crittografia dei dati

Come impedire che la perdita di un Pc portatile possa danneggiare la vostra reputazione e le vostre tasche?

I laptop sono ormai estremamente diffusi in tutti gli ambienti IT. Quanti dei vostri collaboratori li usano in ufficio, in viaggio o lavorando da casa?

Estremamente comodi e una vera e propria benedizione per quanto riguarda la produttività, i laptop rappresentano tuttavia una grossa responsabilità per chi li possiede. Sono facili da perdere ed è semplice per un ladro rubarli.

A conti fatti, la maggior parte delle aziende probabilmente pensano che valga la pena rischiare. Ma i rischi sono notevoli se si considera la quantità  di dati importanti memorizzati su computer portatili dei dipendenti e che la possibilità di una loro perdita, potrebbe significare non solo conseguenze di tipo legale, ma anche danni all’immagine.

Prendiamo il recente esempio di SterlingBackcheck, una società del Texas che fornisce servizi di background screening a clienti di tutto il mondo.

All’inizio di agosto 2015 la SterlingBackcheck ha spedito una lettera informando che qualche mese prima “un laptop protetto da password era stato rubato dall’auto di un impiegato della SterlingBackcheck.”

Il computer conteneva dati non criptati compresi nomi, numeri di previdenza sociale e date di nascita di circa 100.000 persone. Una vera e propria miniera d’oro per un ladro di identità.

Ecco perché SterlingBackcheck ha offerto monitoraggio e protezione dal furto di identità gratuiti a coloro che sono stati colpiti ( si tratta di servizi che normalmente sono a pagamento e che in questo caso ha pagato SterlingBackcheck)

Immaginate se questa fosse stata la vostra azienda: non solo avreste dovuto affrontare l’imbarazzo, e i costi, dell’informare i vostri clienti che i loro dati erano stati trafugati, ma avreste dovuto anche fare i conti con la prospettiva di una attenzione negativa da parte dei media per l’incidente e da parte di quei clienti, partner e potenziali clienti che avrebbero messo in discussione l’affidabilità della vostra azienda.

Il rischio che ciò accada alla la vostra attività è purtroppo abbastanza alto. Anche se è indubbio che dobbiate proteggervi dalla minaccia degli hacker, un’ampia percentuale di perdita dei dati è il risultato di un portatile, un drive USB o un dispositivo mobile persi o rubati. Secondo uno studio del settore sanitario, il 70% dei dati persi nel 2013 da organizzazioni sanitarie della California è risultato dalla perdita o dal furto di un dispositivo fisico, come un disco fisso o portatile.

La cosa più sconcertante di questi rapporti è che quasi mai si sente dire che i dati su dispositivi persi o rubati erano stati crittografati. Secondo il Verizon Data Breach Investigation Report 2015, un’analisi delle violazioni dei dati ha rilevato che espressioni come “in chiaro”, “non crittografato” e “senza crittografia” erano presenti in un numero quattro volte superiore nei rapporti sugli incidenti rispetto a frasi come “è stato criptato” o simili.

Questo è un peccato, perché la crittografia del disco e del dispositivo è assolutamente la miglior difesa contro questo tipo di perdita di dati. Quando i dati vengono crittografati, essi sono criptati in formato non leggibile chiamato testo cifrato, e solo la persona con la chiave di crittografia li può decodificare.

Vorrei far notare un’altra cosa sull’avviso di SterlingBackcheck alle persone colpite dalla violazione dei dati a causa della perdita del portatile. L’azienda dice che il computer portatile era “protetto da password”, come se questa potesse essere una sorta di adeguata difesa contro la perdita di dati.

In realtà la protezione con password di un laptop non criptato  non vale quasi nulla visto che le password possono essere decifrate in pochi minuti. Inoltre ad un ladro basterebbe solo mettere il disco rigido del portatile in un altro computer, o avviare il computer “protetto” da un CD o una chiave USB al per avere accesso ai vostri dati.

Che cosa succede invece se i dati su un computer portatile perso sono stati cifrati? Non c’è modo per un truffatore di poterli leggere e il portatile varrebbe solo tanto quanto il ladro potrebbe ottenere per la vendita delle sue parti.

Quindi, perché le aziende che crittografano i loro computer portatili e gli altri dispositivi non sono più numerose? E ‘un piccolo mistero, ma io credo che sia perché pensano di avere già adottato le misure di sicurezza più adeguate, o che la crittografia sia troppo difficile o costosa da implementare.

Si tratta di falsi miti.

Se volete essere assolutamente sicuri di aver protetto i vostri dati, la crittografia dovrebbe essere la vostra prima linea di difesa.

E se pensate ancora che la crittografia sia una seccatura, date un’occhiata alle risorse su sophos.com/encrypt, tra cui white paper gratuiti, report e video che vi mostreranno quanto possa essere semplice.

Se poi vuoi verificare come migliorare la tua sicurezza informatica