Crittografia dei dati

Crittografia: quale algoritmo scegliere?

Le soluzioni crittografiche offerte dal mercato per proteggere i dati sono molte, ma come distinguere tra i differenti prodotti risulta spesso difficile data la complessità delle tecniche di cifratura? Qui trovi alcune indicazioni pratiche per orientarti nella scelta della soluzione migliore per te e la tua azienda.

Dopo la decisione di Whatsapp, a fine 2015, di cifrare i messaggi scambiati dai suoi utenti, la crittografia è balzata alla ribalta come argomento di discussione anche sui social media. Le tecniche di cifratura però non sono tutte uguali, e comprenderne appieno il funzionamento richiede delle conoscenze avanzate di matematica superiore che l’utente medio raramente possiede. In un articolo pubblicato su Techbeacon.com nel luglio scorso, Luther Martin, software engineer di HPE, dopo un breve excursus nel campo dell’economia, fornisce alcune utili indicazioni per orientarsi nell’intricato mondo della cifratura dei dati.

Secondo Martin, i prodotti che impiegano la crittografia costituiscono un credence good, ossia un bene le cui caratteristiche e la cui efficacia non possono essere valutate appieno né prima né dopo l’acquisto. Un po’ come certi farmaci che, a volte, non si può sapere se veramente hanno avuto effetto nella remissione della malattia, oppure hanno agito soltanto come effetto placebo per una patologia che si sarebbe risolta naturalmente da sé.

Essendo un bene nella cui efficacia si può solo “credere” esiste un modo pratico per differenziare l’offerta e dirigere la scelta verso quei prodotti che garantiscano la maggiore sicurezza nella protezione dei dati nonché la compliance rispetto alle normative anche in quei settori dove esse risultano più restrittive?

Un metodo effettivamente c’è, ed è quello di verificare se la tecnica di cifratura implementata è stata validata e certificata in base ai Security Requirement for Cryptographic Modules, ovvero lo standard FIPS 140-2 (http://csrc.nist.gov/groups/STM/cmvp/standards.html), che costituiscono un insieme di requisiti atti a garantire la forza degli algoritmi crittografici utilizzati e quindi anche ad orientare le scelte d’acquisto verso soluzioni di alta qualità.

(Trovi l’articolo in versione originale su http://techbeacon.com/software-engineers-guide-encryption-how-not-fail, mentre la traduzione in italiano la puoi leggere sul nostro blog cliccando qui)

encrypted-computer

Hardware o Software?

Scopri i limiti della crittografia software ed i motivi per cui può dare un falso senso di sicurezza quando viene applicata su supporti di archiviazione esterni come le chiavi USB.
Scarica il PDF!

In base a recenti ricerche, circa il 90% dei data breach sono provocati da errore umano. E il costo medio per ogni record compromesso è salito ancora rispetto al 2015 raggiungendo i 158$, dice il Ponemon Institute.

Come la crittografia può aiutare la tua azienda

Il nuovo Regolamento Europeo sulla Protezione dei Dati  (GDPR) entrerà presto in vigore, stabilendo nuove regole (ed imponendo nuove, più salate, sanzioni). Non considerarlo una minaccia, ma un’opportunità per accrescere la sicurezza della tua azienda!

Con l’introduzione del nuovo Regolamento Europeo sulla Protezione dei Dati, vengono introdotte importanti novità che andranno ad incidere notevolmente su come le aziende trattano i dati personali a loro disposizione (di impiegati, fornitori, clienti) soprattutto in caso di non compliance. Riassumiamo brevemente i principali cambiamenti:

  • Standard di Protezione dei dati: le aziende dovranno implementare tutte le misure tecniche ed organizzative per garantire una protezione appropriata dei dati personali che detengono. In particolare:
    • Pseudonimizzazione e cifratura
    • Assicurare la resistenza dei sistemi e servizi che processano i dati con misure adeguate
    • Assicurare il ripristino della dispobilità e dell’accesso ai dati in caso di data breach
    • Verifica frequente dell’efficacia delle misure poste in essere.
  • Necessità di notificare eventuali data breach: questa notifica dovrà essere fatta all’autorità garante della protezione dei dati e, nel caso di furti di identità o frodi o altri danni economici e sociali conseguenti al data breach, a TUTTI i soggetti interessati. Nessuna notifica è dovuta, in quest’ultimo caso, se l’azienda può dimostrare di aver posto in essere misure di sicurezza adeguate.
  • Sanzioni: se un’azienda risulta non conforme agli obblighi imposti dal GDPR, rischia una sanzione fino a 10 milioni di euro o pari al 2% del fatturato annuo globale. In caso di data breach, quest’ultima percentuale può salire fino al 4%.

Ora, numerosi studi hanno dimostrato recentemente che causa di circa il 90% dei data breach è proprio l’errore umano. Emblematico è il caso dell’Eastern Health, una delle più grandi organizzazioni sanitarie canadesi, risalente all’estate 2015.

