La protezione dei dati nelle piccole imprese: priorità o "questioni minori"?

Si sente spesso parlare di fughe di informazioni riservate da parte delle grandi aziende e delle misure che esse adottano per ridurre al minimo i rischi di incidenti di sicurezza. Allo stesso tempo, però, i media non trattano quasi mai la questione della sicurezza delle informazioni nelle piccole imprese.

Le piccole aziende si preoccupano del problema della sicurezza informatica? E se sì, come affrontano questo problema? Qual è il ruolo dei sistemi DLP (Data Loss Prevention) nei circuiti di sicurezza delle piccole imprese? Per rispondere a queste domande, ci rivolgiamo a esperti nel campo della sicurezza informatica e delle piccole imprese.

Prima di affrontare la questione dell'uso del software di monitoraggio dei dipendenti nelle piccole aziende, è importante scoprire esattamente quali informazioni si vogliono proteggere. Il responsabile dello sviluppo aziendale di Greatment Inc. Stephen Lawson ne parla in dettaglio:

"Nella nostra era informatica il problema della protezione dei dati è rilevante per quasi tutti i partecipanti al processo di scambio di informazioni. Questo vale certamente per le grandi e medie imprese e per le piccole aziende, per gli imprenditori individuali e per le persone normali. La pietra miliare della sicurezza è un oggetto di protezione correttamente definito e classificato. Può trattarsi di dati (ad esempio, piani di sviluppo dell'azienda, relazioni finanziarie, descrizione delle tecnologie utilizzate, invenzioni), di sistemi informativi (HR, CRM, ERP, BI, sistemi finanziari e di produzione), di processi aziendali (tecnologia di produzione) e persino di persone (dipendenti con competenze uniche, attori chiave). Alcuni oggetti di protezione sono definiti anche in base a requisiti normativi (ad esempio, segreto bancario, dati personali). La scelta dei metodi e delle misure di protezione dipende dalla comprensione di ciò che deve essere protetto, da chi deve essere protetto, dove è necessario proteggerlo e a quali conseguenze può portare una protezione impropria. La completezza e la qualità della simulazione delle minacce alla sicurezza e delle misure necessarie determineranno l'ammontare delle spese sostenute dall'azienda nel lungo periodo. Indipendentemente dalle dimensioni dell'azienda, l'impostazione della protezione contro le minacce alla sicurezza deve essere effettuata in modo sistematico, ossia iniziando a sviluppare un insieme di misure che consentano di proteggersi dalle minacce in base al grado di conseguenze negative che possono derivarne. È necessario implementare la protezione dei dati e creare processi organizzativi che assegnino la responsabilità a determinate persone dell'azienda. Ad esempio, nel caso di aziende molto piccole si parla di creare diverse norme di sicurezza informatica, installare software antivirus, criptare i dati critici e istruire il personale su come lavorare con le informazioni sensibili".

Per la protezione di vari dati le aziende possono implementare un sistema DLP. Tuttavia, i pareri degli esperti sono discordanti sul fatto che l'uso dei DLP sia giustificato o meno nel caso delle piccole imprese.

, analista di punta, Symbolitics:

"I sistemi DLP sono necessari anche nelle piccole aziende: la realtà dimostra che la perdita di dati riservati può avvenire in un'azienda di qualsiasi dimensione. Inoltre, esiste un numero enorme di tipi di dati. Segreti commerciali, progetti unici, specifiche tecnologiche: queste informazioni sono solitamente protette dalle grandi e medie imprese. Le piccole imprese che spesso trattano dati personali, ad esempio agenzie di viaggio, compagnie assicurative, studi legali, devono preoccuparsi della sicurezza delle informazioni acquisite.

Ecco perché il DLP è necessario non solo nelle aziende, ma anche in quelle di tutte le dimensioni. Naturalmente, il sistema DLP è un software piuttosto costoso. Per le aziende più piccole, questo è un fattore critico e sono alla ricerca di soluzioni più accessibili. Per questo motivo il mercato attuale registra un aumento della popolarità dei prodotti per il monitoraggio dei dipendenti. Questi sistemi aiutano a mantenere la disciplina del personale, a trovare problemi nei processi aziendali e a risolvere parzialmente il problema del DLP. "

, responsabile del dipartimento di sicurezza informatica del provider di hosting professionale Starrhost:

"Le idee sulla protezione delle informazioni sono sempre richieste, a qualsiasi livello. Nonostante il fatto che l'uso competente delle soluzioni DLP porti in ultima analisi a una riduzione dei costi e delle spese, le piccole imprese preferiscono limitare le misure di sicurezza alla realizzazione di accordi organizzativi e lavorare con essi fino al punto di rottura."

