|

    Smascherare i dati ombra: Come proteggere la sua organizzazione dai suoi rischi

    I dati ombra spesso si nascondono in luoghi inosservati e possono mettere a rischio la sicurezza di un’organizzazione. In questa guida esploreremo cosa sono i dati ombra, perché sono importanti, gli strumenti per affrontarli, gli esempi reali e le strategie efficaci per gestirli, consentendole di proteggere le informazioni sensibili e di mantenere il controllo.

    1. L’ascesa dei dati ombra: Statistiche chiave

    Il rapporto 2024 Cost of a Data Breach di IBM sottolinea i rischi crescenti posti dai dati ombra, ovvero i dati non gestiti che risiedono in fonti non autorizzate o non tracciate. Queste statistiche ne illustrano l’impatto:

    • Prevalenza: I dati ombra sono stati coinvolti nel 35% delle violazioni di dati, evidenziando la sfida di gestire la proliferazione dei dati negli ambienti.
    • Costi più elevati: Le violazioni di dati che coinvolgono i dati ombra hanno avuto un costo medio di 5,27 milioni di dollari, pari al 16,2% in più rispetto alle violazioni senza dati ombra. Scopra qui il metodo per calcolare il costo di una violazione dei dati.
    • Cicli di vita più lunghi: Le violazioni con dati ombra sono durate in media 291 giorni, il 24,7% in più rispetto alle violazioni senza dati ombra. In particolare, le violazioni che coinvolgono i dati ombra hanno richiesto il 26,2% in più di tempo per essere identificate e il 20,2% in più per essere contenute.
    • Complessità di archiviazione: L’archiviazione dei dati in più ambienti aumenta i rischi. Il 40% delle violazioni ha riguardato strategie di archiviazione in più ambienti, con dati sparsi tra cloud pubblico, cloud privato e on-premise. Al contrario, quando i dati venivano archiviati in un solo tipo di ambiente, le violazioni si verificavano meno frequentemente: Cloud pubblico (25%), On premises (20%), Cloud privato (15%). Qui mostriamo come proteggere i documenti aziendali nei sistemi di archiviazione.
    • Non solo un problema di cloud: il 25% delle violazioni che hanno coinvolto i dati ombra si sono verificate esclusivamente in sede, il che indica che i rischi dei dati ombra non sono limitati all’archiviazione in cloud.

    Queste cifre dimostrano l’importanza dei dati ombra per le organizzazioni e l’impatto che hanno oggi.

    2. Che cosa sono esattamente i dati ombra?

    I dati ombra si riferiscono ai dati che esistono all’interno di un’organizzazione, ma che rimangono al di fuori della visibilità o del controllo dei suoi processi formali di IT o di sicurezza. Questi dati finiscono spesso “nell’ombra” a causa della loro archiviazione in luoghi non autorizzati, come unità cloud personali, dispositivi locali o piattaforme di terze parti non gestite. Anche se questi dati possono provenire da attività aziendali legittime, la loro mancanza di governance crea vulnerabilità di sicurezza.

    I dati ombra possono presentare rischi significativi per le organizzazioni. Senza un’adeguata supervisione, possono portare a violazioni della sicurezza, fughe di dati e violazioni della conformità. La comprensione dei dati ombra è fondamentale per le organizzazioni per garantire la privacy dei dati, proteggere la proprietà intellettuale e mantenere la conformità normativa.

    Esempi del mondo reale:

    I dati ombra possono emergere in vari modi durante le mansioni di routine di un dipendente, come ad esempio:

    • Utilizzo di account e-mail personali: I dipendenti che inoltrano documenti di lavoro a indirizzi e-mail personali per completare le attività da casa, esponendo dati sensibili a sistemi non controllati.
    • Condividere i file sull’archiviazione cloud personale: Caricare relazioni aziendali, presentazioni o fogli di calcolo su servizi come Dropbox, Google Drive o iCloud per facilitare la collaborazione, senza un’adeguata supervisione.
    • Creare copie locali dei documenti: Scaricare i file aziendali sensibili su unità locali, chiavette USB o archivi esterni per l’accesso offline, spesso senza crittografia o visibilità.
    • Duplicati non tracciati: I dipendenti creano e condividono versioni modificate dei documenti originali, con conseguenti copie di file non gestite e non protette su dispositivi personali o esterni.
    • Utilizzo di applicazioni non autorizzate: Condividere i dati aziendali utilizzando applicazioni di messaggistica come WhatsApp o Slack, esponendo potenzialmente informazioni riservate a parti non autorizzate.
    • Conservazione di file obsoleti: I dipendenti conservano versioni precedenti di documenti sensibili in locale o su dispositivi personali, ignorando le politiche IT per la rimozione o l’aggiornamento dei dati.

