Prevenzione dai Data Leak e protezione dei dati sensibili aziendali

A partire dal caso Snowden, il termine Data Leak è entrato nel vocabolario comune ad indicare il trasferimento non autorizzato - volontario o involontario - di informazioni riservate.

Nonostante il continuo sviluppo delle tecnologie di sicurezza informatica e gli sforzi delle aziende volti a proteggere i propri dati, i casi di data leak sono sempre più frequenti e di dimensioni sempre più ingenti, sia dal punto di vista economico/finanziario, sia dal punto di vista reputazionale.

Malgrado gli impatti siano generalmente significativi, vi è ancora poca attitudine da parte delle aziende a gestire preventivamente il rischio legato alla diffusione di dati riservati e le attività di mitigazione troppo spesso vengono affrontate con un approccio focalizzato quasi esclusivamente sugli aspetti tecnici (IT), trascurando gli interventi necessari a livello organizzativo, di processo e, più in generale, di business.

Per alcune aziende che trattano dati altamente riservati e relativi ai propri clienti, che costituiscono un bersaglio particolarmente appetibile per numerosi soggetti interessati al patrimonio informativo che custodiscono, la tendenza assume ancor più rilevanza. Si pensi alle aziende fornitrici di servizi professionali, come ad esempio società di consulenza, boutique di M&A, società di revisione, studi legali. In tali realtà, l’elevata criticità e sensibilità delle informazioni trattate si abbina spesso alla non adeguatezza delle competenze e delle strutture organizzative necessarie a gestire in maniera coerente i rischi di data leak.

È opportuno che tutte le aziende prendano consapevolezza della necessità di utilizzare un framework di protezione dei dati, procedendo in modo sistematico al fine di ridurre, al di sotto del livello ritenuto accettabile dal management, i rischi di violazione delle informazioni sensibili. Nell’affrontare questa sfida, è necessario anche che il management abbia la consapevolezza che, a meno di non ricorrere a soluzioni estreme che comporterebbero un ingessamento dei processi aziendali non accettabile, le misure di mitigazione che si mettono in atto non potranno mai garantire l’assoluta certezza di prevenire i data leak di tutto il patrimonio informativo aziendale: i casi recenti hanno dimostrato come anche le realtà più avanzate - e con maggiori investimenti in sicurezza - possano essere violate se l’attaccante ha sufficienti risorse tecniche, economiche, temporali ed è in possesso di adeguate competenze.

Per questo motivo è ancora più importante identificare, sin dall’inizio, il livello di rischio effettivamente accettabile, per mettere in atto le opportune azioni di protezione dei dati più rilevanti per il business.

Con il presente Insight, Protiviti mira ad offrire alcuni spunti di riflessione sul tema della prevenzione e della gestione dei data leak, proponendo il proprio approccio per un governo efficace della sicurezza aziendale.

Loading...