ScalefusionIntegrazioni

Cosa sono i criteri di prevenzione della perdita di dati (DLP) e come sfruttarli con Intune tramite Scalefusion

Pubblicato il Dicembre 10, 2020 by Renuka Shahane in Integrazioni

Contenuti Nascondi

I dati si muovono più velocemente e su distanze maggiori attraverso piattaforme cloud, dispositivi mobili, endpoint remoti e strumenti di collaborazione. Questa agilità aumenta la produttività, ma crea anche punti di rischio in cui i dati potrebbero sfuggire a causa di perdite accidentali, minacce interne o attacchi informatici mirati.

Che si tratti di dati personali identificativi (PII), dettagli di pagamento (PCI) o cartelle cliniche (PHI), la perdita di dati sensibili può danneggiare la fiducia del brand, comportare sanzioni normative e interrompere le operazioni. Ecco perché le aziende stanno dando priorità alle policy di prevenzione della perdita di dati (DLP). Non solo per soddisfare i requisiti di conformità, ma anche per implementare una governance intelligente dei dati e salvaguardare le risorse digitali ovunque si trovino.

Office 365 DLP
Configurare la DLP di Office 365 Criteri con Microsoft Intune

Vediamo come applicare i criteri di prevenzione della perdita di dati di Microsoft Intune tramite Scalefusion UEM. Ma partiamo dalle basi. 

Che cos'è una policy di prevenzione della perdita di dati (DLP)?

Una policy di prevenzione della perdita di dati (DLP policy) è un insieme di regole che aiuta le organizzazioni a impedire che i dati sensibili vengano esposti, divulgati, persi o gestiti in modo improprio, accidentalmente o intenzionalmente. Definisce quali tipi di dati necessitano di protezione, come documenti finanziari, informazioni personali o proprietà intellettuale, e definisce come tali dati debbano essere accessibili, condivisi, archiviati o bloccati su dispositivi e applicazioni. 

In parole povere, una policy DLP è il manuale della tua organizzazione per mantenere i dati critici dove devono essere. Definisce i limiti per:

  • Chi lavora può accedere a dati specifici
  • Che possono farlo (copiare, inviare via email, caricare, ecc.)
  • Dove i dati possono viaggiare (reti, dispositivi, servizi cloud)
  • Quando per avvisare, bloccare o segnalare in base ad attività sospette

Una politica DLP completa in genere include diversi componenti chiave:

  • Tipi di dati da proteggere: Ciò riguarda tutto, dalle informazioni di identificazione personale (PII) e dai registri finanziari alla proprietà intellettuale e alle informazioni aziendali riservate.
  • Procedure di accesso e condivisione: Linee guida chiare su come accedere a ciascun tipo di dati, chi è autorizzato a condividerli e a quali condizioni.
  • Tecnologie e metodi di sicurezza: Utilizzo di strumenti quali controlli di accesso, crittografia, monitoraggio dei dati e protezione degli endpoint per far rispettare la policy e impedire lo spostamento non autorizzato dei dati.
  • Misure di conformità: Passaggi per garantire l'aderenza alle normative di settore pertinenti come il GDPR, HIPAA, e PCI-DSS controllando i rischi di esposizione dei dati.
  • Strategia di risposta agli incidenti: Un piano predefinito che descrive in dettaglio come rilevare, rispondere e ripristinare in modo rapido ed efficace gli incidenti relativi alla sicurezza dei dati.

L'implementazione di una policy DLP aiuta le organizzazioni a stabilire un livello di sicurezza che riduce al minimo i rischi e fornisce un approccio strutturato alla protezione delle informazioni critiche. Queste policy costituiscono il fondamento di una solida prevenzione della perdita di dati e della conformità.

Cause principali della perdita di dati

Prima di definire una policy DLP, è fondamentale comprendere le principali fonti di perdita di dati. Sapere dove risiedono i rischi aiuta a elaborare regole efficaci per la prevenzione della perdita di dati e a selezionare i controlli DLP più appropriati.

1. Errore umano

Sì, ci siamo passati tutti. Un file viene inviato al thread di posta elettronica sbagliato, qualcuno clicca sul pulsante sbagliato o dati sensibili vengono caricati per errore su un'unità condivisa. Questi errori innocenti sono in realtà una delle principali cause di perdita di dati. Ecco perché policy DLP efficaci devono includere prompt in tempo reale, blocchi automatici e restrizioni di accesso utente per ridurre al minimo i danni causati da errori in buona fede.