    2. Chiara differenziazione tra Shadow Data e Shadow IT

    Lo Shadow IT comprende l’uso di software, hardware o servizi di terze parti non autorizzati all’interno di un’organizzazione. Questi strumenti o sistemi vengono introdotti e utilizzati dai dipendenti senza l’approvazione o la supervisione del reparto IT, con potenziali rischi per la conformità e la sicurezza.

    I dati ombra, invece, si riferiscono specificamente a copie non gestite, nascoste o non tracciate di dati al di fuori dell’ambito del monitoraggio e dei controlli ufficiali di un’organizzazione. Spesso si verifica quando i dipendenti gestiscono informazioni sensibili attraverso piattaforme o metodi non autorizzati, come il salvataggio di file di lavoro su dischi personali o la condivisione di dati attraverso servizi cloud non autorizzati.

    Un dipendente che inoltra file aziendali sensibili dalla propria e-mail di lavoro a un account e-mail personale crea dati ombra, copie non gestite dei file sono ora conservate al di fuori dei sistemi dell’organizzazione. Se lo stesso dipendente utilizza una piattaforma di condivisione di file online non approvata, come Dropbox, per condividere i file con un collega, questo costituisce uno shadow IT, in quanto comporta l’utilizzo di una piattaforma non autorizzata.

    Comprendere la differenza tra Shadow Data e Shadow IT è fondamentale, perché i rischi, le cause e le strategie di mitigazione sono diversi. Gli Shadow Data hanno un impatto diretto sull’integrità dei dati, sulla privacy e sulla conformità, perché le informazioni sensibili esistono in luoghi in cui non si applicano le politiche di governance. Per saperne di più sulla triade CIA. Lo Shadow IT, invece, riguarda la tecnologia stessa, con rischi legati a strumenti non collaudati, vulnerabilità del software o errori di integrazione. Le organizzazioni devono affrontare questi due problemi in modo diverso per proteggere adeguatamente i loro sistemi e i loro dati.

    I dati ombra e l’IT ombra sono spesso confusi perché spesso si presentano insieme. Ad esempio, i dati ombra vengono spesso creati come risultato dell’utilizzo dello Shadow IT. Strumenti o piattaforme non approvati generano inavvertitamente dati non protetti o non monitorati. Questa sovrapposizione rende più difficile per le organizzazioni distinguere tra le due cose e porta a sfide nell’identificare e affrontare la causa principale.

    4. Caratteristiche dei dati ombra

    I dati ombra si presentano in varie forme e possono esistere in luoghi difficili da monitorare. Comprendere le sue caratteristiche e i suoi tipi aiuta le organizzazioni a identificarli e ad affrontarli in modo efficace.

    Tipi di dati ombra

    • Backup non gestiti: Dati archiviati in vecchi backup non gestiti su unità, dispositivi o cloud storage. Esempio: Un dipendente crea una copia locale dei file del database per “sicurezza” e se ne dimentica.
    • Uso dell’archiviazione personale: File archiviati su dispositivi personali, unità USB o account cloud personali che non rientrano nel monitoraggio aziendale. Esempio: Esportazione di fogli di calcolo di lavoro su un account personale Dropbox o Google Drive. È importante condividere i file in modo sicuro sui dispositivi mobili per evitare fughe di notizie. Le mostriamo come fare.
    • Dati obsoleti o orfani: I dati lasciati da processi o applicazioni obsolete che non sono più in uso. Esempio: Dati CRM archiviati su un server dismesso, ma mai eliminati.
    • Dati nascosti nelle applicazioni SaaS: File o dati archiviati in piattaforme SaaS di terze parti non integrate con i sistemi dell’organizzazione. Esempio: File di progetto caricati su account Trello o Asana creati senza l’approvazione dell’IT.
    • Ambienti di test o di sviluppo: Copie di dati di produzione utilizzati in ambienti di sviluppo o di test che non sono adeguatamente protetti. Esempio: Uno sviluppatore scarica dati sensibili del cliente per utilizzarli nei test locali.
    • Set di dati ombra: I dati aggregati o isolati in fogli di calcolo, rapporti o dashboard che derivano da pratiche di reporting non approvate. Esempio: Un dipendente crea un report Excel dai dati scaricati e lo condivide internamente senza aggiornare le autorizzazioni di sicurezza.

