Recentemente abbiamo spiegato alcuni dei numerosi motivi per cui c’è bisogno di cifrare i vostri dati. Abbiamo anche illustrato le conseguenze potenziali quando i dati non sono cifrati.
Quindi, ora che siete pronti ad esaminare nella vostra organizzazione la cifratura più da vicino, da dove cominciare?
Ogni organizzazione è a sè stante, quindi non esiste una strategia universale di protezione dei dati. Prima di poter convertire la vostra strategia in un piano d’azione concreto, avrete bisogno di rispondere alle quattro domande che seguono.
1. Com’è il flusso di dati inviati e ricevuti della vostra organizzazione?
Ricevete mail con file allegati o, piuttosto, le inviate? Ricevete dati su chiavette USB o 
E per quanto riguarda i dispositivi mobili e i tablet? Secondo un sondaggio di Sophos, un utente medio della tecnologia ha tre dispositivi. Come tenere sotto controllo la vasta gamma di dispositivi che hanno accesso ai dati aziendali?
Dovreste cercare una soluzione di cifratura che è stata creata per adattarsi al vostro uso dei dati e al loro flusso all’interno di un’organizzazione.
A titolo esemplificativo, con un numero sempre crescente di business che utilizzano memorizzazione su piattaforme cloud, c’è bisogno di una soluzione che metta al sicuro i dati condivisi su cloud e che fornisca la custodia delle chiavi di cifratura.
2. Come vengono utilizzati i dati da parte della vostra organizzazione e delle persone coinvolte?
Come sono i flussi di lavoro dei vostri dipendenti e cosa fanno per migliorare la produttività delle attività giornaliere? Quali strumenti, dispositivi o app utilizzano e qualcuno di questi è un possibile vettore per la perdita dei dati?
E’ necessario capire come i collaboratori utilizzino app di terze parti e se sia necessario vietare il cosiddetto “shadow IT”; bisogna capire se potete fidarvi della sicurezza di quei sistemi o se dovete sviluppare questi strumenti in house.
3. Chi ha accesso ai vostri dati?
Quest’argomento può essere considerato sia una discussione etica sia normativa. In alcune situazioni, da un punto di vista etico, gli utenti non dovrebbero avere accesso a certi dati (per es., riguardanti le Risorse Umane e la retribuzione).
In tutto il mondo esistono leggi di protezione dei dati che stabiliscono che soltanto chi necessita dei dati per portare a termine i propri compiti ha diritto alla loro consultazione, mentre agli altri è negato l’accesso. I vostri dipendenti hanno accesso soltanto ai dati di cui necessitano per lavorare, oppure possono accedere a dati di cui non hanno bisogno?
A titolo esemplificativo, gli amministratori dei sistemi IT tendono ad avere accesso illimitato ai dati, oltre che alle infrastrutture IT. L’amministratore IT ha bisogno di accedere ai dati delle Risorse Umane di ciascuno? Ha bisogno di consultare i documenti del dipartimento legale che riguardano l’ultimo processo? In una società ad azionariato diffuso, le persone al di fuori del dipartimento delle finanze dovrebbero avere accesso ai più recenti dati finanziari?
4. Dove sono i vostri dati?
Centralizzati e principalmente contenuti in un Data Center? Completamente ospitati nei cloud? Abbandonati nei portatili e nei dispositivi mobili del personale?
Secondo un sondaggio di Tech Pro Research, il 74% delle organizzazioni dà o darà il permesso al personale di portare i propri dispositivi in ufficio per uso professionale (BYOD). Gli impiegati hanno dati aziendali sensibili sui loro dispositivi e li portano con sé se sono venditori esterni e quando lavorano da casa, aumentando il rischio di fuga di dati o infrazioni di norme. Pensate a quanto sarebbe semplice accedere ad informazioni confidenziali riguardo la vostra organizzazione se lo smartphone di un impiegato venisse rubato o smarrito.
Sfide e soluzioni
Secondo lo studio Global Encryption & Key Management Trends Study del 2015 condotto dal Ponemon Institute, i manager IT vedono nelle seguenti le più grandi sfide alla programmazione e all’esecuzione della strategia di codificazione dei dati:
• 56% – scoprire dove, nell’organizzazione, risiedano i dati sensibili
• 34% – classificare quali siano i dati da criptare
• 15% – provvedere alla formazione degli utenti sull’utilizzo della crittografia
Sfortunatamente non esiste una soluzione universale a queste sfide. Il vostro programma di protezione dati dev’essere creato su misura per il vostro business: si deve basare sul tipo di dati con cui lavora e che genera il vostro business, sulle normative locali e di settore e sulla dimensione del vostro business.
Il personale deve comprendere come rispettare un programma di protezione dati chiaramente definito e come utilizzare la crittografia. Bisogna informare chiaramente gli impiegati su quali dati possano consultare, come si debba accedere a questi e come possano proteggerli.
Dovete assicurarvi, soprattutto, di poter offrire e gestire la crittografia in maniera da non influire sul flusso di lavoro dell’organizzazione.
Per sapere come Sophos SafeGuard Encryption vi aiuta a vincere queste sfide, leggete il nostro blog post sulle cose da tenere a mente quando si sceglie la giusta soluzione di crittografia. Scaricate il nostro documento tecnico “Decifrare il Codice: Una Semplice Guida alla Crittografia”.