L’ambiente del business moderno non è più un area completamente statica, racchiuso in uno spazio logico e fisico chiaramente delineato e facilmente controllabile. In passato, il reparto IT doveva amministrare più registrazioni su più piattaforme per gestire un numero crescente di discrete system. Il tutto era gestito attraverso un singolo dominio e un solo log-in e, una volta che l’autenticazione veniva completa, l’utente poteva accedere a qualsiasi sistema o applicazione di cui possedeva l’autorizzazione.
Oggi queste modalità di accesso non sono più adeguate. La forza lavoro ormai è sempre più diversificata e mobile e si è via via verificata l’adozione di sistemi IT sempre più flessibili per soddisfare i nuovi bisogni generati da questo cambiamento. In materia di controllo degli accessi, dispositivi mobili, servizi online, Cloud o l’accesso remoto ai servizi di back-end pongono tutti una serie di sfide crescenti per i chief information security officer che vogliano tenere il passo con il cambiamento.
Massima attenzione verso il controllo degli accessi
Dato l’attuale scenario, secondo gli esperti, è di vitale importanza che l’information asset owner (IAO) sia coinvolto nella creazione della politica di controllo degli accessi (ovunque le informazioni vengano memorizzate e ovunque ci sia la necessità di accedere a tali informazioni). Le persone e il loro comportamento, infatti, rappresentano uno dei rischi maggiori per la sicurezza: gli utenti, per esempio, potrebbero cercare di aggirare un’azione che vedono come scomoda, senza rendersi conto del rischio che stanno facendo correre alla sicurezza IT dell’interno sistema. Educare e formare il personale in questo senso rimane una pratica di vitale importanza.
La spinosa questione delle password
I professionisti del settore fanno notare come la sicurezza IT debba fare i conti anche con un numero significativo di persone al di fuori dell’azienda: i sistemi informatici oggi sono sempre meno rivolti esclusivamente verso l’interno delle organizzazioni e non solo dipendenti, ma spesso partner, fornitori e clienti hanno accesso ad applicazioni aziendali.
l CISO devono considerare i requisiti di accesso e di autenticazione di tutte queste persone, anche per eventuali servizi Cloud utilizzati dal business: basarsi sul semplice utilizzo di password ormai non è più un’opzione praticabile. Secondo gli esperti, infatti, la gestione delle password figura oggi in cima alla lista dei principali errori compiuti nell’Identity access management. Questo perché le password da gestire per ogni utente sono sempre di più e – per praticità, pigrizia o semplicità – molti utilizzano la stessa combinazione di caratteri per accedere a diversi sistemi, sia personali che professionali. Se si aggiunge il fatto che queste password sono spesso molto semplici da individuare e vengono cambiare di rado risulta chiaro come la sicurezza IT si trovi in serio pericolo. Le imprese spesso costringono gli utenti di modificare le password con combinazioni mai utilizzate in precedenza, ma anche questa pratica può generare la creazione di combinazioni sempre più elementari e facili da ricordare (e quindi, nel caso dei criminali informatici, da individuare).
Un’opzione che può venire incontro alle esigenze di sicurezza delle aziende, in questo caso, è l’autenticazione a due fattori (2FA): un utente conosce uno degli elementi necessari per l’accesso (come ad esempio nome utente e password) ma deve utilizzarlo in combinazione con un altro fornito estemporaneamente dal sistema (ad esempio una one-time-password) per confermare la validità dell’accesso. In secondo luogo, gli esperti raccomandano di prestare particolare attenzione ai livelli di autorizzazione: gli utenti dovrebbero avere accesso solo ai sistemi di cui hanno bisogno per operare, con un livello di autorizzazione appropriato per il loro ruolo.
In merito alla gestione dei ruoli, è importante che il dipartimento IT abbia completa contezza degli utenti in uscita, in entrata o in movimento all’interno dell’organigramma aziendale: bloccare i privilegi di accesso a chi l’ascia l’azienda (o alcuni di essi a chi cambia mansione) e rivedere le modalità di controllo regolarmente dovrebbero essere prassi ben consolidate per garantire il giusto grado di sicurezza.
Le sfide (e le opportunità) della tecnologia mobile
È sotto gli occhi di tutti: il massiccio passaggio verso a mobilità ha portato a un’esplosione di dispositivi connessi da remoto con il sistema aziendale. L’utilizzo di smartphone e tablet e l’autorizzzione al BYOD aziendale sono pratiche che non possono che fare bene alla produttività dei dipendenti: per questo vanno incoraggiate. E per farlo senza incorrere in pericoli per la sicurezza occorre stabilire e garantire la conformità alle politiche aziendali sui dispositivi portatili.
Pertanto, gli esperti raccomandano ai responsabili IT di investire in strumenti e processi utili a garantire che – nel caso di una perdita o di una violazione – quel punto di accesso possa essere bloccato rapidamente e che i dati aziendali presenti sul dispositivo possano essere immediatamente cancellati. Per aumentare ulteriormente il livello di difesa, gli esperti consigliano ai CISO di crittografare i dischi rigidi dei computer portatili aziendali e garantire che tutte le comunicazioni dai computer portatili attraverso una rete pubblica vengano effettuate tramite un collegamento VPN criptato. Da non dimenticare, inoltre, l’impiego di un eccellente antivirus per garantire la sicurezza del server che gestisce la posta elettronica aziendale in uso su tutti i dispositivi dei dipendenti.
Trovare un equilibrio tra rischio e produttività
Qualsiasi siano le misure o le politiche messe in atto per garantire una corretta gestione degli accessi, l’ingrediente segreto per ottenere il meglio da questa pratica sta nel trovare il perfetto equilibrio tra rischio e produttività. È ovvio che tali politiche devono poter proteggere i dati sensibili di azienda e clienti, ma non dovrebbero mai rappresentare un ostacolo o un limite per l’ottimale esercizio delle funzioni di ogni singolo dipendente.
Nella ricerca di questo delicato equilibrio ideale, secondo gli esperti, le aziende devono ricordare che la tecnologia da sola può risolvere il problema (interrompendo le azioni malevoli o tappando le falle presenti nella sicurezza IT) solo parzialmente: il fattore umano resta un aspetto fondamentale da considerare. Questo passa anche da una corretta formazione (e quindi consapevolezza dei dipendenti) e dal rispetto di rigorosi obblighi contrattuali.