    Identificare i dati ombra

    • Cerchi l’attività fuori rete: File archiviati su account cloud personali come Google Drive o OneDrive. Dipendenti che salvano documenti su dispositivi personali o unità USB.
    • Monitorare l’utilizzo di piattaforme non approvate: I dati ombra sono spesso correlati allo Shadow IT (ad esempio, i dati negli strumenti SaaS non approvati).
    • Controlli i sistemi o gli ambienti obsoleti: I server legacy, i vecchi database e i backup inutilizzati sono fonti comuni di dati ombra.
    • Traccia copie, duplicati ed esportazioni: File duplicati salvati in cartelle locali, fogli di calcolo non autorizzati e rapporti esportati. Anche la manomissione dei dati è una minaccia seria, qui spieghiamo maggiori dettagli.
    • Identificare i dati non etichettati o orfani: I dati senza un chiaro proprietario, autorizzazioni o scopo, spesso si trovano nelle cartelle condivise o nell’archiviazione cloud. La Data Protection Federation è una buona opzione per questo.

    Analizzandoli, le organizzazioni possono individuare le fonti di dati ombra. L’identificazione di questi tipi e della loro ubicazione è il primo passo verso la mitigazione dei rischi che essi comportano.

    5. Cause principali dei dati ombra

    I dati ombra sono spesso il risultato di lacune nei processi organizzativi, mancanza di supervisione e comportamenti umani che eludono i controlli stabiliti. Comprendere le cause principali aiuta le organizzazioni a implementare strategie per prevenirli in modo efficace. Cause comuni dei dati ombra:

    • Shadow IT: quando i dipendenti utilizzano strumenti o piattaforme non approvati senza informare i team IT o di governance. Esempio: Un team di marketing utilizza uno strumento SaaS gratuito per archiviare i dati delle campagne, aggirando l’approvazione dell’IT.
    • Mancanza di governance dei dati: L’assenza di una chiara responsabilità per i dati può portare a file non gestiti o orfani. Esempio: Un team carica dati sensibili in una cartella condivisa senza assegnare a qualcuno il compito di mantenerli o monitorarli.
    • Pratiche di gestione dei dati non approvate: I dipendenti creano backup non ufficiali, duplicano i file o esportano i dati per comodità senza proteggerli adeguatamente. Esempio: Un dipendente salva i dati dei clienti su un’unità USB personale per accedervi offline.
    • Archiviazione complessa o in più ambienti: L’archiviazione dei dati in più ambienti (ad esempio, cloud pubblico, cloud privato, server on-premise) rende più difficile il monitoraggio e la gestione. Esempio: Un set di dati viene copiato su varie piattaforme cloud per facilitare la collaborazione, lasciando i duplicati non gestiti.
    • Sistemi e processi obsoleti: Sistemi o flussi di lavoro obsoleti spesso lasciano dietro di sé dati inutilizzati, dimenticati ma ancora accessibili. Esempio: Un’applicazione in pensione lascia i vecchi record dei clienti su un server che non è stato mantenuto.
    • Errore umano e cattiva comunicazione: Copia accidentale di file, collaborazione informale o mancanza di politiche chiare per la gestione dei dati. Esempio: Un membro del team condivide fogli di calcolo finanziari via e-mail senza crittografia o tracciamento.
    • Consapevolezza dei dipendenti: La mancanza di consapevolezza da parte dei dipendenti sull’importanza della governance dei dati porta alla creazione involontaria e alla cattiva gestione dei dati ombra. Esempio: I dipendenti potrebbero non conoscere i rischi di salvare dati sensibili su dispositivi personali o piattaforme cloud per accedervi rapidamente.