2. Informatori malintenzionati

Non tutte le minacce indossano una felpa con cappuccio e operano da uno scantinato remoto. A volte, il rischio si nasconde alla scrivania accanto. Dipendenti scontenti, appaltatori esterni o persino personale benintenzionato che cerca di "portare il lavoro a casa" possono finire per divulgare dati sensibili, intenzionalmente o meno. migliori soluzioni DLP Fai attenzione a comportamenti sospetti come download di massa, trasferimenti di file su unità esterne o orari di accesso insoliti.

3. Minacce esterne

I criminali informatici stanno diventando sempre più astuti. Utilizzeranno email di phishing, siti web falsi e credenziali compromesse per accedere ai sistemi e, una volta dentro, si muoveranno rapidamente. Se le policy DLP non sono integrate con strumenti di rilevamento delle minacce e non includono regole per l'accesso al cloud o la sicurezza delle API, è facile per gli aggressori individuare le lacune e sfruttarle.

4. Attacchi informatici

Pensate al ransomware, allo spyware o agli exploit zero-day. Queste minacce vanno oltre il semplice furto di dati: li bloccano o li distruggono completamente. Quando ciò accade, endpoint DLP diventa cruciale. Le soluzioni DLP per endpoint sono in grado di rilevare attività anomale e attivare blocchi automatici, dando al tuo team il tempo prezioso per reagire.

5. Guasti hardware

I dischi rigidi si bloccano. Gli SSD si guastano. I dispositivi si surriscaldano o vanno in cortocircuito. E quando ciò accade, i dati archiviati spesso scompaiono con essi, a meno che non siano stati implementati backup automatici e policy di crittografia. La DLP può essere d'aiuto garantendo che i dati sensibili non vengano archiviati localmente senza misure di sicurezza e che vengano automaticamente sottoposti a backup in posizioni cloud sicure e conformi.

6. Corruzione del software

Errori, bug, aggiornamenti incompleti: a volte i sistemi si comportano in modo anomalo. E se questo si traduce in file corrotti o errori di database, la perdita può essere significativa. Sebbene questo non sia sempre evitabile, gli strumenti DLP possono applicare controlli di accesso, versioning e monitoraggio delle modifiche per ridurre il raggio d'azione.

7. Disastri naturali

Incendi, alluvioni e terremoti non accadono tutti i giorni, ma quando accadono, l'infrastruttura fisica può essere distrutta in pochi secondi. La chiave? Assicuratevi che il vostro piano DLP includa backup sicuri e off-site e strategie di failover nel cloud che si attivino automaticamente.

8. Furto

I computer portatili e i telefoni smarriti o rubati sono ancora una delle cause più comuni di perdita di dati, soprattutto in lavoro a distanza e ibrido ambienti. Con i controlli DLP integrati nella gestione degli endpoint, puoi bloccare o cancellare da remoto i dispositivi nel momento in cui ne viene segnalata la scomparsa. Aggiungi la crittografia al mix e avrai la certezza che, anche se il dispositivo venisse rubato, i dati rimarranno protetti.

Leggi anche: DLP di rete vs DLP degli endpoint: spiegate le differenze

Best practice per la creazione di policy DLP 

Creare policy di prevenzione della perdita di dati (DLP) efficaci non è un compito una tantum, ma un impegno costante che richiede una strategia chiara e un miglioramento continuo. Ecco come le organizzazioni possono creare policy DLP efficaci e realmente efficaci:

1. Classificare e taggare le fonti di dati in base al tipo di dati:
Inizia identificando i tipi di dati sensibili come le Informazioni Personali Identificabili (PII), le Informazioni sulle Carte di Pagamento (PCI) e le Informazioni Sanitarie Protette (PHI). L'etichettatura di questi dati aiuta gli strumenti DLP a riconoscere ciò che necessita di maggiore protezione e ad applicare automaticamente i controlli più appropriati.

