TECHTARGET

Best practices per la revisione dell’accesso utenti

La revisione dei diritti degli utenti garantisce che solo quelli autorizzati abbiano accesso a sistemi e dati essenziali, si tratta di un processo che prevede diverse fasi e per cui è utile conoscere le best practices. 

Pubblicato il 20 Dic 2021

Marta Abbà - Fonte TechTarget

user access

Controllare e rivedere regolarmente quali dipendenti hanno accesso a quali sistemi e dati non è solo l’ABC della sicurezza aziendale, è una necessità legata alla compliance. Sarbanes-Oxley Act, PCI DSS, HIPAA e GDPR hanno tutti forti requisiti obbligatori di revisione dell’accesso degli utenti che potrebbero mettere ogni azienda in grave difficoltà se non vengono controllati regolarmente.

Molte organizzazioni usano una serie di soluzioni di identity access management (IAM), come il role-based access control (RBAC) o il principle of least privilege (POLP) per proteggere l’accesso privilegiato nei loro sistemi, ma una volta messe in atto, cosa accade?

Se in un’azienda al numero di dipendenti che sono andati via o sono stati licenziati nell’ultimo anno si somma quello dei dipendenti attuali che hanno cambiato ruolo o dipartimento, si raggiungono le centinaia se non le migliaia di unità considerando un’organizzazione di grandi dimensioni. Per ciascuno di essi è necessario poi considerare i dati, le applicazioni e i sistemi a cui avevano o hanno ancora accesso, senza escludere a priori che alcuni dipendenti licenziati potrebbero avere ancora le chiavi per accedere a informazioni preziose. Da non trascurare nemmeno il rischio che anche gli attuali dipendenti possono rappresentare per via dei tanti account con privilegi utente che avranno nel tempo accumulato. In uno scenario del genere, per evitare problemi, è fondamentale effettuare puntuali revisioni degli accessi degli utenti.

Cos’è una revisione dell’accesso utente e perché è importante?

Una revisione dell’accesso utente è il processo di valutazione periodica dei diritti di chiunque abbia accesso ai sistemi e ai dati aziendali. Per utenti si possono intendere non solo i dipendenti ma anche i partner, le terze parti, i fornitori di servizi e i venditori.

Eseguire le revisioni degli account utente, note anche come account recertification, account attestation o entitlement review, è fondamentale per monitorare, gestire e controllare il ciclo di vita degli account utente dalla creazione alla cessazione, in ogni fase intermedia.

Le revisioni dell’accesso utente dovrebbero inserirsi in una strategia di revisione dell’accesso utente ben definita ed essere eseguite in modo regolare per prevenire potenziali problemi di sicurezza.

Rischi comuni di accesso degli utenti

Eventuali errori sui diritti di accesso fanno aumentare le probabilità di attacchi maligni o di errori interni che potrebbero entrambi danneggiare il brand dell’azienda, oltre che i suoi profitti. I rischi di accesso più comuni includono i seguenti:

  • privilege creep
  • accesso inappropriato o non autorizzato
  • frode
  • accesso abusivo
  • minacce interne, maligne e accidentali
  • configurazione errata dell’account
  • policy di accesso utente non aggiornate

Gli utenti possono arrivare a detenere troppi privilegi per una serie di ragioni: cambiando ruolo in un’azienda e non aggiornando i loro diritti di accesso in virtù di un nuovo ruolo, lasciando il lavoro o venendo licenziati ma mantenendo i diritti di accesso, oppure in caso di fusioni e acquisizioni.

Figura 1: Processo di revisione dell’account utente

Come condurre una revisione dell’accesso utente

Vediamo di seguito i 3 principali passi da compiere.

Passo 1. Definire la politica di gestione degli accessi

Come minimo, una politica di gestione dell’accesso degli utenti dovrebbe includere quanto segue:

Un inventario delle risorse aziendali. Elencare le risorse a cui gli utenti possono avere privilegi di accesso in tutta l’azienda e documentare tutti i database, le applicazioni, le reti, i sistemi operativi, i data center, le stanze, gli edifici, ecc.

Un elenco di proprietari per ogni risorsa. Identificare il proprietario (o i proprietari) di ogni risorsa. Questo potrebbe essere un manager, un amministratore o un team IT, ma è importante che fornisca un elenco dettagliato dei tipi di dati e contenuti accessibili nei suoi asset, che saranno associati ai livelli di accesso e ai ruoli.

