23/05/2019 di Redazione

I cinque falsi miti della crittografia in azienda

“Non sono a rischio di violazione”, “è uno spreco di soldi”, “è troppo complicato”: le imprese sembrano ancora restie ad adottare soluzioni avanzate di crittografia per proteggere i propri dati. Ma questa tecnologia è davvero così difficile da applicare?

immagine.jpg

Sono ancora troppi i preconcetti che impediscono alle aziende di adottare soluzioni di crittografia per proteggere i propri dati. Una riluttanza che, in caso di perdita massiccia di informazioni, potrebbe rivelarsi costosa. Diamo un’occhiata più da vicino ai cinque miti sulla crittografia con l’aiuto di Stormshield.

 

“Crittografare i miei dati è uno spreco di denaro”

La crittografia dei dati è un po’ come una polizza assicurativa: se ne nota l’utilità solo quando sorgono problemi. Ma le cifre parlano chiaro. Secondo l’indagine “2018: Studio sui costi della violazione dei dati, panoramica globale”, condotto da Ponemon Institute per Ibm, nel 2018 il costo medio per singola violazione si attestava in Italia a oltre 3 milioni di euro, con un volume medio di dati violati di 22.633 unità. Non possiamo quindi più permetterci di ignorare le nuove potenziali fonti di vulnerabilità, compresi il nomadismo digitale, i servizi di condivisione di documenti basati su cloud e il maggiore utilizzo di oggetti connessi.

“Ricorrere alla crittografia è troppo complicato”

Middleware, Pki, schede crittografiche e una grande varietà di altre policy di certificazione: fino a pochi anni fa, la complessità delle procedure di protezione dei dati scoraggiava anche il più determinato tra i potenziali interessati. Ma oggi i produttori offrono soluzioni che non richiedono più l’implementazione di un’infrastruttura molto complessa. Che si tratti di utenti finali o amministratori, queste nuove soluzioni rendono l’integrazione e la gestione dei sistemi di crittografia nettamente più trasparente. La modalità Software-as-a-Service, per esempio, ha consentito di ridurre notevolmente i costi per infrastrutture e manutenzione.

“Esistono altre soluzioni efficaci come la crittografia”

Il concetto di crittografia è spesso associato all’utilizzo di reti private virtuali (Vpn) per proteggere i dati in transito su Internet. Tuttavia, questi sistemi di protezione non garantiscono l’integrità delle informazioni in particolari situazioni, come il furto del terminale. D’altronde, oltre a Vpn, firewall e diritti di accesso, la crittografia del disco rigido sui dispositivi sta diventando una soluzione sempre più praticabile. In questo caso è il terminale stesso (e non i dati) a essere protetto contro la minaccia di furto fisico. Queste soluzioni aggiuntive possono e devono essere prese in considerazione in concomitanza di una soluzione per la crittografia dei dati: quasi una “santa trinità” delle policy di sicurezza delle informazioni. In questo modo, indipendentemente da chi ha accesso alla workstation, al server o al sistema di condivisione basato su rete o cloud, solo l’utente con i diritti di decodifica può utilizzare i dati in questione.

“La crittografia non ci serve: gli attacchi informatici a noi non capitano”

Non sono a rischio. Non ho dati sensibili che necessitano di protezione. Questo tipo di osservazioni sono più comuni di quanto si pensi, e non solo presso associazioni o autorità locali. La responsabilità non riguarda solo chi gestisce informazioni sensibili. Secondo il Gdpr ognuno è responsabile della protezione di dati relativi agli individui, come per esempio quelli dei propri dipendenti. In Francia, la decisione della Cnil (il Garante della privacy transalpino, ndr) di multare un centro ottico con una sanzione di 250.000 euro nel giugno 2018 per non aver protetto le informazioni dei propri clienti è la prova che la negligenza stessa può essere costosa. E la minaccia è onnipresente.

“Se cifro i miei dati, potrei non potervi accedere mai più”

Molte persone temono ancora di perdere i loro dati qualora dimentichino la password per la decrittazione, o nel caso in cui un dipendente lasci l’azienda. Ma esistono tecnologie che possono evitare questo tipo di inconvenienti, come il recupero dei dati in caso di emergenza. La tecnica key escrow rappresenta un’altra possibilità: si utilizza un database cirrato per memorizzare tutte le chiavi impiegate.

 

ARTICOLI CORRELATI