2. Individuare dove sono archiviati i dati:
I dati sensibili non sono sempre organizzati in modo ordinato. Possono risiedere su endpoint, cloud storage, database o persino sistemi legacy. Mappare tutti i repository di dati è essenziale per sapere dove applicare efficacemente le policy DLP.

3. Definire regole chiare per la gestione dei dati:
Una volta individuati i dati sensibili, è necessario stabilire regole precise su come accedervi, condividerli e archiviarli. Linee guida chiare e attuabili aiutano i dipendenti a capire cosa è consentito e cosa è vietato, riducendo così fughe di notizie accidentali e abusi.

4. Determinare i ruoli degli utenti e i livelli di accesso ai dati:
Non tutti hanno bisogno di accedere a tutto. Definisci chiaramente i ruoli utente e assegna livelli di accesso ai dati in base al principio del privilegio minimo. Questo limita l'esposizione dei dati e riduce il rischio di minacce interne.

5. Tracciare i movimenti dei dati:
I dati non sono statici: si spostano tra dispositivi, applicazioni e reti. Implementa sistemi di monitoraggio che registrino trasferimenti, copie, download o upload di dati in tempo reale. Questa visibilità ti consente di rilevare rapidamente comportamenti sospetti.

6. Predefinire azioni correttive per rispondere a un evento di sicurezza:
Quando si verifica un incidente di sicurezza dei dati, il tempo è fondamentale. La tua policy DLP dovrebbe includere risposte predefinite, come l'avviso ai team di sicurezza, il blocco dei trasferimenti di dati o la messa in quarantena dei dispositivi interessati, per accelerare la mitigazione e limitare i danni.

7. Determinare come verranno archiviate le informazioni sulla sicurezza dei dati
Mantenere i registri delle attività, degli avvisi e degli incidenti DLP è fondamentale per la conformità e gli audit. È importante stabilire per quanto tempo verranno archiviati log e report, dove verranno archiviati in modo sicuro e chi potrà accedervi.

8. Utilizzare la tecnologia intelligente:
Integra gli strumenti DLP basati sull'intelligenza artificiale con i sistemi endpoint e cloud per una protezione automatizzata e contestuale.

9. Rivedere e aggiornare frequentemente le policy:
Mantieni aggiornata la tua politica DLP verificando regolarmente i flussi di dati, gli incidenti e i requisiti di conformità.

Come funzionano le soluzioni per la prevenzione della perdita di dati?

Le moderne soluzioni DLP sono progettate per proteggere le informazioni sensibili, siano esse archiviate su un dispositivo, condivise tramite email o trasferite sul cloud. Funzionano identificando i dati sensibili, applicando regole per controllare gli accessi, monitorando i comportamenti a rischio e rispondendo alle minacce in tempo reale. Ecco come funzionano:

1. Identificazione e classificazione dei dati sensibili

Il primo passo in qualsiasi sistema DLP è individuare quali dati necessitano di protezione. Utilizzando l'apprendimento automatico e l'automazione, gli strumenti DLP analizzano file, database, email, cloud storage e dispositivi endpoint per individuare dati sensibili come informazioni personali identificabili (PII), dati delle carte di pagamento (PCI) e informazioni sanitarie protette (PHI). Una volta rilevati, questi dati vengono automaticamente etichettati in base alla tipologia e alla riservatezza. Questa fase di classificazione contribuisce a garantire una protezione coerente, scalabile e priva di errori manuali.

2. Impostazione delle regole di accesso e condivisione dei dati

Dopo aver identificato i dati sensibili, le soluzioni DLP applicano i controlli DLP predefiniti che specificano chi può accedervi, dove possono essere condivisi e come possono essere utilizzati. Queste regole possono impedire agli utenti non autorizzati di copiare, stampare o inviare via email file sensibili. Ad esempio, una regola DLP potrebbe impedire agli utenti di inviare dati finanziari riservati a indirizzi email personali o di caricarli su servizi cloud non autorizzati. Queste regole fungono da barriera di sicurezza per garantire che l'accesso o la condivisione dei dati avvengano solo con modalità approvate.