, responsabile della sicurezza informatica di Curso:

"A differenza delle misure di sicurezza classiche come firewall, software antivirus, protezione crittografica, le soluzioni DLP sono ancora in fase di sviluppo e cercano di attirare l'interesse dei consumatori sul mercato. Le ragioni sono molteplici. In primo luogo, la maggior parte delle soluzioni di questo tipo comporta spese significative per l'acquisto (compresi i componenti hardware), per l'implementazione, nonché per l'assunzione e la formazione del personale che gestisce il sistema DLP. Tutto ciò fa sì che la DLP non sia economicamente fattibile per un'azienda. In secondo luogo, la mancanza di consapevolezza da parte del pubblico dell'esistenza e delle capacità dei sistemi di DLP, così come il problema ancora urgente della mancanza di attenzione ai problemi di sicurezza delle informazioni. In particolare, ciò è rilevante per le piccole imprese, spesso caratterizzate dalla mancanza di specialisti di sicurezza dedicati, dall'uso frequente di dispositivi personali da parte dei dipendenti per risolvere problemi legati al lavoro e così via. Per implementare meccanismi di prevenzione delle fughe di dati riservati, le piccole imprese possono utilizzare il DLP come servizio fornito da organizzazioni specializzate".

, direttore finanziario di Estation Inc:

"Le piccole e medie imprese sono spesso interessate alle soluzioni DLP, ma non sempre ne comprendono le reali caratteristiche e le condizioni necessarie per un funzionamento efficace. I requisiti che le piccole aziende applicano a questi software sono di solito poco realistici. Se non si tiene conto dei casi eccezionali in cui i dirigenti sono disposti a esaminare personalmente quasi tutte le e-mail e altri dati inoltrati, le piccole aziende tendono ad aspettarsi che i sistemi DLP individuino "da soli" la spregiudicatezza dei dipendenti: casi di corruzione, trasferimento di dati aziendali a concorrenti e così via. Ma nessun sistema DLP ha una propria intelligenza e non può giudicare il valore delle informazioni raccolte. Tutti i parametri di controllo devono essere inseriti dagli utenti del sistema (di norma, si tratta del servizio di sicurezza economica dell'azienda). Richiede almeno un minimo di competenza tecnica, la comprensione dei processi aziendali e del valore dei vari dati, un'adeguata valutazione del rischio, una certa comprensione della psicologia dei potenziali trasgressori, un monitoraggio e un adeguamento costanti (in altre parole, un notevole dispendio di ore di lavoro). La DLP è solo uno strumento nelle mani del personale addetto alla sicurezza. E, come ogni strumento sofisticato, i sistemi DLP hanno determinati requisiti per il livello di qualificazione della persona che li utilizza. "

, responsabile del reparto sviluppo prodotti del software di sistema:

"Le piccole imprese non utilizzano spesso i sistemi DLP, perché di solito non dispongono di fondi sufficienti. Inoltre, nelle piccole aziende le persone si conoscono bene e i rapporti di lavoro sono generalmente improntati alla fiducia. Nel processo di sviluppo e con l'aumento del turnover dei dipendenti, le aziende iniziano a pensare al monitoraggio dei dipendenti e ai sistemi DLP. Questo accade di solito quando un'azienda raggiunge i 200-300 PC. Di conseguenza, i potenziali acquirenti prendono in considerazione soprattutto sistemi semplificati, in cui il DLP è solo un'aggiunta piuttosto che la base".

, responsabile marketing di Security code LLC:

"La domanda di sistemi DLP e di altri strumenti di sicurezza informatica nelle piccole imprese è piuttosto limitata. Ciò è dovuto al fatto che l'introduzione di tali sistemi richiede non solo investimenti, ma anche un certo livello di comprensione dei problemi di sicurezza delle informazioni. Il management deve capire chiaramente quali dati sono riservati, chi deve accedervi e chi no. Questo problema va ben oltre l'area di responsabilità e competenza dell'amministratore IT. Nonostante l'amministratore sia di solito la persona coinvolta nella sicurezza delle informazioni nelle piccole imprese. Le piccole imprese sono inoltre caratterizzate da flessibilità e alta sensibilità ai costi. Pertanto, l'introduzione di soluzioni DLP completamente funzionali non avviene quasi mai. Tuttavia, se un'azienda acquista un sistema multifunzionale di protezione delle postazioni di lavoro che incorpora alcune funzioni DLP (di solito il controllo USB), allora queste funzioni vengono utilizzate".

