Negli ultimi giorni la questione della fuga di dati sensibili legata a WikiLeaks ha portato aziende e organi governativi a ragionare su un problema che non è affatto nuovo: come portare avanti il proprio business assicurandosi che l’accesso a dati sensibili e informazioni privilegiate rimanga sotto controllo.
Per avere un’idea dell’entità del problema basta pensare che nel 2005 sono stati rubati alla Bank of America e altri istituti 800.000 dati in un unico attacco. Nel 2008, più di 8 milioni di dati sanitari sono stati rubati da un sito del governo americano e gli hacker hanno poi hanno tentato di ricattare gli individui coinvolti. Sempre negli Stati Uniti, nel 2009 sono state rubate 11 milioni di identità.
Come mai ci si trova di fronte a questi furti di dati? Malizia umana, incompetenza tecnologica e stupidità generalizzata giocano un ruolo importante in questa situazione. E’ certamente molto difficile andare contro la natura umana, ma non è impossibile utilizzare la tecnologia per prevenire e ridurre al minimo questi disagi.
Riconoscere che tutti questi episodi hanno una componente umana è una delle chiavi per evitare queste perdite e il fondamento per eliminare questi furti è comprendere chi ha accesso a quali dati e in quali circostanze, monitorando inoltre in tempo reale come questi dati possono essere utilizzati e diffusi.
Attualmente le soluzioni di Identity Management, un insieme di tecnologie che forniscono agli individui privilegi per l’accesso ai dati e controllano come questi gli accessi vengono utilizzati, sono ad uno stato maturo di sviluppo e molto ben conosciute, anche se purtroppo ancora molto poco utilizzate.
Nel recente caso di WikiLeaks è chiaro che se le policy base di sicurezza fossero state applicate, i danni sarebbero stati ridotti al minimo. Inoltre se la tecnologia fosse stata utilizzata in modo corretto l’identità del ladro sarebbe stata svelata in pochi minuti.
Il recente annuncio che il trasferimento dati tramite chiavette USB e CD sarà disabilitato non è che un limitatissimo modo di affrontare il problema. La legittima condivisione dei dati è un requisito fondamentale, soprattutto in ambito militare, e non dovrebbe essere limitata.
Quello che le aziende ed altre organizzazioni devono fare è implementare tecnologie che riguardano la sicurezza e rinforzare e applicare policy che siano in grado di ridurre in maniera significativa i rischi di perdita dei dati. In questo modo si potranno ridurre in maniera importante i rischi e le perdite e assicurare che i colpevoli possano essere fermati molto prima di causare gravi danni”.
