Stormshield affronta il tema della protezione dei dati. Le soluzioni di crittografia sono molto efficaci in questo senso, troppi pregiudizi minano la sicurezza.
Cinque sono , secondo Stormshield, i falsi miti alla base di questa scarsa adozione della crittografia.
– Crittografare i miei dati è uno spreco di denaro.
La crittografia dei dati è un po’ come una polizza assicurativa – se ne nota l’utilità solo quando sorgono problemi. Ma le cifre parlano chiaro: nel 2018 il costo medio per singola violazione si attestava in Italia su 3,43 milioni di dollari, con un volume medio di dati violati di 22.633 unità. Non possiamo più permetterci di ignorare le numerose nuove potenziali fonti di vulnerabilità, compresi il nomadismo digitale, i servizi di condivisione di documenti basati su cloud e il maggiore utilizzo di oggetti connessi.
– Implementare la crittografia è troppo complicato.
Fino a pochi anni fa, la complessità delle procedure di protezione dei dati scoraggiava anche il più determinato tra i potenziali interessati. Ma oggi i produttori offrono soluzioni che non richiedono più l’implementazione di un’infrastruttura ultra-complessa. Che si tratti di utenti finali o amministratori, queste nuove soluzioni rendono l’implementazione e la gestione dei sistemi di crittografia nettamente più trasparente. La modalità SaaS, ad esempio, ha consentito di ridurre notevolmente i costi per infrastrutture e manutenzione.
– Esistono soluzioni tanto efficaci quanto la crittografia.
Il concetto di crittografia è spesso associato all’implementazione di VPN utili per proteggere i dati in transito su Internet. Tuttavia, questi sistemi di protezione non garantiscono l’integrità dei dati in situazioni come il furto del terminale. D’altra parte, oltre a VPN, firewall e diritti di accesso, la crittografia del disco rigido sui terminali sta diventando una soluzione sempre più praticabile. Qui, è il terminale stesso – e non i dati – ad essere protetto in particolare, contro la minaccia di furto fisico.
– La crittografia non ci serve – gli attacchi informatici a noi non capitano mai.
Non sono a rischio. Non ho dati sensibili che necessitano di protezione. Questo tipo di osservazioni sono più comuni di quanto si pensi, e non solo presso associazioni o autorità locali. La responsabilità della protezione dei dati non riguarda solo chi gestisce informazioni sensibili. Il regolamento generale sulla protezione dei dati (GDPR) ricorda a coloro che potrebbero essere in dubbio che ognuno è responsabile della protezione di dati relativi agli individui, come ad esempio i propri dipendenti.
– Se cifro i miei dati, potrei non potervi accedere mai più.
Molte persone temono ancora di perdere i loro dati qualora dimentichino la password per la decrittazione, o qualora un dipendente lasci l’azienda senza comunicarla. Ma esistono tecnologie in grado di aiutare a evitare questo tipo di inconvenienti, come il recupero dei dati, che fornisce accesso ai dati a una o più persone all’interno di un’azienda in caso di emergenza. La tecnica key escrow rappresenta un’altra possibilità, ove un database – ovviamente crittografato – è usato per memorizzare tutte le chiavi di cifratura impiegate in azienda.