La crittografia è un metodo efficace per garantire la protezione dei dati, ma fatica a prendere piede nelle aziende e nelle organizzazioni. Crittografia: perché preoccuparsi? Focus su un tema importante per la sicurezza informatica.
A livello mondiale, solo un'azienda su due applica sistematicamente misure di crittografia come parte della propria strategia di protezione dei dati sensibili. Un dato del 50%, tratto da uno studio di Entrust, che può sembrare soddisfacente, ma che in realtà dovrebbe essere un monito. Infatti, ciò equivale a dire che un'azienda su due non applica sistematicamente una strategia di crittografia dei dati...
É ancora necessario ribadire che la crittografia rappresenta uno dei pilastri di qualsiasi politica di sicurezza informatica? Si tratta di una soluzione semplice ed efficace per garantire la protezione dei dati dall'accesso, dalla distorsione o dal furto da parte di terzi malintenzionati. Tuttavia, molte aziende non la utilizzano ancora in modo sistematico. Precisazioni.
La crittografia dei dati all'alba del 2023
Innanzitutto, cos'è la crittografia? La crittografia è una tecnica che, per proteggere i dati, li rende illeggibili. Solo le persone autorizzate possono quindi recuperare le chiavi di accesso per decifrarne il contenuto. La crittografia può essere superficiale (a livello di terminale) o unitaria (a livello di file). Come sottolinea Guillaume Boisseau, responsabile dei servizi professionali di Stormshield, a tal riguardo possono essere messe in atto alcune buone pratiche: “Un buon principio da seguire è quello di criptare tutti i dati sensibili, ovvero di vitale importanza per l'azienda e le sue attività. Mi riferisco a dati sensibili come bandi di gara e informazioni di ogni tipo su clienti, fornitori o subappaltatori.“
Con l'avvento dei computer e la proliferazione degli scambi a partire dagli anni '80, alcuni utenti del settore pubblico e delle aziende hanno iniziato a interessarsi ai metodi di crittografia. Più di recente, i nuovi usi dei dispositivi mobili e la diffusione massiccia degli strumenti di collaborazione hanno riportato in primo piano la questione della protezione dei dati e la necessità della crittografia. Tuttavia, tale impulso è stato smorzato dalla promessa di crittografia nativa che è fiorita nelle applicazioni di messaggistica come Telegram, Signal o WhatsApp, o nelle piattaforme di collaborazione Microsoft 365 e Google Workspace. Sebbene “diversi operatori offrano oggi soluzioni di crittografia native - afferma Joseph Graceffa, presidente del CLUSIR Nord de France - dobbiamo considerare che ciò significa affidare le chiavi di accesso a questi stessi operatori“. Perché nell’implementazione della protezione dei dati sensibili, l'accesso a tali informazioni ha lo stesso livello di criticità dei dati protetti. Nel momento in cui la gestione delle chiavi di accesso viene affidata a terzi, è essenziale che l’azienda ne mantenga il controllo. Il controllo di queste chiavi di accesso assume un’importanza ancora maggiore quando ad ospitare i dati sensibili è anche una terza parte di fiducia, che potrebbe accedervi facilmente. Il controllo delle chiavi di crittografia garantisce quindi che i server di archiviazione non visualizzino mai i dati in chiaro, né la chiave da utilizzare per decifrarli. Nozioni semplici di igiene digitale aziendale per garantire la sicurezza e la riservatezza dei dati sensibili. In pratica, però, la crittografia fatica a essere implementata nelle aziende, sia sulle piattaforme utilizzate che per i dati memorizzati nei terminali e nei server.
La difficile implementazione della crittografia nelle aziende
Al giorno d'oggi i dati sono ovunque e vengono scambiati sia all'interno che all'esterno dell'azienda. Secondo uno studio dell'istituto Ponemon per Entrust, solo il 50% delle aziende intervistate ha dichiarato di adottare un piano di crittografia completo, il 37% ha affermato di osservare una politica di crittografia limitata ad alcune applicazioni, mentre il 13% ha dichiarato di non possedere alcuna politica di crittografia dei dati. È quindi evidente una certa resistenza all'uso diffuso di metodi di crittografia per i dati informatici. Ma qual è il motivo di tutta questa riluttanza a criptare i dati?