Nel mese di giugno, Eastern Health annuncia che è stata smarrita una chiave USB (liberamente accessibile, e con i dati in chiaro) contenente i nomi e i numeri di assicurazione sanitaria di circa 9000 dipendenti. Non c’è alcuna evidenza di furto, ma la chiave non si trova da nessuna parte e, per quello che se ne può sapere cioè nulla, potrebbe essere finita in fondo al cassetto di un ignaro impiegato così come in mano a smaliziati ladri d’identità.

Un paio di mesi dopo la chiavetta viene finalmente ritrovata in un casellario del dipartimento Risorse Umane, dove pare sia rimasta per tutto questo tempo. Un lieto fine dunque? Certamente sì, dal punto di vista della tutela della privacy dei dipendenti, ma un lieto fine che è costato all’organizzazione, per effettuare la ricerca e controllare il danno, circa 100.000 dollari che potevano tranquillamente essere risparmiati adottando alcune cautele di base preventive ed operando con minore leggerezza.

Un’altra recente ricerca indica che il 64% delle aziende intervistate hanno delle policy relative al trattamento ed alla condivisione dei dati, ma soltanto il 30% utilizza soluzioni di Data Loss Prevention. Eppure, secondo Corey Nachreiner, Director della Security Strategy di WatchGuard, sarebbero sufficienti soltanto 5 semplici step per evitare le perdite di dati, accidentali e non.

Fai un’inventario dei dati –Quali sono i dati effettivamente da proteggere? Nota: determinando quali delle informazioni aziendali hanno reale necessità di protezione, si limita la spesa per le tecnologie da dispiegare. Dove sono archiviate queste informazioni? Perché l’azienda ha bisogno di quei dati? Chi e come li utilizza?

Crea una Policy dei Dati – una strategia di sicurezza informatica efficace si basa sempre su una policy ben disegnata. Neppure le migliori tecnologie possono sostituire una buona pianificazione.

Sfrutta il controllo degli accessi (possibilmente basati sui ruoli): segmenta gli utenti in base ai ruoli che ricoprono nell’accesso e nel trattamento dei dati ed utilizza una soluzione di Identity Access Management per restringere l’accesso ai dati cruciali soltanto al personale di cui effettivamente ne ha bisogno.

Utilizza la crittografia: criptare i dati può essere oneroso, ma per i dati at rest e on the move può essere vitale. Non è necessario cifrare tutto: concentrati sui dati più importanti

Adotta un sistema DLP: le soluzioni proposte sono molte. Per i dati in motion può aiutarti un sistema di gestione centralizzata che controlli il dispiegamento dei dispositivi mobili di archiviazione, con la capacità di disabilitarli e cancellarli in caso di perdita furto o insider threat.

Information Security Made Simple

Rendi più semplice il modo di proteggere le informazioni che più contano grazie ai consigli di Cardwave: scarica il pdf e scopri come agire in conformità alle nuove normative senza incorrere in pesanti sanzioni!
lock
Scarica la Brochure

I nostri prodotti per la crittografia

spyrus-WindowsToGo

“SPYRUS has a strong commitment to developing the strongest possible information security hardware products on the market today. Their products are standards-based, rigorously tested and designed with the need of the high-end security customer in mind.”

Paul Raines, author Global CISO CSO Magazine

cardwave-safetogo

Cardwave is a globally recognised expert in solid-state media and we make it easy for companies who need to understand and use this technology in their business. We are known for our professionalism and quality of service and we handle millions of dollars worth of business and commercially sensitive data for many high-profile brands.

Vuoi saperne di più?

Vorresti iniziare ad utilizzare memorie crittografate ma non sai da che parte iniziare? Nessun problema, siamo qui per questo!
Contattaci

Protezione Anti-Malware

Le periferiche USB possono trasformarsi in un pericoloso veicolo di malware a causa di un difetto intrinseco alla loro architettura. Ma le case produttrici possono ovviare a questo inconveniente rendendo le periferiche sicure by design.

Scopri

Windows To Go

Windows To Go consente di avviare il proprio sistema operativo Windows da dispositivi USB esterni certificati Microsoft, ritrovando così su qualunque postazione i propri programmi, i propri file e le proprie impostazioni. Un vero Pocket PC.

Scopri

Supporto remoto

Tecnologie sempre più sofisticate e velocità di connessione sempre più rapide consentono di accedere e controllare  macchine che si trovino anche a migliaia di chilometri di distanza, in totale sicurezza. Scopri quali vantaggi una soluzione di supporto remoto può permettere di ottenere alla tua azienda.

Scopri

Social Engineering

Lo sapevi che oltre il 90% degli incidenti informatici hanno alla base un’email di phishig? Lo strumento più efficace per garantire sicurezza alla tua azienda è costituire un “firewall umano” grazie alla consapevolezza dei rischi. Non farti prendere all’amo!

Scopri