3. Monitoraggio dello spostamento dei dati tra gli ambienti

Le piattaforme DLP tracciano il flusso dei dati attraverso endpoint, reti e ambienti cloud. Che si tratti di dati copiati su un dispositivo USB, condivisi tramite app di collaborazione come Teams o Slack, o inviati via e-mail, il sistema li monitora attentamente. Se viene rilevato qualcosa di insolito, come un utente che tenta di caricare dati sensibili su un sito esterno, la soluzione DLP può intervenire avvisando i team di sicurezza, limitando l'accesso o bloccando completamente l'azione. Blocco USB DLP Aiuta a prevenire le fughe di dati prima che si verifichino.

4. Rilevamento dei tentativi di esfiltrazione dei dati

Una funzione fondamentale della DLP è impedire che i dati escano dall'organizzazione in modo non autorizzato: questo processo è chiamato esfiltrazione dei dati. Gli strumenti DLP monitorano endpoint come laptop, dispositivi mobili e desktop, nonché reti interne e piattaforme cloud. Se il sistema rileva un tentativo di trasferimento di dati sensibili in modo insolito o non autorizzato, può attivare avvisi, applicare restrizioni di accesso o bloccare completamente il trasferimento per prevenire una violazione.

5. Rispondere agli incidenti in tempo reale

Le soluzioni DLP non sono solo osservatori passivi: agiscono rapidamente quando una policy viene violata. Ad esempio, se un dipendente tenta di inviare un report riservato tramite un account email non approvato, il sistema DLP può bloccare il messaggio, avvisare il reparto IT e registrare l'evento a fini di audit. Questi strumenti applicano le policy di protezione dei dati in tempo reale, aiutando le organizzazioni a contenere le minacce prima che si aggravino.

6. Fornire informazioni tramite reporting e analisi

Il monitoraggio continuo è abbinato a potenti funzionalità di analisi. Le piattaforme DLP forniscono ai team di sicurezza report dettagliati su violazioni delle policy, spostamenti di dati e comportamento degli utenti. Queste informazioni consentono alle organizzazioni di perfezionare le proprie policy DLP, individuare modelli che potrebbero indicare minacce interne o lacune nella conformità e anticipare l'evoluzione dei rischi. Non si tratta solo di bloccare le minacce, ma di imparare da esse per migliorare la sicurezza nel tempo.

Prerequisiti per configurare i criteri di prevenzione della perdita di dati di Office 365

Prima di iniziare a configurare i criteri di prevenzione della perdita di dati per Office 365, è necessario soddisfare alcuni prerequisiti di licenza.

Per creare, gestire e applicare i criteri DLP utilizzando l'integrazione di Scalefusion con Microsoft Intune, avrai bisogno di:

  • Una licenza Scalefusion attiva e
  • Uno qualsiasi dei seguenti abbonamenti Microsoft che supportano la conformità alla prevenzione della perdita di dati:
    • Microsoft 365 E5 o E3
    • Mobilità aziendale + sicurezza E5 o E3
    • Microsoft 365 Business Premium
    • Microsoft 365 F1 o F3
    • Microsoft 365 Government G5 o G3

Questi piani forniscono il supporto back-end necessario per abilitare e applicare regole di prevenzione della perdita di dati all'interno dell'ecosistema Microsoft.

Procedura passo passo per implementare le policy DLP tramite Scalefusion

Una volta soddisfatti i prerequisiti, ecco come puoi iniziare ad applicare il tuo piano di prevenzione della perdita di dati utilizzando Scalefusion UEM e Microsoft Intune.

1. Autorizza Scalefusion a gestire i criteri DLP di Microsoft Intune: Inizia autorizzando Scalefusion ad agire per conto della tua organizzazione. Questo consente alla piattaforma di configurare e gestire i controlli DLP in modo fluido all'interno del tuo ambiente Microsoft Intune.

2. Accedere al modulo di configurazione DLP: Passare alla Gestione dei dispositivi sezione nella dashboard di Scalefusion. Da qui, vai a Criteri di Microsoft Intune per iniziare a creare o gestire criteri di prevenzione della perdita di dati.

3. Preparare i dispositivi Android per l'applicazione dei criteri DLP: Per gli endpoint Android, installare l'app Intune Company Portal utilizzando l'integrazione Play for Work di Scalefusion. Gli utenti devono accedere all'app per sincronizzare il dispositivo e applicare il criterio DLP assegnato.