Descrizioni dei livelli di accesso e dei ruoli degli utenti. Assegnare ruoli e responsabilità lavorative e i corrispettivi requisiti di accesso fino a un livello granulare. Per esempio, ad alcuni dipendenti basterà un accesso di sola lettura ai dati per eseguire le loro funzioni lavorative, mentre per altri sarà necessaria anche la possibilità di modifica e per altri anche il permesso di cancellare i dati. Fornire sempre il minimo privilegio necessario per ogni funzione lavorativa è fondamentale per eliminare le lacune di sicurezza dell’ID utente.

Frequenza e tipi di rapporti. Mettere in atto diversi tipi di controlli sull’accesso degli utenti. Le revisioni degli account basate su trigger sono aggiornamenti una tantum che scattano secondo regole predefinite – ad esempio quando un dipendente cambia reparto o viene licenziato – ma ci sono altre revisioni che vengono programmate su base regolare.

Le revisioni degli accessi degli utenti possono essere condotte procedendo per sistema, per dipendente o come una combinazione dei due. Con una revisione per sistema si effettuano i controlli di accesso in base a chi ha accesso a ciascun sistema mentre con una revisione per dipendente si esaminano i privilegi in base ai sistemi a cui un dipendente accede.

Il criterio con cui decidere quanto spesso condurre le revisioni varia a seconda delle dimensioni dell’organizzazione, le aziende più piccole sono spesso in grado di rivedere l’intera policy più frequentemente rispetto a quelle grandi che possono valutare invece solo un sistema alla volta o testare un campione e condurre una revisione completa solo quando emergono incongruenze. A seconda del sistema, le revisioni possono essere eseguite mensilmente, trimestralmente, con scadenza biennale o annualmente. Meglio controllare le risorse ad alto rischio più spesso, mentre i sistemi a basso rischio anche meno frequentemente.

Nel definire la frequenza, considerate come gestire la revisione successiva. Alcune aziende partono da revisioni precedenti e seguono gli stessi processi, ma questo non è sempre un buon metodo, specialmente quelle che sono cambiate molto in un determinato periodo di tempo. Per esempio, un’azienda che ha subito una riorganizzazione, ha adottato nuove applicazioni o sistemi, o è stata coinvolta in una fusione o acquisizione, dovrebbe rivedere i suoi processi e i suoi programmi di revisione.

Processi di deprovisioning. Una policy di revisione dell’accesso degli utenti aziendali dovrebbe anche dettagliare i processi interni di provisioning e deprovisioning. Il provisioning, il primo passo nello user account lifecycle, spiega come vengono assegnati i privilegi di accesso a un nuovo assunto mentre il deprovisioning come gli ID utente vengono revocati quando un dipendente cambia ruolo o viene licenziato. La rimozione dei diritti di accesso alle risorse aziendali fa parte del processo di deprovisioning e offboarding ma può capitare che venga trascurata, effettuando regolari revisioni degli accessi i manager e i responsabili dei processi di offboarding possono venirne a conoscenza e aggiornare i processi, effettuando le modifiche necessarie.

Formazione e istruzioni su quando chiedere l’aiuto di altri. Una entitlement review è un progetto a livello aziendale: mentre un CISO o un responsabile sicurezza può occuparsi di questo compito, gli altri manager e C-level dovrebbero aiutare a definire e rivedere i controlli di accesso. Per assicurarsi che un team possa essere efficace servono dati utili e facilmente assimilabili, molti sistemi aziendali, invece, classificano gli ID utente e i controlli di accesso nei loro formati originari e, a quel punto, combinare i dati provenienti da più sistemi può diventare complicato e creare confusione. È necessario raccogliere e semplificare i dati perché, se restano difficili da leggere, i responsabili potrebbero rischiare di firmare il report senza effettuare un’analisi approfondita.

I manager dovrebbero anche essere consapevoli dei diritti di accesso che stanno fornendo ai dipendenti: dare accesso senza reali motivazioni comporta un pericolo per l’impresa ed è importante renderli consapevoli di ciò, per evitare di fornire troppi privilegi di accesso, aiutandoli anche a capire i rischi associati ai vari ruoli e al loro livello di accesso alle risorse aziendali.

L’account attestation può essere effettuata in maniera manuale oppure programmatica. Le revisioni manuali degli accessi degli utenti sono spesso considerate lunghe e macchinose e un software può aiutare in questo compito. Per alcune organizzazioni, i servizi di directory sono sufficienti, come Active Directory per Windows o Lightweight Directory Access Protocol per Unix ma si tratta di strumenti non in grado di offrire le ricertificazioni degli account a livello granulare necessarie a tutte le aziende. Gli strumenti IAM, come Hitachi ID Identity Manager, IBM Security Identity Governance e RSA SecurID Access offrono opzioni di reporting per la revisione degli accessi degli utenti, anche gli algoritmi di machine learning possono aiutare a semplificare il processo.

