Governance

Come condurre una revisione periodica degli accessi utente

La revisioni degli accessi per l’enterprise identity and access management (IAM) è un’attività fondamentale da effettuare con regolarità per garantire il corretto accesso alle risorse aziendali. Ecco i passaggi importanti da tenere a mente

Pubblicato il 03 Lug 2015

cybersecurity-security-sicurezza-130624173146

Il controllo dei privilegi di accesso è un’attività fondamentale per garantire la sicurezza in azienda. Ed è importante che questo controllo venga effettuato con regolarità.

Da dove partire? E’ possibile stilare una sorta di guida per i responsabili di sicurezza, i revisori interni, i responsabili delle applicazioni, i responsabili del trattamento dei dati e gli amministratori incaricati, per garantire che tutti lavorino a partire dallo stesso insieme di indicazioni e aspettative?

Di seguito elenchiamo i passi principali per stilare questo promemoria da rivedere con regolarità:

  1. Identificare i responsabili di ciascuna applicazione
  2. Incaricare i responsabili di business di classificare i dati nelle loro applicazioni. La policy aziendale dovrebbe definire le differenti classificazioni
  3. Se non c’è una policy sulla periodicità delle revisioni degli accessi basata sulla classificazione dei dati, crearne una. Consiglio: l’accesso alle applicazioni “critiche” dovrebbe essere revisionato trimestralmente, e ogni applicazione dovrebbe avere una revisione condotta almeno su base annuale
  4. Il responsabile di business dovrebbe individuare chi utilizza l’applicazione (e approvarne o meno l’utilizzo). Si raccomanda questo approccio perché il responsabile di business potrebbe non conoscere quali individui dovrebbero avere accesso all’applicazione (essendo questa una decisone solitamente demandata ai responabili di area che riportano al responsabile di business), ma questi ultimi dovrebbero sapere quali sono i reparti e quale livello di accesso è appropriato. Alla fine di questa fase ci dovrebbero essere due liste: i reparti approvati e quelli non accettati
  5. Notificare ai responsabili dei reparti “rifiutati” che le persone nel loro reparto avranno il proprio accesso rimosso dall’applicazione. Prevedere un adeguato periodo di tempo (un paio di settimane) per la negoziazione fra il responsabile di reparto e del business
  6. Inoltrare ai responsabili dei reparti approvati una lista di tutti i loro collaboratori con accesso alle applicazioni e dar loro un paio di settimane per approvare ciascun soggetto. Ci dovrebbero essere due nuove liste alla fine di questo passaggio: gli utenti approvati e quelli non accettati
  7. Rimuovere l’accesso degli utenti rifiutati
  8. Assicurarsi che tutte le transazioni di approvazione siano registrate in una maniera verificabile


Inoltre, una best practice indipendente ma importante è assicurarsi che la separazione dei compiti fra sviluppatori, responsabili del trattamento dei dati e amministrazione IT sia ben definita e documentata.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Canali

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

  • Guida

    Cos’è l’intelligenza artificiale: applicazioni attuali e future

    16 Ott 2024

    di Patrizia Fabbri

    Condividi

  • Guida

    Backup: cos’è, a cosa serve, come e quando farlo

    16 Set 2024

    di Laura Zanotti

    Condividi

Prossimo

Cos’è l’intelligenza artificiale: applicazioni attuali e future

Articolo 1 di 3