Parte dall’assunto che non possiamo più permetterci di ignorare le numerose nuove potenziali fonti di vulnerabilità, compresi il nomadismo digitale, i servizi di condivisione di documenti basati su cloud e il maggiore utilizzo di oggetti connessi il white paper messo a punto da Stormshield per parlare di sicurezza.
Secondo lo sviluppatore di soluzioni di sicurezza end-to-end innovative, sono troppi i preconcetti che a tutt’oggi impediscono alle aziende di adottare soluzioni di crittografia per proteggere i propri dati.
Al contrario, la crittografia dei dati è un po’ come una polizza assicurativa: se ne nota l’utilità solo quando sorgono problemi. Ma le cifre parlano chiaro. Secondo lo studio sui costi della violazione dei dati condotto da Ponemon Institute per IBM, nel 2018 il costo medio per singola violazione si attestava in Italia su 3,43 milioni di dollari, con un volume medio di dati violati di 22.633 unità.
Allo stesso modo sarà meglio specificare che implementare la crittografia “non è troppo complicato”.
Se è vero che, fino a pochi anni fa, la complessità delle procedure di protezione dei dati scoraggiava anche il più determinato tra i potenziali interessati, oggi i produttori offrono soluzioni che non richiedono più l’implementazione di un’infrastruttura ultra-complessa. Che si tratti di utenti finali o amministratori, queste nuove soluzioni rendono l’implementazione e la gestione dei sistemi di crittografia nettamente più trasparente. La modalità SaaS, ad esempio, ha consentito di ridurre notevolmente i costi per infrastrutture e manutenzione.
Inoltre, se il concetto di crittografia è spesso associato all’implementazione di reti private virtuali (VPN) utili per proteggere i dati in transito su Internet, va detto che questi sistemi di protezione non garantiscono l’integrità dei dati in situazioni come il furto del terminale.
D’altra parte, oltre a VPN, firewall e diritti di accesso, la crittografia del disco rigido sui terminali sta diventando una soluzione sempre più praticabile. Qui, è il terminale stesso – e non i dati – a essere protetto in particolare, contro la minaccia di furto fisico.
Queste soluzioni aggiuntive possono e dovrebbero essere prese in considerazione in concomitanza di una soluzione per la crittografia dei dati, quasi una “santa trinità” delle policy di sicurezza delle informazioni. In questo modo, indipendentemente da chi ha accesso alla workstation, al server o al sistema di condivisione basato su rete o cloud, solo l’utente con i diritti di decodifica può utilizzare i dati in questione.
Un altro buon motivo per implementare la crittografia è che la responsabilità della protezione dei dati non riguarda solo chi gestisce informazioni sensibili. Il regolamento generale sulla protezione dei dati (GDPR) ricorda a coloro che potrebbero essere in dubbio che ognuno è responsabile della protezione di dati relativi agli individui, come ad esempio i propri dipendenti.
In Francia, la decisione della CNIL di multare un centro ottico con una sanzione di 250.000 euro nel giugno 2018 per non aver protetto i dati dei propri clienti è la prova che la negligenza stessa può essere assai costosa. E la minaccia è onnipresente. Recentemente, persino Altran, colosso della consulenza tecnologica, è stato vittima di un attacco informatico.
Infine, se molte persone temono ancora di perdere i loro dati qualora dimentichino la password per la decrittazione, o qualora un dipendente lasci l’azienda senza comunicarla, va ricordato che esistono tecnologie in grado di aiutare a evitare questo tipo di inconvenienti, come il recupero dei dati, che fornisce accesso ai dati a una o più persone all’interno di un’azienda in caso di emergenza. La tecnica key escrow rappresenta un’altra possibilità, ove un database – ovviamente crittografato – è usato per memorizzare tutte le chiavi di cifratura impiegate in azienda.
In breve, dato che subire un furto di dati è molto più costoso che proteggerli, che nel tempo la tecnologia è diventata molto più fruibile, che nessuno è al sicuro dagli attacchi informatici e, che, infine, la cifratura dei dati rimane uno dei sistemi di protezione più efficaci, non c’è davvero nessun motivo per cui le aziende non dovrebbero adottare solide soluzioni di crittografia.