6 min read time

Eliminare gli errori di accesso: il ruolo della governance delle identità

by   in Cybersecurity

Il modo in cui le organizzazioni gestiscono le identità degli utenti e proteggono le informazioni aziendali è cambiato significativamente negli ultimi anni e, tenersi al passo con le best practice, è fondamentale per mantenere la sicurezza.

In passato la maggior parte delle aziende non disponeva di un solido sistema di governance delle identità, limitandosi a creare l'identità di ogni utente nel momento dell'assunzione, concedendo al nuovo lavoratore i permessi di accesso in base a quelli della persona che svolgeva il medesimo lavoro in precedenza. Se il ruolo era nuovo, l'accesso veniva concesso in base a ruoli simili.

Se state pensando che questo sembra un processo destinato ad essere automatizzato, avete ragione! Oggi, la maggior parte delle aziende di grandi dimensioni ha automatizzato la creazione delle identità e il provisioning dell'accesso, facendo risparmiare tempo alle risorse umane e all'IT e permettendo ai nuovi dipendenti di iniziare subito a lavorare.

Tuttavia, dal punto di vista della sicurezza, il provisioning automatico degli accessi presenta molte lacune. Le persone cambiano ruolo. Le persone ricevono incarichi temporanei. Le persone lasciano l'azienda. Ognuno di questi eventi richiede modifiche all'accesso (o l'eliminazione dell'account). Per rimanere al passo con i tempi - e per rispettare requisiti normativi che diventano sempre più stringenti - le aziende hanno predisposto modalità di revisione e certificazione periodiche degli accessi, effettuate spesso a cadenza trimestrale. Oggi questa è la normalità.

Il problema delle revisioni dell’accesso

Le revisioni periodiche non sono perfette. Le approvazioni sono talvolta timbrate da manager indaffarati e distratti, e anche chi si prende il giusto tempo per rivederle può commettere degli errori. Semplicemente, non dispongono delle informazioni necessarie per prendere una decisione informata. Se viene consentito l'accesso a un'applicazione, ciò non significa che le persone la utilizzino davvero. Ma dato che potrebbero farlo, nell'interesse della produttività i manager preferiscono mantenere attive queste impostazioni.

Decisioni come queste portano al fenomeno detto "access creep". A mano a mano che gli utenti si spostano da un ruolo a un altro e mentre l'accesso temporaneo a dati sensibili diventa permanente, i lavoratori accumulano privilegi di cui non hanno più bisogno, violando il principio del minimo privilegio, un principio fondamentale della sicurezza secondo cui le persone dovrebbero avere accesso unicamente agli strumenti di cui hanno bisogno per il loro ruolo attuale, niente di più.

Poiché ogni punto di accesso offre ai ladri informatici un'opportunità, questa tendenza amplia la superficie di attacco, rendendo l'intera organizzazione meno sicura.

Secondo il rapporto realizzato da Ponemon Institute e IBM nel 2022, il costo medio delle violazioni di dati da parte di utenti interni è di oltre 4 milioni di dollari. Sebbene alcune violazioni siano dovute ad azioni intenzionali, la maggior parte di esse si verifica per la semplice negligenza di un dipendente o di un fornitore, come lo smarrimento di un dispositivo, il download di informazioni su un sito non protetto o l'invio di un'e-mail al destinatario sbagliato, cose che possono accadere in qualsiasi organizzazione.

Verso una completa governance dell'identità

Un sistema completo di governance delle identità chiude la porta agli errori di accesso e alle valutazioni errate. Permette alle aziende di creare regole di accesso dettagliate e di applicarle automaticamente in ogni momento. Inoltre, aiuta i manager a prendere decisioni informate.

Quando qualcuno cambia ruolo, il sistema non solo ripristina l'accesso, ma analizza il livello di rischio associato all'assegnazione di ogni app, database o dispositivo a un determinato dipendente o fornitore. Inoltre, verifica se un lavoratore utilizza l'accesso che gli è stato concesso e, in caso affermativo, con quale frequenza. Successivamente, fornisce queste informazioni ai manager in un formato facilmente interpretabile, consentendo loro di prendere decisioni basate sui rischi e sui fatti, anziché su intuizioni e ipotesi.