Le ragioni di questa scarsa disponibilità sono da ricondurre principalmente a questioni organizzative e operative piuttosto che a scelte tecnologiche. La prima difficoltà, di tipo organizzativo, consiste nella definizione di una politica di gestione dei dati, indispensabile per garantirne la protezione, per rispettare le normative vigenti (Garante della privacy, GDPR...) e per sfruttarne al meglio l'analisi. A livello operativo, è necessario avere le giuste competenze per gestire questo progetto e per implementare una vera e propria PKI (Public Key Infrastructure). Questo strumento fondamentale per la crittografia aziendale consiste in un insieme di componenti fisici, procedure umane e software progettati per gestire le chiavi degli utenti/collaboratori. Una gestione delle chiavi di accesso a partire dalla loro generazione fino alla distribuzione e alla diffusione, compresa la gestione dell'obsolescenza e il rinnovo. “Tali questioni relative all'implementazione di strumenti per la gestione e l'utilizzo delle chiavi di crittografia sono spesso al centro del problema“, afferma Joseph Graceffa. Inoltre, la classificazione dei dati è una tematica da prendere in seria considerazione per comprenderne i diversi livelli di sensibilità. Sempre in questo ambito organizzativo, la sensibilizzazione degli utenti va infine di pari passo con un chiaro processo di classificazione. Perché una protezione efficace dei dati ha sempre origine dal soggetto che li genera. È questa la finalità della sensibilizzazione: accrescere la consapevolezza degli utenti sulla corretta applicazione del processo di classificazione. Sono tante le questioni interne che non includono affatto il tema dell'interoperabilità.
Oltre a queste difficoltà per i team IT e di sicurezza, è comune affermare che la crittografia dei dati informatici viene sacrificata in nome dell'abitudine e della praticità. Per evitare di incorrere in questa trappola, le soluzioni di crittografia devono essere semplici, facili e trasparenti sia per gli utenti che per gli amministratori. Da un lato, i CISO devono elaborare strategie che consentano ai dipendenti di conciliare gli usi quotidiani con un elevato livello di sicurezza, attraverso la crittografia unitaria e la crittografia globale di superficie. Dall'altro, i produttori di software sono chiamati a svolgere un ruolo di consulenza e di supporto operativo. “È la soluzione che si adatta alle esigenze quotidiane dell'utente, e non il contrario“, afferma Guillaume Boisseau. Eliminare le aree di attrito e ottimizzare il percorso dell'utente rappresenta quindi la strada da seguire per i team che desiderano integrare questi nuovi metodi nella propria routine di igiene digitale. “Gli strumenti devono essere fruibili sia dai dipendenti che gestiscono quotidianamente dati sensibili, sia dall'utente medio. Spetta poi ai team incaricati di sviluppare e implementare la soluzione porsi le domande giuste“, insiste Guillaume Boisseau. Occorre applicare il principio “anywhere, anytime“, oltre a implementare le soluzioni di crittografia su tutti i terminali, dalla postazione di lavoro al pc portatile o al tablet.
La questione della crittografia dei dati informatici nelle aziende è quindi particolarmente sentita nel contesto di una minaccia informatica diffusa. Sebbene le aziende abbiano già adottato una serie di metodi, in particolare per quanto riguarda la proprietà intellettuale, le informazioni sui pagamenti e sulle transazioni finanziarie, la crittografia di tutti i dati sensibili rimane un problema importante. Soprattutto perché all'orizzonte si profila una minaccia ancora più incombente: l'avvento del calcolo quantistico. Una volta lanciata questa rivoluzione tecnologica, non si tratterà più solo di crittografia, ma di crittografia post-quantistica. Nel frattempo, è necessario impegnarsi di più per garantire un livello di sicurezza ottimale per tutti.