o stava considerando l'adozione di sistemi di cloud storage. Ciononostante, più della metà delle organizzazioni (il 52%) non aveva ancora implementato adeguati controlli per mitigare il rischio a cui erano esposti i dati2. In meno di una generazione, abbiamo compiuto il salto dall'archiviazione su unità flash USB a quella su cloud storage, e dall'accesso ai documenti lavorativi tramite VPN a quello mediante servizi come Dropbox. La consumerizzazione dell'informatica e la disponibilità di connessioni Internet ad alta velocità per i dispositivi mobili al lavoro, a casa e in qualsiasi luogo hanno cambiato il modo di concepi- re l'accesso e l'archiviazione dei nostri dati. Questi cambiamenti hanno dato agli utenti potere e autonomia. E nella maggior parte dei casi gli utenti optano per servizi che conoscono e con cui si trovano bene, invece di seguire alla lettera i criteri informatici aziendali. Ma dare agli utenti troppo controllo comporta dei rischi. $ 4,0 7,2 Milioni di record violati Milioni di dollari per caso di viola- zione dei dati 92 Percentuale delle solamente nel 2011, La perdita dei dati violazioni per mano secondo il report costa alle orga- di hacker esterni "Data Breach Inve- nizzazioni $214 piuttosto che stigations" del 2011, per ciascun record dipendenti o partner a cura di Verizon. compromesso. aziendali. 2. Sondaggio "Global Information Security" per il 2011, condotto da Ernst & Young Whitepaper Sophos marzo 2012 3
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection I limiti di un approccio digitale “fai da te” In mancanza di criteri ben definiti, formazione per gli utenti finali e alternative ufficialmente supportate per la condivisione dei file, gli utenti finali più abili possono trascurare sicurezza e compliance in favore di alternative semplificate. Fra queste alternative sono inclusi: soluzioni “dropbox” appositamente studiate per i consumatori, server FTP non commerciali, trasfe- rimento di file come allegati e-mail, nonché programmi e script personalizzati sviluppati internamente. Siccome queste soluzioni sono ampiamente disponibili gratuitamente e per qualsiasi piattafor- ma, sono diventate molto gettonate nelle aziende di qualsiasi dimensione, e spesso costitui- scono parte integrante del flusso di lavoro. I limiti delle soluzioni Dropbox destinate ai consumatori e dei programmi persona- lizzati sviluppati internamente ÌÌ Infrastruttura non supportata: con tutta probabilità le soluzioni studiate per i consumatori non supportano requisiti di livello aziendale. I programmi e gli script personalizzati possono essere stati sviluppati da ex dipendenti che hanno lasciato l'azienda da diverso tempo. ÌÌ Mancata implementazione dei criteri: siccome queste funzionalità si basano su soluzioni destinate ai consumatori, o su personalizzazioni svolte in periodi di tempo diversi, è possibile che non riflettano gli attuali criteri aziendali di sicurezza e compliance. ÌÌ Sottovalutazione dei rischi: è possibile che le aziende che continuano a condividere file mediante questi ambienti non supportati non valutino consapevolmente i rischi che ne conseguono. Ad assumere un ruolo importante in questo ambito è il classico attrito fra criteri aziendali e produttività degli utenti finali. Limitazioni del trasferimento dei file per allegati e-mail ÌÌ Dimensioni dei file allegati: le tipiche configurazioni per le e-mail aziendali limitano le dimensioni degli allegati a 10MB o meno. ÌÌ Performance: le e-mail non sono state concepite per file di grandi dimensioni. Può spesso essere problematico fornire un delivery tempestivo e affidabile. ÌÌ Storage: gli allegati di grandi dimensioni (spesso copie multiple di allegati di grandi dimensioni) esauriscono velocemente lo spazio di storage. Allegati di piccole dimensioni dalla distribuzione diffusa possono generare gli stessi problemi. ÌÌ Sicurezza e compliance: troppo spesso l'implementazione dei criteri dipende dalle decisioni dei singoli utenti finali, piuttosto che dall'implementazione automatizzata dei fornitori delle soluzioni. Fonte: Aberdeen Group, gennaio 2012 Whitepaper Sophos marzo 2012 4
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection Sviluppare una strategia per la protezione dei dati in-the- cloud Per stabilire cosa rientra nell'interesse di azienda e utenti, ponetevi le seguenti domande: ÌÌ Chi è responsabile per la gestione dei dati? ÌÌ Siete in grado di mantenere il controllo sui vostri dati? ÌÌ Quali possono essere le conseguenze in caso di violazione dei dati? ÌÌ Qual è la probabilità che si verifichi un caso di perdita dei dati? ÌÌ Siete in grado di rendere conto della sicurezza dei dati? È possibile che non riceviate adeguate risposte a queste domande, se gli utenti accedono a servizi cloud senza il vostro consenso o senza applicare i criteri di cifratura. Se ancora non esercitate controllo sull'accesso degli utenti a servizi di storage e applicazioni basati su cloud, o sulla cifratura dei file di natura sensibile, è giunto il momento di cominciare. Vi sono tre semplici procedure che potete seguire per diffondere ulteriormente l'uso consape- vole dei servizi di cloud storage, massimizzando nel contempo la protezione dei dati per la vostra azienda. 