Un sistema completo di governance delle identità automatizza il processo di revisione degli accessi e lo rende continuo, in modo che non possano più inserirsi accessi non autorizzati o non corretti tra una revisione e l'altra.

Per esempio, se l'amministratore di un ufficio ottiene improvvisamente l'accesso alle informazioni sanitarie sensibili di un dipendente, il suo manager riceve un avviso. L'avviso non si limita a una semplice segnalazione ma rivela, per esempio, che lo 0% delle altre persone che ricoprono questo ruolo ha avuto accesso a queste informazioni sanitarie protette. Poiché il manager è responsabile dell'introduzione di questi rischi e dovrà risponderne se qualcosa va storto, è molto meno probabile che trascuri la questione. Se lo stesso dipendente dovesse, invece, improvvisamente ottenere l'accesso a un'applicazione che si limita a visualizzare il menu della caffetteria, il manager non sarebbe preoccupato.

L'applicazione continua e rigorosa della governance delle identità fa risparmiare tempo ai manager, li aiuta a prendere decisioni più responsabili e fa rispettare il principio del minimo privilegio all'interno dell'intera organizzazione.

Un sistema connesso

Mantenendo i manager informati e collegandosi con il centro di sicurezza, un sistema completo di governance delle identità riduce il rischio di un cyberattacco e limita i danni in caso di attacco.

Per comprendere meglio come funziona, consideriamo lo stesso scenario in due aziende diverse.

Nell'azienda A, che non dispone di una governance completa delle identità, al contabile junior Jim viene chiesto di preparare dati finanziari sensibili per una presentazione al consiglio di amministrazione e il suo manager approva la richiesta di accesso. Il trimestre successivo, nel corso della revisione della certificazione, il manager si accorge che Jim ha ancora accesso a queste informazioni. Il manager non sa se Jim stia ancora usando queste informazioni, ma sa che Jim ha assunto, nel frattempo, maggiori responsabilità e decide di lasciare intatta l'autorizzazione.

Mentre torna a casa dopo una giornata faticosa, Jim lascia il cellulare su un sedile del treno. Prima ancora di accorgersi della sua assenza, qualcun altro lo trova e lo viola. In breve tempo, il ladro ha scaricato l'intero database finanziario dell'azienda.

Le cose sarebbero andate diversamente se Jim avesse lavorato nell'azienda B, che ha una governance completa dell'identità.

Il sistema di governance non avrebbe impedito la perdita del dispositivo o il suo furto. Ma molto prima che ciò accadesse, avrebbe evidenziato che l'accesso di Jim ai dati critici rappresentava un rischio elevato, continuo e insolito per l'organizzazione. Il manager di Jim avrebbe ricevuto un avviso che spiegava la natura e l'entità della minaccia. Avrebbe anche appreso che Jim non ha più lavorato con i dati finanziari sensibili dall'ultima riunione del consiglio di amministrazione. Molto probabilmente avrebbe cambiato la sua decisione di continuare a consentirgli l'accesso.

Ma anche se avesse deciso di continuare a garantire l'accesso, il tentativo di scaricare informazioni critiche avrebbe fatto scattare un altro allarme, questo al centro di sicurezza, che avrebbe visto le informazioni sull'allarme precedente e la richiesta di trasferire una quantità eccezionale di dati ad alto rischio. Di conseguenza, avrebbe immediatamente bloccato l'accesso di "Jim" e interrotto il download, evitando una grave violazione per l'azienda.

Automatizzare il provisioning degli accessi è un ottimo modo per risparmiare tempo e aumentare la sicurezza. Ma un sistema completo di governance delle identità fa molto di più. Assicurando la continua applicazione delle regole di governance, assegnando punteggi di rischio, presentando le informazioni ai manager in un formato semplice e comprensibile e collegandosi con il centro di sicurezza, aggiunge intelligenza e profondità ai processi automatizzati. Quando le persone sono consapevoli dell'impatto delle loro scelte, è molto più probabile che prendano decisioni migliori in materia di sicurezza.

Per saperne di più su Identity Governance and Administration e conoscerne ruoli e funzionalità, consulta la seguente pagina Web di NetIQ (ora parte di OpenText) “What is Identity Governance and Administration?

Original article written by David Rote

Labels:

Identity & Access Mgmt