Proteggi i dati e previeni la perdita di dati

  • 5 minuti

L'obiettivo di una strategia Zero Trust è consentire all'organizzazione di proteggere i dati in transito, inattivi e in uso, in particolare per le informazioni sensibili. Questa operazione viene eseguita identificando in modo appropriato i dati, ma anche assicurandosi che sia possibile controllare e verificare qualsiasi accesso e disporre di un'efficace prevenzione della perdita dei dati.

Etichette di riservatezza

Le etichette di riservatezza facilitano il principio di "verifica esplicita" Zero Trust per l'organizzazione perché forniscono punti dati aggiuntivi che possono essere usati per prendere decisioni sulla sicurezza relative all'accesso alle risorse. L'organizzazione può applicare automaticamente etichette per contrassegnare gli elementi, ad esempio file e messaggi di posta elettronica che contengono informazioni riservate. Queste etichette indicano anche la riservatezza di un particolare elemento. Di seguito vengono riportati alcuni esempi di etichette comuni:

  • Pubblico: dati aziendali progettati per l'utilizzo pubblico. Ad esempio, una campagna di marketing pubblica per un nuovo prodotto.
  • Riservato: dati che potrebbero danneggiare l'azienda se venissero resi accessibili da utenti non autorizzati. Ad esempio, contratti e account di vendita.
  • Estremamente riservato: dati riservati che devono essere accessibili solo a un gruppo selezionato di persone. Ad esempio, informazioni su una fusione in corso.

L'organizzazione può anche applicare etichette preconfigurate usando gli strumenti di sicurezza cloud o creare etichette personalizzate. Le etichette preconfigurate sono etichette predefinite per le organizzazioni, determinate in base ai requisiti di sicurezza comuni. Queste etichette consentono un facile utilizzo di questo strumento senza dover creare etichette proprie. Quando le etichette vengono applicate agli elementi, consentono all'organizzazione di identificare rapidamente la riservatezza dei dati. Ciò è dovuto al fatto che consentono agli strumenti di sicurezza cloud di creare grafici dettagliati e derivare informazioni dettagliate in base alle etichette di riservatezza.

Le etichette di riservatezza possono essere usate anche per fornire protezione e prevenzione della perdita di dati perché possono essere un punto di partenza per le seguenti attività:

  • Crittografia
  • Contrassegno contenuto
  • Criteri di prevenzione della perdita dei dati

Queste tematiche verranno approfondite di seguito.

Crittografia e contrassegno del contenuto

I dati sensibili devono essere protetti anche tramite crittografia e contrassegno del contenuto. La crittografia è un processo in base al quale i dati vengono convertiti in un formato non riconoscibile a cui non è possibile accedere a meno che non vengano decrittografati da un utente o un'entità autorizzata. Quando un elemento come un messaggio di posta elettronica o un file viene crittografato:

  • Questo viene crittografato durante il transito e quando viene archiviato.
  • Rimane crittografato anche se viene trasferito all'esterno dell'organizzazione.

L'organizzazione può configurare la crittografia e il contrassegno del contenuto in base alle etichette di riservatezza. Ad esempio, gli elementi riservati o altamente riservati possono essere crittografati automaticamente e il contenuto contrassegnato con una filigrana "Riservato - solo per uso interno", nel piè di pagina o nell'intestazione di un documento o di un messaggio di posta elettronica. In questo modo, gli asset come documenti e messaggi di posta elettronica vengono protetti automaticamente, in base alla loro sensibilità. Ciò significa che l'organizzazione può garantire che gli utenti non autorizzati non siano in grado di aprire questi file o messaggi di posta elettronica e solo gli utenti autorizzati possano visualizzarli. Il contrassegno del contenuto consente inoltre di rafforzare le procedure consigliate per gli utenti perché possono facilmente vedere che il documento è destinato solo all'uso riservato.

In questo modo, l'organizzazione applica i principi di Zero Trust come "presupporre una violazione", perché gli elementi vengono crittografati automaticamente, e "verificare in modo esplicito", perché gli elementi possono essere decrittografati solo per essere visualizzati dagli utenti autorizzati.

Prevenzione della perdita di dati (DLP)

Oltre alla protezione dei dati, l'organizzazione deve anche evitare la perdita di dati. Ciò può verificarsi tramite un comportamento rischioso o un'oversharing accidentale di informazioni riservate. L'organizzazione deve essere in grado di gestire e impedire il trasferimento e la condivisione inappropriati dei dati sensibili. A tale scopo, è possibile creare criteri di prevenzione della perdita dei dati. Si tratta di criteri che descrivono le azioni da intraprendere per impedire la condivisione o l'accesso ai dati in modo non autorizzato.

Ad esempio, l'organizzazione può creare un criterio che indica che tutti gli elementi riservati, ad esempio messaggi di posta elettronica o file, non devono essere visualizzati o modificati da utenti non autorizzati. I criteri possono essere costituiti dai dettagli di configurazione generali indicati di seguito:

  • Condizioni: è possibile specificare una condizione per indicare che questo criterio deve essere applicato a tutti gli elementi, ad esempio messaggi di posta elettronica e documenti con l'etichetta di riservatezza “riservato”.
  • Azioni: è possibile descrivere le azioni da eseguire se la condizione corrisponde. Ad esempio, impedire agli utenti di ricevere elementi riservati come documenti o messaggi di posta elettronica o inviare elementi riservati o impedire solo agli utenti esterni all'organizzazione di ricevere o visualizzare elementi riservati.

Lo strumento di sicurezza cloud dell'organizzazione applica automaticamente questo criterio. Ad esempio, si supponga che un utente tenti accidentalmente di inserire un documento etichettato come "riservato" in un messaggio di posta elettronica inviato a un gruppo che include alcuni utenti esterni. Il criterio entra in vigore e impedisce all'utente di inviare il messaggio di posta elettronica fino a quando non ha rimosso il documento o ha verificato che non siano più presenti utenti non autorizzati nell'elenco dei destinatari del messaggio. In questo modo, l'organizzazione può applicare il principio di Zero Trust "usare l'accesso con privilegi minimi" perché solo gli utenti autorizzati possano accedere agli elementi. È possibile applicare il principio "verifica esplicitamente" perché vengono usate etichette per verificare se gli utenti possono accedere agli elementi.

Tutto ciò significa che l'organizzazione può controllare automaticamente l'accesso ai dati e, a sua volta, evitare la perdita di dati causata da comportamenti inappropriati o non autorizzati. Inoltre, poiché questi criteri si basano su cloud, l'organizzazione trarrà vantaggio dalla possibilità di ridimensionarli e ottimizzarli per apportare modifiche e miglioramenti inclusi per la prevenzione della perdita di dati.