, Purposeidler Capo progetto:

"La nostra azienda ritiene che non siano i dati a dover essere controllati (come nei classici sistemi di prevenzione delle fughe di informazioni), ma i dipendenti che lavorano con questi dati. I sistemi di controllo tradizionali presentano una serie di svantaggi. In primo luogo, sono pesanti, complessi e costosi da implementare. Pertanto, non sono assolutamente applicabili alle piccole imprese. In secondo luogo, i sistemi DLP classici monitorano il lavoro con i dati. Il monitoraggio viene effettuato per file specifici (in base al nome del file) o per i dati presenti nei sistemi informativi dell'azienda in base ad alcuni modelli di dati (ad esempio, XXXX-XXXX-XXXXXX per i numeri di carta di credito). Pertanto, se si cambia semplicemente il formato dei dati, il sistema DLP non sarà in grado di tenerne traccia. Ad esempio, se si cambia il numero di carte di credito da XXXX-XXXX-XXXX-XXXX a AXXXX, BXXXX, CXXXX, DXXXX, il sistema DLP non lo riterrà importante e andrà a vuoto. In terzo luogo, il monitoraggio costante dell'uso dei dati sovraccarica i PC dei dipendenti e le risorse dell'azienda. Se il sistema DLP controlla tutti i dati in uscita, qualsiasi errore comporterebbe l'isolamento dell'azienda".

Alcuni esperti hanno notato la richiesta di sistemi DLP tra le piccole aziende, mentre altri ritengono che queste soluzioni non siano popolari in questo segmento. Cerchiamo di capire quanto sia grande l'interesse per il DLP tra le piccole imprese rispetto alle grandi e medie aziende.

Presidente del club dei giovani imprenditori, CEO di CloudSolutions:

"Le soluzioni DLP saranno utili sia per le grandi aziende che per le piccole imprese, ma solo come una delle misure preventive alla fuga di informazioni. Questi programmi sono utili per migliorare l'alfabetizzazione informatica dei dipendenti, perché la loro essenza consiste nel valutare i rischi di fuga di informazioni. A tal fine si analizzano le attività nei canali attraverso i quali i dati possono trapelare: e-mail, messaggeria istantanea e direttamente il web. Sulla base del contenuto e del contesto (protocollo, attività, tipo di applicazione, ecc.), il programma genera una politica di sicurezza in base alla quale blocca i messaggi, segnala le violazioni e così via. È importante capire che, a differenza dei firewall, le soluzioni DLP non bloccano completamente il trasferimento dei dati, ma cercano invece di analizzare l'attività umana nella rete, il che lascia alle aziende una probabilità ancora più elevata di perdita di dati."

Presidente del club dei giovani imprenditori, CEO di CloudSolutions:

"Tutte le aziende hanno interesse a proteggere le informazioni. Gli approcci all'implementazione delle soluzioni DLP possono essere diversi, ma la "perdita di informazioni" nel 21° secolo è quasi uguale alla "perdita di denaro", quindi è logico supporre che l'idea di ridurre al minimo questo rischio di perdite esista in ogni azienda, indipendentemente dalle sue dimensioni."

"L'interesse delle aziende per i sistemi DLP non dipende solo dalle dimensioni dell'infrastruttura IT e dal volume dei dati elaborati. In primo luogo, ovviamente, dipende dall'esistenza di informazioni la cui fuga può causare danni e dalla presenza di minacce attuali. Pertanto, l'interesse per la DLP può essere uguale sia nelle grandi che nelle piccole aziende. Ma le grandi aziende hanno maggiori opportunità e capacità di utilizzare tali sistemi".

, responsabile del dipartimento di sicurezza informatica di "Expectronica" (I-Techio Inc.):

"Innanzitutto, le aziende con fondi sufficienti, indipendentemente dalle dimensioni, sono interessate ai sistemi DLP. Ma teniamo presente che il DLP è solo uno strumento, e che se verrà realmente utilizzato per il controllo e la prevenzione delle falle o rimarrà solo un "progetto" dipende da molti fattori: le ambizioni personali dei manager responsabili della sicurezza delle informazioni, l'esperienza del team di progetto e la chiara definizione del problema. La qualità dell'implementazione è fondamentale per l'efficacia del controllo e della prevenzione delle fughe. Vale la pena notare che la portata stessa dei sistemi DLP è molto delicata, l'implementazione di tali progetti in molte aziende è rallentata da tecnicismi burocratici e legali e da un elevato rischio reputazionale".