Passo 2. Condurre la revisione

Una volta che una policy chiaramente definita è in atto, è necessario creare un report di tutti i database, le applicazioni e i sistemi, e determinare chi vi ha attualmente accesso, tenendo conto di tutti i dipendenti ma anche delle terze parti, come venditori, fornitori di servizi e consulenti.

Ad ogni responsabile di risorse va inviata una copia del report in modo che verifichi chi ha accesso, a quale livello e se i privilegi sono stati cambiati o revocati. A volte, questo si basa sul ruolo, sul dipartimento o sulla responsabilità, mentre altre volte è necessario un approccio più granulare perché responsabilità e privilegi possono variare anche tra persone con lo stesso ruolo.

In alcune revisioni, i proprietari possono approvare o rifiutare interi reparti e i relativi manager hanno il compito di verificare e la possibilità di rifiutare se alcuni loro dipendenti deve invece avere l’accesso consentito. Se il proprietario di una risorsa rifiuta i privilegi di accesso di un reparto, deve informarne il manager del reparto che a sua volta dovrebbe avere il tempo di negoziare l’accesso, se necessario. Essenziale anche assicurarsi che i proprietari firmino il report entro la scadenza.

Passo 3. Remediation e reporting

Una volta ricevute tutte le revisioni dell’accesso all’account utente, vanno eseguite le modifiche in base alle revisioni dei proprietari e va rimosso qualsiasi accesso revocato, aggiornando poi i privilegi dei dipendenti come necessario. La generazione di un nuovo report sull’accesso utente verificherà che le modifiche siano entrate in vigore.

Finalizzare, stampare e archiviare il report. I report completati dovrebbero includere i ruoli precedenti e attuali, i diritti di accesso, chi li ha approvati, i nomi dei proprietari dei sistemi e qualsiasi nota o ulteriore azione. Questo report fornisce una traccia del controllo e la prova della conformità della ricertificazione dell’accesso.

In questa fase è opportuno e consigliato valutare le lacune di sicurezza. Per esempio, se un certo numero di ID utente viene revocato a causa di una specifica policy del processo di provisioning, potrebbe essere il momento di ripensare le attività di provisioning aziendale. Il report può anche valutare se le policy di sicurezza e le strategie IAM stanno funzionando e lo stesso vale per le policy di accesso durante l’assunzione, il trasferimento o la cessazione che devono risultare efficienti e sempre in linea con la sicurezza aziendale. È il momento giusto anche per valutare il processo di revisione, per comprendere eventuali possibili interventi di semplificazione o di efficientamento.

Best pratices per la revisione degli accessi degli utenti

Il processo di revisione degli accessi è una componente critica di qualsiasi programma di sicurezza aziendale e prevede una serie di azioni:

  • Creare una policy di controllo degli accessi e aggiornarla se necessario
  • Adottare un processo formale di revisione degli accessi
  • Eseguire verifiche regolari
  • Incoraggiare e richiedere il coinvolgimento dei dipendenti e del management
  • Utilizzare le caratteristiche del software di controllo degli accessi nei prodotti IAM, o considerare l’implementazione di tali prodotti e caratteristiche
  • Rivedere i controlli di accesso non solo quando un dipendente viene assunto o licenziato, ma anche quando i ruoli cambiano all’interno dell’organizzazione
  • Definire e documentare la separazione dei compiti, che comporta la differenziazione anche dei privilegi tra due o più persone rispetto ad uno specifico processo

Nella sicurezza, bisogna aspettarsi l’inaspettato. Meglio quindi accertarsi di avere un processo stabilito per far fronte a eventuali problemi imprevisti, nel caso ad esempio siano rilevate violazioni della divisione dei compiti o se una funzione lavorativa sia stata modificata e debba essere aggiornata nella lista dei livelli di accesso e dei ruoli.

Alcune best practice generali di IAM e di accesso sono le seguenti:

  • Applicare il POLP.
  • Utilizzare RBAC.
  • Considerare l’implementazione dell’autenticazione a due o più fattori.
  • Adottare una policy di password forte.
  • Adottare una strategia di sicurezza zero-trust

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

Prossimo

GenAI, dalla sperimentazione alla scalabilità: al centro la gestione di costi e dati