4. Configurazione automatica per dispositivi iOS: Su iOS, il criterio di prevenzione della perdita di dati viene applicato automaticamente una volta che l'utente autentica le app di Office 365. Non è richiesta alcuna configurazione manuale aggiuntiva.

5. Crea le tue policy DLP: Ora sei pronto a definire e applicare le regole di prevenzione della perdita di dati della tua organizzazione. Puoi configurare policy DLP che limitano azioni come copia-incolla, condivisione di dati o caricamenti nel cloud, in base a ruoli, tipo di dispositivo o requisiti di conformità.

Per una guida dettagliata ed esempi di policy DLP reali, fare riferimento al nostro esclusivo documentazione di aiuto.

Utilizzo dei criteri DLP (Data Loss Prevention) di Office 365 con Intune e Scalefusion

Una volta che la tua organizzazione ha configurato Microsoft Intune e lo ha integrato con Scalefusion, puoi applicare una policy completa di prevenzione della perdita di dati su tutti i dispositivi Android e iOS gestiti che eseguono app di Microsoft 365. Queste policy DLP fungono da barriere protettive, applicando regole di prevenzione della perdita di dati per garantire che i dati aziendali rimangano protetti, ovunque si trovino.

Di seguito sono riportati i principali controlli e configurazioni DLP disponibili per le app di Office 365 tramite Intune + Scalefusion UEM:

1. Interrompere il backup dei dati sui servizi del sistema operativo nativo

Questo esempio di policy DLP garantisce che gli utenti non possano eseguire il backup dei dati aziendali su servizi predefiniti come iCloud (iOS) o Google Drive (Android). Protegge i dati sensibili da ambienti di archiviazione personali non protetti, un aspetto fondamentale per la conformità DLP.

2. Controlla come gli utenti condividono i dati tra le app

È possibile definire come i dati vengono trasferiti tra app gestite e non gestite utilizzando i seguenti criteri di prevenzione della perdita di dati:

  • Permettere tutto – Gli utenti possono spostare liberamente i dati tra le app
  • Limitato – Consente il trasferimento solo tra app gestite
  • Blocca tutto – Blocca completamente la condivisione dei dati tra app

Si tratta di un'impostazione fondamentale nel piano di prevenzione della perdita di dati, soprattutto negli ambienti BYOD.

3. Impedire che i dati vengano copiati o salvati

Questo controllo DLP disabilita le opzioni "Salva con nome", impedendo agli utenti di copiare o duplicare i file di dati aziendali. Funziona al meglio quando la condivisione tra app è impostata su "limitata".

4. Consentire il salvataggio dei dati solo in posizioni approvate

Anche se il salvataggio delle copie è disabilitato, è possibile aggiungere alla whitelist posizioni sicure come OneDrive for Business, SharePoint o un archivio locale crittografato. In questo modo, la strategia di conformità per la prevenzione della perdita di dati rimane flessibile ma controllata.

5. Regolamentare i dati in arrivo da altre app

Scegli se le app gestite possono ricevere dati tramite pulsanti di condivisione o menu. Le impostazioni sono:

  • Permettere tutto – Accetta dati da qualsiasi app
  • Limitato – Accetta solo da altre app gestite
  • Blocca tutto – Blocca tutti i trasferimenti di dati in entrata

Ciò aggiunge un ulteriore livello al framework delle policy DLP.

6. Limitare l'accesso agli appunti

I dati degli appunti vengono spesso trascurati nelle regole di prevenzione della perdita di dati. Puoi controllare come gli utenti tagliano, copiano o incollano i dati nelle app:

  • Qualsiasi app – Nessuna restrizione
  • Solo app gestite da policy – I dati fluiscono solo all’interno delle app protette
  • Incolla solo – Consente la copia nelle app gestite, non da esse
  • bloccato – Blocca completamente l’utilizzo degli appunti tra le app

7. Garantire una navigazione web sicura

Grazie a questo controllo DLP, tutti i collegamenti Web nelle app gestite vengono forzati ad aprirsi in un browser sicuro come Microsoft Edge, garantendo un'esperienza di navigazione affidabile e riducendo i rischi di perdita di dati.

8. Crittografa tutti i dati dell'app

Questa policy crittografa i dati a livello di app, anche se archiviati su dispositivi esterni come schede SD o SIM. La crittografia è la spina dorsale di qualsiasi piano efficace di prevenzione della perdita di dati.