    6. Rischi associati ai dati ombra

    I dati ombra comportano rischi significativi per le organizzazioni, derivanti principalmente dalla loro mancanza di visibilità e di controllo. Il problema principale dei dati ombra risiede nella loro vulnerabilità intrinseca: quando vengono rubati, divulgati pubblicamente o condivisi accidentalmente, le organizzazioni corrono rischi significativi. Poiché i dati ombra sono spesso non gestiti e sconosciuti, rimangono esposti e suscettibili alle violazioni, rendendo molto più facile lo sfruttamento da parte di attori malintenzionati.

    Rischi finanziari

    I dati ombra possono comportare costi imprevisti associati alle violazioni dei dati o alla perdita di informazioni sensibili. Quando i dati sono al di fuori dei protocolli di conformità e sicurezza, le spese di riparazione possono aumentare rapidamente. Esempio: Un’azienda deve affrontare perdite finanziarie inaspettate dopo che una violazione dei dati espone informazioni riservate dei clienti conservate in un servizio cloud non autorizzato. Le organizzazioni dovrebbero tenerne conto nei loro piani di risposta alle violazioni di dati; scopra come svilupparne uno qui.

    Rischi di reputazione

    L’esposizione di dati ombra può offuscare la reputazione di un’organizzazione ed erodere la fiducia dei clienti. La notizia di un incidente sui dati può danneggiare la credibilità di un marchio, con conseguenti impatti a lungo termine sulla fedeltà dei clienti e sulle partnership. Esempio: Una fuga di dati da un database non autorizzato danneggia la reputazione di un’azienda, causando una copertura mediatica negativa e la perdita di clienti.

    Multe regolamentari e di conformità

    La mancata conformità alle normative sulla protezione dei dati a causa dei dati ombra può comportare multe salate e ripercussioni legali. Le organizzazioni rischiano di violare leggi come il GDPR, il NIS2 o il CIS Critical Security Control 3 v8, se i flussi di dati non autorizzati vengono trascurati. Esempio: Un’azienda deve affrontare sanzioni sostanziali dopo aver fallito un audit di conformità perché l’IT ombra creato dai dipendenti ha aggirato le misure di controllo dei dati.

    Svantaggio competitivo

    I dati ombra possono far trapelare inavvertitamente informazioni aziendali strategiche ai concorrenti. I dati che non si trovano all’interno di ambienti controllati sono più suscettibili di attacchi o di condivisioni accidentali, compromettendo l’innovazione e la competitività. Esempio: Le informazioni proprietarie archiviate in un account personale non protetto diventano accessibili ai concorrenti, danneggiando la posizione di mercato dell’organizzazione.

    7. Strategie per prevenire i dati ombra

    La prevenzione dei dati ombra richiede un approccio strategico e iterativo che combina valutazione, identificazione, gestione del rischio, implementazione dei controlli e miglioramento continuo. Di seguito sono riportati i passi chiave che le organizzazioni possono compiere per affrontare e mitigare efficacemente i dati ombra:

    • 1. Eseguire un’analisi GAP e comprendere il contesto dell’organizzazione: Iniziare ad analizzare le pratiche attuali di gestione dei dati e comprendere il contesto specifico della sua organizzazione. Esamini dove esistono lacune nella governance, nella visibilità o nel controllo. Esempio: Valutare quali reparti o team tendono ad utilizzare strumenti non autorizzati, come i servizi cloud personali, per archiviare o elaborare i dati.
    • 2. Identificare i tipi di dati ombra: Cataloghi i dati ombra identificando dove risiedono e come vengono creati. Si concentri sui sistemi non controllati, sugli strumenti creati dagli utenti e sulle posizioni o applicazioni di archiviazione non approvate. Esempio: Un team IT esamina le cartelle condivise da tutti i team e scopre file con dati sensibili dei clienti archiviati in servizi cloud non autorizzati. Esistono molti tipi di informazioni sensibili, bisogna sapere come identificarle.
    • 3. Identificare i rischi: Valutare i rischi associati ai dati ombra scoperti, compresi gli impatti finanziari, reputazionali e normativi. Dare priorità ai dati ad alto rischio in base alla loro sensibilità ed esposizione. Esempio: Mappare i rischi legati ai database sensibili dei clienti trovati negli strumenti non autorizzati di un team di marketing, che mancano di crittografia e di controlli di sicurezza.*Si noti che è importante utilizzare il tipo di crittografia più forte disponibile.
    • 4. Implementare pratiche, controlli e misure di sicurezza: Stabilisca pratiche e controlli per evitare che i dati ombra vengano creati in primo luogo. Educare i dipendenti sui rischi e imporre l’uso di piattaforme sicure. Implementare strumenti di monitoraggio e tracciamento automatizzato dei dati per segnalare le attività non autorizzate. Esempio: Implementare uno strumento di prevenzione della perdita di dati (DLP) per monitorare i movimenti di dati sensibili e bloccare i trasferimenti a piattaforme non autorizzate, e formare i dipendenti sugli strumenti approvati per archiviare i dati in modo sicuro. Ecco i migliori 9 strumenti per prevenire il furto o la violazione dei dati nella sua organizzazione.
    • 5. Documentare tutti i processi: Sviluppi una documentazione chiara e completa dei sistemi, delle politiche e delle procedure approvate per l’utilizzo dei dati. Si assicuri che i ruoli e le responsabilità per la governance dei dati siano ben documentati. Esempio: Creare un documento di policy centralizzato che delinei dove e come i dipendenti devono archiviare i dati, e distribuirlo in tutta l’organizzazione.
    • 6. Condurre audit regolari: Verifichi frequentemente i suoi sistemi di dati per scoprire nuovi casi di dati ombra e garantire la conformità alle politiche e alle normative di sicurezza. Questo aiuterà a verificare l’efficacia dei controlli. Esempio: Effettuare audit trimestrali dei servizi di cloud storage e dei dispositivi endpoint per individuare i depositi di dati non autorizzati.
    • 7. Migliorare continuamente i punti deboli: Utilizzi i risultati degli audit e il feedback per perfezionare la sua strategia. Affronti i punti deboli nei controlli, riveda le politiche e aggiorni le misure di sicurezza per stare al passo con le minacce in evoluzione. Esempio: Dopo che un audit ha evidenziato la presenza di dati ombra negli strumenti di collaborazione, rafforzi i controlli introducendo politiche di accesso più rigorose e fornendo una formazione supplementare al personale.

    Applicando coerentemente questo quadro, le organizzazioni possono ottenere visibilità sui dati ombra, minimizzarne i rischi e creare una cultura di responsabilità e di gestione sicura dei dati. Si ricordi di seguire le linee guida del modello di fiducia zero.

    8. Strumenti e soluzioni di automazione

    Gli strumenti e le piattaforme di automazione svolgono un ruolo cruciale nell’identificare, gestire e mitigare i rischi dei dati ombra. Queste tecnologie semplificano il processo di scoperta, protezione e monitoraggio dei dati non regolamentati o nascosti nei sistemi di un’organizzazione. Le soluzioni chiave includono:

    • Soluzioni di monitoraggio del cloud: Questi strumenti forniscono visibilità sugli ambienti cloud, identificando i dati ombra generati dall’uso non autorizzato o mal configurato del cloud. Consentono alle organizzazioni di monitorare i flussi di dati, rilevare le anomalie e garantire la conformità alle politiche di sicurezza.
    • Soluzioni di Enterprise Digital Rights Management (EDRM): Gli strumenti EDRM aiutano a proteggere i dati ombra applicando i controlli di accesso e le autorizzazioni, anche quando i dati sono condivisi all’esterno dell’organizzazione. Forniscono un monitoraggio dettagliato e impediscono l’uso non autorizzato. Possono bloccare i tentativi di copia dei contenuti e criptare le copie dei file originali. Una guida per sapere come implementare una soluzione EDRM.
    • Piattaforme di Identity Access Management (IAM): Le piattaforme IAM aiutano a controllare chi può accedere ai dati all’interno di un’organizzazione, garantendo un’autenticazione e un’autorizzazione adeguate. Quadri IAM robusti possono ridurre al minimo il rischio che gli utenti creino o accedano inavvertitamente a dati ombra.
    • Strumenti di prevenzione della perdita di dati (DLP): Le soluzioni DLP monitorano i dati sensibili per prevenire la condivisione o i trasferimenti non autorizzati. Questi strumenti possono identificare le fughe di dati ombra e applicare le politiche di sicurezza su endpoint e reti.
    • Strumenti di rilevamento dei dati: Queste piattaforme analizzano automaticamente i sistemi organizzativi per individuare e classificare i dati nascosti. Fornendo un inventario completo degli asset di dati, consentono alle organizzazioni di comprendere e gestire efficacemente i dati nascosti.