1. A pplicate criteri basati sul Web che utilizzino il filtraggio degli URL Potete controllare l'accesso a siti Web come Dropbox.com grazie al filtraggio degli URL, che impedisce agli utenti di navigare sui siti proibiti. Avete anche l'opzione di consentire l'accesso a seconda del caso, con impostazioni di profilo multiple, in modo che determina- ti utenti possano continuare a usufruire dell'accesso, mentre viene negato ad altri. 2. U tilizzate il controllo delle applicazioni Servitevi della funzionalità di controllo delle applicazioni per impostare criteri per l'intera azienda o determinati gruppi, in modo da bloccare o consentire l'uso di determinate ap- plicazioni. Nel caso di Dropbox.com, il controllo delle applicazioni impedisce agli utenti di installare e eseguire questa applicazione, bloccando il file eseguibile di Dropbox. 3. S ervitevi della cifratura dei dati Cifrate automaticamente i file, prima che vengano caricati in-the-cloud da qualsiasi endpoint gestito. Con l'accesso ai file cifrati protetto da password, gli utenti sono pur sempre in grado di accedere al file da qualsiasi dispositivo o luogo geografico. Whitepaper Sophos marzo 2012 5
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection Controllare i dati con una soluzione di cifratura Una soluzione end-to-end per la gestione diretta della cifratura dei dati archiviati localmente o in-the-cloud consente agli utenti di impostare, gestire e conservare chiavi di cifratura per la messa in sicurezza di determinati file. Gli utenti devono avere la possibilità di accedere ai dati in qualsiasi momento, sia che siano protetti dal firewall o che si trovino in-the-cloud; devono anche poter usufruire di standard di cifratura coerenti su tutti i livelli. Considerate ad esempio SafeGuard Encryption for Cloud Storage: mantiene cifrati tutti i file, indipendentemente se siano stati copiati o trasferiti su altre unità, reti o dispositivi. Una soluzione di cifratura efficace consente di selezionare i servizi di cloud storage preferiti dagli utenti, in quanto i file sono sempre cifrati e le chiavi vengono sempre fornite da voi. E siccome la cifratura viene effettuata sul client prima della sincronizzazione de dati, avete pieno controllo sulla sicurezza dei vostri dati. Non avrete la preoccupazione legata alla possibilità che la sicurezza del vostro fornitore di servizio di cloud storage venga violata. Le chiavi vengono assegnate in maniera centralizzata e consentono a utenti o gruppi autoriz- zati di accedere ai file e di mantenere tali file cifrati per chiunque altro. Qualora smarriste la vostra chiave Web (ad es. nel caso in cui un utente abbia dimenticato la password), l'addetto alla sicurezza aziendale sarebbe comunque in grado di accedere alle chiavi, per accertarsi che il personale autorizzato abbia accesso ai file. È anche possibile creare account Dropbox.com per i singoli reparti commerciali. Per esempio, risorse umane può avere la possibilità di cifrare tutti i propri file su Dropbox con una password nota a tutto il personale del reparto. Se un dipendente di risorse umane accede a tali file dal proprio laptop fornito in dotazione dall'azienda, la chiave è già presente; ciò consente la visualizzazione e la condivisione dei file con i colleghi su richiesta, a seconda delle esigenze. Con SafeGuard Encryption for Cloud Storage non importa da dove venga effettuato l'accesso ai file sul servizio di cloud storage: computer domestici, laptop aziendali, o, a partire dal 2012, lettori di file per iOS (ad es. iPhone, iPad) e dispositivi Android. Nota: su questi dispositivi, i contenuti cifrati possono essere visualizzati ma non modificati. Case study sul rischio a cui sono esposti i dati: furto da parte dei dipendenti Quella che segue è una situazione ipotetica in cui la mancata cifratura dei file può causare serie conseguenze per la vostra azienda. La vostra azienda sta attraversando un anno da ricordare, ma non appena si sparge voce che il personale del reparto vendite non riceverà il bonus discrezionale di fine anno, uno dei vostri dipendenti decide di andare alla ricerca di un'opportunità di lavoro con la concorrenza. Sa che le informazioni relative a clienti attuali e potenziali possono essergli di aiuto, ma è anche a conoscenza del fatto che le misure di sicurezza implementate dal reparto IT inviano notifiche in caso di download dei file dalla workstation di un dipendente. Dopo aver trascorso pochi minuti sul Web, scopre come installare un'applicazione gratuita sul proprio iPad che consente l'accesso remoto ai file di cui si serve per scopo lavorativo. Grazie alla nuova applicazione, riesce segretamente a copiare sul proprio iPad tutti i record confiden- ziali accumulati nel corso degli ultimi anni. Incontra quindi il responsabile delle vendite del maggiore esponente della concorrenza e si serve delle informazioni contenute nell'iPad per ottenere un'offerta di lavoro. Ricevuta tale offerta, presenta la propria lettera di licenziamento e lascia l'azienda, senza che il reparto IT sappia che informazioni proprietarie sono state prelevate dalla vostra rete sicura3. 3. Per gentile concessione di Sheehan Phinney Bass + Green PA, www.sheehan.com. Whitepaper Sophos marzo 2012 6