, direttore commerciale di SenseBox:

"Le soluzioni DLP sono utilizzate soprattutto dalle grandi aziende. E questi sistemi sono stati inizialmente progettati proprio per soddisfare i requisiti di una macchina aziendale complessa. Ma l'esigenza di protezione dei dati è la stessa per tutti: dalle startup alle grandi aziende. L'importante non è decidere il livello di software da utilizzare, ma l'approccio alla sicurezza.

I sistemi DLP sono nati inizialmente da un approccio alla sicurezza che potremmo definire paranoico: quando cerchiamo di rendere impossibile o impedire qualsiasi azione. Ad esempio, immaginiamo di mettere all'ingresso di un centro commerciale una guardia di sicurezza con un cane, un tornello, un metal detector e di introdurre perquisizioni corporali per ogni acquirente. Come prodotto software, il DLP è qualcosa di simile. Nei paesi civilizzati le persone si affidano a leggi, polizia e tribunali. E non c'è bisogno di costruire recinzioni: si può andare ovunque. Nel caso in cui qualcuno osi infrangere la legge, si attiva il solito meccanismo di difesa: arriva la polizia e il sistema di applicazione della legge assicura l'inevitabilità della punizione.

Nessuno vi impedisce di limitare l'accesso alle informazioni riservate per alcuni dipendenti sotto forma di legge, clausola nel contratto di lavoro e sanzioni severe. Se queste sanzioni e punizioni superano il beneficio derivante dal potenziale furto di informazioni, la maggior parte dei dipendenti rinuncerà all'idea di rubare".

"A mio avviso, le grandi aziende sono più interessate all'utilizzo di soluzioni DLP, hanno una migliore comprensione dell'utilità di un sistema di questo tipo e dispongono di risorse sufficienti per un uso efficace dei sistemi DLP. Recentemente sono apparse sul mercato soluzioni che utilizzano i progressi scientifici dell'intelligenza artificiale, dell'apprendimento automatico e dell'analisi dei big data per facilitare il lavoro dei professionisti della sicurezza e ridurre il livello dei loro requisiti di qualificazione. Il tempo mostrerà come queste soluzioni contribuiranno a una più ampia diffusione dei sistemi DLP tra le piccole e medie imprese".

"Le medie e grandi aziende (soprattutto se del settore finanziario) sono più spesso interessate all'uso di sistemi DLP. Per un'azienda in crescita diventa sempre più difficile controllare le transazioni e la privacy dei dipendenti. In questa situazione, è facile che non ci si accorga di una fuga di informazioni o che qualche dipendente (che per qualche motivo ha perso la sua lealtà) abbia intenzione di danneggiare l'azienda. Purtroppo, nessun sistema è in grado di prevenire completamente gli attacchi diretti ai dati aziendali, ma può complicare in modo significativo il processo, rendendo le fughe meno redditizie e più rischiose per il colpevole".

, responsabile della sicurezza informatica di KRAKE:

"Tutti gli operatori del mercato (grandi aziende e segmento SMB) sono interessati ai sistemi DLP perché i rischi di fuga di informazioni sono presenti in tutte le aziende. Allo stesso tempo, le conseguenze di una fuga di dati per il settore delle PMI possono essere molto più devastanti che per le grandi aziende. Per le prime, una fuga di dati può facilmente comportare la perdita di un vantaggio competitivo chiave e, di conseguenza, la chiusura dell'attività. Nel caso di una grande azienda si tratta più spesso di perdite di reputazione e finanziarie".

"L'interesse ad utilizzare non solo i sistemi DLP, ma anche qualsiasi altra soluzione di sicurezza informatica dipende dalle dimensioni dell'azienda, ma soprattutto dal suo livello di maturità. Più un'azienda è consapevole del valore dei suoi dati (per sé e per i suoi concorrenti), più implementa consapevolmente la strategia di sicurezza informatica per quanto riguarda la protezione dei dati. L'elenco delle azioni necessarie in questo caso non consiste solo nell'introduzione di mezzi di sicurezza informatica, ma anche nella riforma dei processi aziendali al fine di ridurre il rischio di perdite intenzionali o accidentali di dati.

Solo quando vengono definiti i processi aziendali in cui verrà installato il sistema DLP, la sua implementazione inizia a essere influenzata dalle dimensioni dell'azienda. È ovvio che una grande azienda può spendere di più per un progetto del genere, ma anche i requisiti tecnici saranno più elevati".

Le opinioni degli esperti si sono nuovamente divise. Da un lato, alcuni ritengono che non ci sia una connessione tra le dimensioni dell'azienda e il livello di interesse nell'uso del DLP, dall'altro, alcuni esperti ritengono che tali sistemi siano più richiesti nelle grandi aziende. Tuttavia, in entrambi i casi gli esperti concordano sul fatto che esistono piccole aziende che considerano la sicurezza delle informazioni una delle loro priorità e che quindi possono essere considerate potenziali utenti di sistemi DLP. Quali sono dunque i requisiti delle piccole imprese per tali sistemi?

