Cos’è l’encryption e come si può usare per proteggere i dati aziendali?

Per gli utentiProtezione dei datiCifraturaData ProtectionEncryption

In questi ultimi mesi si parla molto di encryption, di chi la utilizza e di chi non lo fa. Si discute di chi vorrebbe poterla aggirare (ad esempio chi si occupa della  sicurezza nazionale) e chi invece è contrario (come Google o Apple).

Il dibattito sull’encryption è molto importante e complesso e la discussione in safeguard-encryption-microsoft-bitlockermerito si sposta anche al di fuori dell’ambito della security. Spesso le aziende non si rendono conto di quanto sia importante e di come potrebbero usarla per proteggere i propri dati.

In questo articolo cercheremo di rispondere ad alcune delle domande più comuni in merito a questo argomento in due aree ben precise:

1)   una breve spiegazione di cosa sia l’encryption

2)   un paio dei casi di utilizzo più comuni che le aziende dovrebbero conoscere

Cos’è l’encryption?

E’ un metodo codificare i messaggi in un formato che sia impossibile da leggere per chi non è autorizzato a farlo. Si tratta, in parole povere, del modo migliore per tenere i dati al sicuro da spie, ladri o divulgazioni accidentali. (Non deve essere confusa con la steganografia che si occupa di nascondere i messaggi, ma non di renderli illeggibili).

La crittografia (la scienza che si nasconde dietro l’encryption) utilizza algoritmi per trasformare dati leggibili (plaintext) in un formato illeggibile (cyphertext).

Senza scendere troppo nei dettagli pensate a tutta l’operazione in questi termini: quando criptate i vostri dati è come se metteste i vostri soldi in cassaforte. Per aprirla e riavere il vostro denaro avrete bisogno di una chiave (chiediamo scusa a chi si occupa di encryption per la semplificazione forse eccessiva!)

Ci sono molti modi di utilizzare l’encryption, ma per le aziende preoccupate per la possibile perdita dei propri dati le due aree davvero importanti da capire sono la full-disk encryption e la file-level encryption.

Full-disk encryption  e file-level encryption a confronto.

L’encryption può essere usata in molti modi.

Diciamo che un vostro impiegato perda una chiavetta USB con dati molto importanti in treno o che il suo laptop venga rubato in un bar mentre lui è distratto.

I due dispositivi possono essere fisicamente rimpiazzati, ma i dati contenuti potrebbero finire nelle mani sbagliate e causare danni considerevoli.

Potreste perdere i vostri clienti se dovessero sapere che avete perso i loro dati personali e comunque, oltre che per correttezza, sareste obbligati a informarli dell’accaduto per legge.

Tuttavia se il laptop o la chiavetta USB sono stati criptati i dati saranno illeggibili per chiunque non abbia la chiave e voi non dovreste preoccuparvi in alcun modo delle possibili conseguenze legali.

Laptop, chiavi USB e persino gli smartphone possono essere criptati usando quella tecnica conosciuta come full-disk encryption. Ciò significa che non solo tutto l’hard drive, ma anche tutto ciò che vi è caricato sono protetti dall’encryption, dal sistema operativo ai file di programma fino ad arrivare ai file temporanei.

Inoltre la full-disk encryption è relativamente semplice da implementare – infatti sia i laptop che gli smartphone oggi vengono rilasciati con questa possibilità integrata e chiamata “native encryption”.

Tuttavia la full-disk encryption può mantenere i vostri dati al sicuro solo quando sono sul device. Nel momento in cui lo abbandonano diventano come per incanto decriptati e leggibili da chiunque.

Se torniamo all’analogia con il denaro in cassaforte, il disco criptato è la cassaforte e il denaro i vostri dati. Una volta che quest’ultimo viene estratto dalla cassaforte non è più protetto.

Per contro, se avete una file-level encryption, ogni file ha un lucchetto.

Con la file-level encryption i vostri dati sono protetti quando sono in movimento o da qualche parte nel cloud.

C’è tuttavia uno svantaggio. La file-level encryption è decisamente più difficile da gestire rispetto alla full-disk encryption perché ogni volta che volete accedere ai dati avete bisogno della chiave. Quindi se volete accedere da dispositivi e posti diversi dovete prestare molta attenzione alla gestione della chiave.

Quando e come dovreste usare l’encryption?

Se la full-disk encryption influisce pochissimo sulle prestazioni del sistema, la file level potrebbe invece renderlo ingestibile.

Ecco perché dovete pensare bene a quali dati volete criptare e perché. Ad esempio potreste usare la file-level encryption per i dati sensibili o per dati a cui di solito accedete sia dal telefono che dal desktop, o da Dropbox.

Ciò che è importante comprendere è che la file-level encryption non sostituisce la full-disk encryption, ma che si completano a vicenda. Se criptate solo i vostri file e non il disco intero sarà molta facile perdere qualcosa.  Il problema è che il vostro computer memorizza copie dei vostri dati in un sacco di posti a cui non avreste mai pensato.

La maggior parte delle aziende incarica il reparto IT di gestire le chiavi di criptazione sui vari dispositivi.  Senza una gestione centralizzata infatti i dati possono essere persi facilmente, ad esempio se una persona lascia l’azienda o se perde la sua password di decriptazione. Con la gestione centralizzata invece sia le password d’accesso che quelle usate per l’encryption possono essere facilmente reimpostate da un amministratore di sistema se sono state dimenticate.

Un’azienda accorta si assicurerà che le chiavi di decrittazione originali siano ben protette e che nessuna persona abbia pieno accesso alla chiave passepartout.

Un modo per farlo ad esempio è quello di disegnare un sistema in cui servano almeno due persone per contribuire al processo di decrittazione.

Un buon software di encryption software sarà in grado di rendere relativamente semplici tutte queste operazioni.

I 7 peccati capitali dell’IT

I File non Criptati sono uno dei 7 peccati capitali dell’IT di Sophos.

Potete trovare documenti, video e whitepaper su questi comuni “peccati” sul sito di Sophos.

Leave a Reply

Your email address will not be published.