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection Acquistare familiarità con il cloud I dati non sono una risorsa statica della vostra azienda. Aumentano, vengono modificati, e influiscono sulla curva di successo della vostra azienda sia nel presente che nel futuro. Per questo motivo i dati hanno bisogno di sicurezza, protezione e riservatezza. Inoltre, i dati sono intesi per essere condivisi: con dipendenti, partner, dirigenti, consiglio di amministrazione, e chiunque abbia investito nella performance della vostra azienda. L'aumento dell'uso di smartphone e PC tablet rappresenta un importante cambiamento nella modalità in cui avvengono le varie collaborazioni. Se fornite tali dispositivi in dotazione ai vostri dipendenti, o anche se ne consentite l'uso come parte dei vostri criteri “bring your own device” (BYOD), spalancate le porte a incredibili opportunità di comodità e incremento della produttivi- tà degli utenti. Ma una maggiore mobilità può aumentare produttività e flessibilità solamente se sono presen- ti adeguati strumenti. L'utilizzo di soluzioni di cloud storage rappresenta appunto uno di questi strumenti di collaborazione. A meno che non si fornisca un'alternativa flessibile per il cloud aziendale, il blocco di tali servizi rischia di ostacolare il successo della vostra strategia mobile. Eppure, niente va dato per scontato. Fin quando ci saranno dati pronti per essere visualizzati o condivisi, saranno presenti anche servizi esterni per aiutare gli utenti a svolgere tali operazioni. Le intenzioni degli utenti hanno per la maggior parte uno scopo positivo, come ad esempio l'aumento della produttività. Altre volte invece è facile che trascurino procedure che ritengono troppo severe e che quindi limitano, piuttosto che incoraggiare, le best practice. Gli utenti possono sostenere che sia più facile utilizzare servizi simili a Dropbox, di quanto non lo sia adoperare una VPN o l'invio dei dati al proprio indirizzo e-mail. Un problema ancor più serio può essere il trasferimento di tali dati su dispositivi USB non cifrati o protetti. Scoprite come e quando può avvenire la condivisione dei file fra questi gruppi o fra i singoli individui. Siete voi a stabilire le regole, e potete decidere se consentire o negare l'archiviazione delle informazioni in-the-cloud, oppure se permetterla in determinate circostanze e a quali utenti siano applicabili tali autorizzazioni. Caso di utilizzo: condivisione sicura dei file in-the-cloud Immaginate che la vostra azienda sia il fornitore statunitense di un produttore internazionale. Le immagini di design computerizzato create dal vostro team sono troppo grandi per essere inviate alla vostra controparte in Europa, e i server FTP a entrambi i lati dell'Atlantico non supportano la cifratura. Inoltre, non posseggono la possibilità di inviare conferma che un trasferimento sia stato completato, né quella di verificare l'integrità dei file. Utilizzando SafeGuard Enterprise 6 per cifrare i file prima di adoperare Dropbox, la vostra controparte in Europa può accedere al proprio account Dropbox, aprirlo e recuperare agevolmente le immagini; ne può quindi cominciare la valutazione immediata in termini di costi di produzione e fabbricazione. Whitepaper Sophos marzo 2012 7
Risolvere i problemi di Dropbox: l'importanza di un'efficace strategia di Data Protection SafeGuard Encryption for Cloud Storage SafeGuard Encryption for Cloud Storage aiuta a soddisfare le richieste degli utenti finali e ad accertarvi che sappiano come agire nel modo migliore. Invece di impedire agli utenti di fare qualcosa a cui sono abituati, potete implementare criteri aziendali e utilizzare soluzioni che li aiutino a raggiungere i propri obiettivi in un modo conforme ai criteri informatici e agli standard aziendali. Ciò include: La protezione dei dati in-the-cloud. Potete mantenere pieno controllo sulle chiavi di cifratu- ra. E solamente chi possiede queste chiavi è in grado di accedere ai vostri preziosi dati. Condivisione sicura dei dati di natura confidenziale con i membri del vostro team. Avete persino la facoltà di condividerli con collaboratori esterni, senza comprometterne la sicurezza. Cifratura iniziale eseguita in modo trasparente e in background. Consente agli utenti di lavorare senza interruzioni. Sicurezza concreta, grazie ai comprovati algoritmi di cifratura, in grado di fornire il meglio in termini di protezione e prestazioni. Protezione dei dati end-to-end per i dati archiviati su hard drive, unità flash, condivisioni dei file e cloud. Osservatelo in azione Richiedete una prova gratuita di SafeGuard Encryption for Cloud Storage Vendite per Italia Tel: (+39) 02 911 808 E-mail: sales@sophos.it Boston, USA | Oxford, Regno Unito © Copyright 2012. Sophos Ltd. Tutti i diritti riservati. Tutti i marchi sono proprietà dei rispettivi titolari. Whitepaper Sophos 3.12v1.dNA
Puoi anche leggere