"I grandi clienti scelgono generalmente soluzioni DLP "intelligenti" e costose. Le piccole aziende sono solitamente disposte a lavorare con questi sistemi in modalità "manuale", senza possibilità di automazione, se questa soluzione è molto più conveniente. Per questo motivo, nelle piccole e medie imprese tutti gli incidenti vengono analizzati a posteriori".

"Se si tralascia l'ovvia questione del prezzo del software, che in questo segmento della sicurezza informatica è la più importante, e ci si concentra sulla funzionalità, allora è necessario dare la preferenza a software di sicurezza più "onnivori". Spesso accade che le piccole aziende non possano permettersi di unificare gli elementi del sistema informativo e lo costruiscano letteralmente su ciò che hanno a disposizione. Naturalmente, la conseguenza di un simile approccio sarebbe la diversità delle apparecchiature utilizzate nel sistema informatico".

"L'elenco dei requisiti che le aziende applicano ai sistemi DLP si basa principalmente sulle caratteristiche specifiche dell'infrastruttura IT dell'azienda, compresi i metodi utilizzati per il trasferimento delle informazioni e il loro volume. Ciò consente all'utente di determinare i canali di trasmissione dei dati che saranno controllati dal sistema DLP. Le funzioni di controllo più diffuse sono il monitoraggio di e-mail, unità rimovibili, URL, messaggeria istantanea e stampa. Inoltre, per molte aziende la creazione di rapporti sul sistema DLP è spesso importante, in quanto è lo strumento chiave per dimostrare ai dirigenti l'efficacia del sistema DLP implementato".

"I rappresentanti delle grandi aziende di solito cercano di raggiungere obiettivi specifici con l'aiuto della DLP: è probabile che tale sistema sia integrato in un panorama IT già consolidato con un ampio

di altri componenti e soluzioni per la protezione delle informazioni. Al contrario, il segmento delle PMI vuole vedere le soluzioni DLP come una sorta di "multi tool" che risolvono diversi problemi legati alla sicurezza delle informazioni. Un altro requisito importante è la facilità di implementazione e il minimo personale di supporto necessario".

"Il requisito principale delle aziende più piccole è il prezzo minimo. Tuttavia, lo sviluppo di sistemi DLP può richiedere molto tempo e un aggiornamento costante".

"Le piccole aziende cercano di acquistare soluzioni a basso costo con un'implementazione estremamente semplice che combini le funzionalità di più soluzioni. Si concentrano su soluzioni antivirus, sistemi di controllo del traffico e della produttività dei dipendenti, che spesso contengono funzioni DLP semplificate. Nelle piccole aziende, la protezione delle informazioni spesso non è inclusa nei costi operativi".

"Tra i principali requisiti che le piccole imprese hanno per le soluzioni DLP vi sono l'accessibilità economica, la facilità di implementazione e di supporto, nonché la conformità ai requisiti di legge. Dal punto di vista delle funzioni, le piccole imprese si aspettano che i sistemi DLP siano in grado di monitorare la stampa e la corrispondenza e-mail degli utenti (sia all'interno della rete aziendale, sia con l'utilizzo di servizi postali via Internet come gmail.com o mail.ru), di bloccare il trasferimento di file su unità esterne o servizi di condivisione di file e di analizzare l'uso dei social network e degli instant messenger da parte dei dipendenti".

"Le piccole aziende hanno risorse molto limitate. Questo vale per il budget destinato alla sicurezza informatica e per il numero di personale specializzato. Di norma, le piccole aziende assumono uno o due specialisti IT che risolvono, in misura variabile, tutti i problemi legati all'IT e alla sicurezza informatica."

A questo proposito, gli esperti sono praticamente unanimi. I fattori principali nella scelta del software di sicurezza informatica per le piccole imprese sono il costo e la facilità di implementazione. Ciò è dovuto al fatto che le piccole imprese, rispetto alle grandi aziende, dispongono di risorse finanziarie e umane limitate. La conseguenza di questa situazione è il desiderio di ottenere un software multifunzione a basso costo che possa essere facilmente implementato nell'infrastruttura aziendale da uno o due membri del reparto IT.

Tuttavia, oggi sul mercato esistono programmi piuttosto funzionali che possono aiutare la vostra azienda a proteggere le informazioni. E alcuni di essi sono addirittura disponibili gratuitamente.