    9. SealPath, il suo alleato contro i dati ombra

    SealPath si distingue come una soluzione potente per combattere i dati ombra grazie alla sua tecnologia avanzata di Enterprise Digital Rights Management (EDRM). Semplifica la protezione dei dati, garantendo la sicurezza e la conformità in più ambienti. Ecco perché SealPath è l’alleato perfetto contro i dati ombra:

    • Protezione automatica dei dati: SealPath protegge automaticamente i file archiviati nelle cartelle del PC locale, nelle piattaforme di archiviazione cloud e nei file server. Questo elimina il rischio che i dati non gestiti rientrino nella categoria dei dati ombra.
    • Integrazione con le regole DLP: SealPath funziona perfettamente con le soluzioni di Data Loss Prevention (DLP), rafforzando le politiche di sicurezza. Protegge le copie dei file e garantisce la salvaguardia dei dati sensibili ovunque risiedano. Protegge i dati in base a regole prestabilite, ad esempio, quando vogliono andare all’esterno, li obbliga ad essere protetti. Questo garantisce una maggiore flessibilità senza compromettere la sicurezza.
    • Controlli di accesso granulari: Blocca le azioni non autorizzate come il copia, l’incolla o la condivisione di contenuti dai file, assicurando una stretta aderenza ai protocolli di sicurezza organizzativa.
    • Monitoraggio e controllo in tempo reale: SealPath fornisce rapporti dettagliati sull’accesso e sull’utilizzo dei file, mantenendo un occhio vigile sui dati ombra e aiutando a identificare potenziali vulnerabilità.
    • Protezione unificata su tutte le piattaforme: Indipendentemente dal fatto che i dati siano archiviati localmente, nel cloud o condivisi all’esterno, SealPath assicura che la protezione segua i dati ovunque vadano.

    Combinando l’automazione, il controllo in tempo reale e la perfetta integrazione con i framework di sicurezza, la tecnologia EDRM di SealPath affronta le sfide dei dati ombra in modo olistico, rendendola un alleato fidato per le organizzazioni che vogliono mantenere la visibilità e la sicurezza dei dati.

    Protegga i suoi dati aziendali sensibili durante tutto il loro ciclo di vita con il nostro strumento EDRM facile da usare

    Iniziare

    10. Conclusione

    I dati ombra comportano seri rischi per la sicurezza e la conformità delle organizzazioni. La mancata identificazione, gestione e protezione di questi dati nascosti o non regolamentati può portare a violazioni dei dati, sanzioni normative e danni alla reputazione. Comprendendo i dati ombra, sfruttando gli strumenti di automazione e adottando soluzioni come la tecnologia EDRM di SealPath, le organizzazioni possono recuperare il controllo, mitigare i rischi e garantire la salvaguardia delle informazioni sensibili ovunque risiedano. La lezione è chiara: la gestione proattiva dei dati e le solide misure di sicurezza sono essenziali per evitare le conseguenze di vasta portata dei dati ombra.

    Calendario degli eventi

    Avete bisogno di ulteriori informazioni?


      Ai sensi dell’art. 13 del Regolamento (UE) 2016/679 Generale sulla Protezione dei Dati, vi informiamo che Ignition tratterà i vostri dati personali al fine di gestire la vostra richiesta. Potete esercitare i vostri diritti in materia di protezione dei dati tramite richiesta al nostro DPO all’indirizzo gdpr@ingecom.net. Potete ottenere ulteriori informazioni sul trattamento dei vostri dati nella nostra informativa sulla privacy pubblicata su https://ignition-technology.it.