9. Disabilitare la stampa dalle app gestite

Impedisci agli utenti di stampare documenti aziendali, colmando così una lacuna fondamentale nel modello di conformità DLP.

10. Blocca la sincronizzazione dei contatti

Questa norma impedisce alle app gestite di sincronizzare i contatti con la rubrica nativa del dispositivo, assicurando che i dati dei contatti aziendali non vengano mescolati con i record personali.

Impostazioni di controllo degli accessi per le app di Office 365

Oltre alle policy di prevenzione della perdita di dati, è anche possibile applicare una rigorosa gestione degli accessi tramite i seguenti controlli delle policy DLP:

  • Richiedi agli utenti di inserire un PIN prima di accedere alle app
  • Autenticazione solo con credenziali aziendali
  • Imposta timeout di inattività e periodi di grazia offline
  • Cancella automaticamente i dati aziendali se l'app rimane inattiva per un numero di giorni stabilito

Contribuiscono a garantire un accesso sicuro e a mantenere una conformità coerente alla prevenzione della perdita di dati su tutti i dispositivi.

Impostazioni dei criteri DLP specifici per Android

Scalefusion UEM consente inoltre di applicare ulteriori regole di prevenzione della perdita di dati sui dispositivi Android:

  • Blocca l'acquisizione dello schermo e Google Assistant
  • Applicare la versione minima del sistema operativo Android
  • Applicare il livello minimo di patch
  • Applica la versione minima dell'app supportata

Impostazioni dei criteri DLP specifici per iOS

Allo stesso modo, per i dispositivi Apple, puoi impostare:

  • Blocca l'accesso tramite Face ID alle app (iOS 11+)
  • Versione iOS minima supportata
  • Versione minima dell'app
  • Versione minima dell'SDK della politica di protezione delle app

Contribuiscono a rafforzare la politica complessiva di prevenzione della perdita di dati e a proteggere efficacemente gli endpoint mobili.

Rafforzare l'applicazione del DLP con una gestione unificata 

La prevenzione della perdita di dati è diventata una necessità aziendale. Con i dati sensibili in costante movimento tra dispositivi, app e piattaforme cloud, le organizzazioni necessitano di un modo unificato per applicare le policy DLP senza compromettere l'usabilità. 

Integrando le funzionalità DLP di Microsoft Intune con Scalefusion Gestione unificata degli endpoint (UEM), i team IT ottengono visibilità centralizzata, controllo contestuale e applicazione delle policy su tutti gli endpoint: Windows, Android, iOS o macOS.

Il risultato? Meno punti ciechi, una risposta più rapida ai rischi e una migliore conformità DLP con gli obblighi di protezione dei dati come GDPR, HIPAA e PCI-DSS. Soprattutto, consente alle organizzazioni di proteggere i dati sensibili ai margini, ovvero dove gli utenti interagiscono effettivamente con essi.

In un mondo in cui i dati non si fermano mai, è ora che la tua strategia DLP faccia lo stesso. Scalefusion + Intune ti aiuta a fare proprio questo.

Risorse

  1. helpnetsecurity.com
Renuka Shahane
Renuka Shahane
Renuka Shahane è una scrittrice e redattrice del blog Scalefusion. Lettrice accanita che ama scrivere di tecnologia, le piace tradurre il gergo tecnico in contenuti fruibili.
Banner dell'articolo

Altro dal blog

macOS

Come distribuire e gestire Claude Code in...

I vostri sviluppatori probabilmente hanno già scoperto Claude Code. La domanda è se il vostro team IT lo ha fatto. Quel divario, tra quando...
Phaninder Kumar -
iOS

Panoramica di Apple Business: configurazione, funzionalità e gestione dei dispositivi.

La maggior parte delle aziende che utilizzano dispositivi Apple si è trovata, a un certo punto, a dover gestire tre portali Apple separati. Uno per la registrazione dei dispositivi. Uno...
Phaninder Kumar -
MDM

Registrazione MDM per Apple TV: una guida completa per gli addetti IT...

La registrazione MDM per Apple TV sta diventando essenziale, dato che Apple TV sta guadagnando popolarità come strumento versatile...
Atishay Jain -