Attualità

Come Telco, PA e imprese devono ripensare alla sicurezza degli accessi ai dati

Verificare che chi accede ai dati sia veramente chi dice di essere ma anche quali diritti gli vengono attribuiti, assicurandosi che siano quelli minimi previsti. È ciò che tutti dovrebbero fare con i propri sistemi e applicativi aziendali e, anche se in ogni contesto ci sono rischi e presupposti differenti, la priorità dell’organizzazione resta una: controllare e gestire le identità di tutti. Esistono tante soluzioni per farlo in modo efficace, ma l’obiettivo è “non stressare l’utente” implementando soluzioni altamente tecnologiche, efficaci e funzionali al contesto in attesa di operare in un mondo passwordless, entro i prossimi 3 anni.

Pubblicato il 25 Feb 2022

security

Solo le aziende più mature, giunte quasi al termine del proprio percorso di sicurezza, si focalizzavano sull’identità e sugli accessi ai dati all’interno di procedure di gestione di rischio di impresa o informatico, ma oggi non è più così. Il furto delle credenziali è alla base di molti degli attacchi informatici diventati mainstream e questo aspetto di cybersecurity da “nice to have” è diventato una priorità per tutti, un problema di interesse comune, soprattutto da quando cloud e smart working, nel periodo pandemico, hanno moltiplicato le identità online dei singoli individui e costretto le aziende a digitalizzare molti processi “fisici”.

Consapevoli dei potenziali danni che una cattiva gestione di identità e accessi può procurare, è importante approcciare il problema senza banalizzarlo. Se infatti “sei veramente chi dici di essere?” è la domanda immediata che si associa alla procedura di gestione degli accessi ai dati, non è però la prima da porre. Come sottolinea Roberto Branz, Channel Account Executive di SecurID, Business Unit di RSA, “prima è necessario verificare che chi si collega ad una applicazione o ad un software aziendale abbia i diritti minimi per fare ciò che deve. Il rischio è infatti che possa accedere ad aree e risorse non indispensabili allargando la superficie di rischio inutilmente”.

Prima dell’Identity Access, quindi, l’Identity Governance, o meglio ancora, un’integrazione tra questi due processi cruciali che diventi quindi una garanzia per tutta la “filiera” dell’identità, dalla raccolta dei diritti, dalla revisione degli accessi e dalla loro gestione fino ad altri aspetti come la lifecycle management e un controllo degli accessi rigorosamente basato sui ruoli. Una tale soluzione risponde a tutte le domande, verifica l’identità di chi accede ma controlla anche chi ha accesso a quali risorse e cosa può fare con esse in virtù della tipologia di accesso attribuitagli.

Tra Telco, PMI e PA molteplici rischi ma un’unica priorità: gestire e verificare le identità

Uno dei settori che da sempre ha prestato molta attenzione a questo aspetto della sicurezza, anche quando era ancora di nicchia, è quello delle Telco, un asset mission critical per il Paese che non si può permettere passi falsi possedendo importanti informazioni su cittadini e imprese. Al di là dell’effetto cloud e smart working che ha colpito tutti i settori, questo, così all’avanguardia sulla protezione dei dati, “rappresenta un perfetto esempio del nuovo orizzonte di sicurezza che l’App Economy porta con sé – prosegue Branz – molti operatori Telco, come accade anche nel settore Finance, offrono soluzioni e servizi tramite app agli utenti e si trovano quindi a gestire i diversi diritti legati agli accessi connessi , che devono essere sempre minimi e legati ai ruoli. È in questo contesto che si inizia a parlare di Customer Identity Access Management (CIAM), una nuova sfida anche per molti altri settori che possono guardare alle Telco come a veri e propri pionieri”.

Se si guarda ad aziende di dimensioni minori, all’affollato tessuto industriale delle PMI italiane, si trovano ulteriori priorità ma anche una bella sorpresa. “Prima della pandemia erano escluse dal mercato della protezione delle identità, le procedure di sicurezza classiche, infatti, non prevedevano questo aspetto perché non ne veniva percepita la necessità: pochi erano i lavoratori da remoto e spesso mancava il ruolo di un IT Manager ufficiale – racconta Branz – con il lockdown, invece, molte aziende hanno dovuto riorganizzarsi e creare nuove procedure cogliendo l’opportunità per rivedere la gestione della sicurezza e considerare in primis anche l’aspetto delle identità”. Dato il numero di fornitori, clienti e terze parti, questo step era indispensabile, anche considerando i numerosi partner che spesso affiancano le PMI sugli aspetti della sicurezza: “ho visto maturare molti skill in queste realtà, hanno capito la validità e l’importanza di fornire, anche alle aziende meno strutturate, strumenti che permettessero loro di attivare facilmente soluzioni efficaci”.

Il “via vai” di accessi nelle PMI è intenso ma non certo come quello registrato negli enti della Pubblica Amministrazione che, quando si tratta di identità, si trovano di fronte a una enorme quantità di utenti, tra dipendenti e cittadini, e a una frequente rotazione di personale – e di amministratori di sistemi – che non ne facilita certo la gestione. “Il maggior rischio in questo contesto è il mancato controllo dell’attribuzione dei diritti ai diversi account che può portare a errori molto ‘costosi’ – spiega Branz – molti degli attacchi cyber indirizzati alla PA, infatti, avvengono attraverso credenziali di ex dipendenti che non erano mai stati estromessi dai sistemi. Purtroppo spesso manca una procedura per farlo e, se esiste, risulta troppo complessa e macchinosa da attuare”. Ma non bisogna gettare la spugna, secondo il manager di SecurID, anzi, serve un forte impegno sul tema delle identità digitali perché è il presupposto fondamentale affinché la digitalizzazione prevista dal PNRR possa effettivamente avvenire e perdurare. Il controllo degli accessi accompagna anche la strategia cloud da attuare in Italia, vegliando sullo sgretolarsi del perimetro di sicurezza che questa tecnologia comporta, e nelle PA “è particolarmente importante che venga implementata in modo semplice: né dipendenti né cittadini devono essere in alcun modo stressati”.

Tre tecnologie chiave per rendere la protezione dell’accesso ai dati una priorità per tutti

Il suggerimento è quello di applicare l’approccio Zero Trust, secondo cui non ci si deve fidare di nessuno anche all’interno del perimetro di sicurezza evitando di farsi impressionare da eventuali ruoli altisonanti, per verificare l’identità di ogni utente tutte le volte che accede o si muove all’interno di un ambiente aziendale. Se si applica questo paradigma alla lettera, senza esperienza ed esame della specifica realtà, può nascere il pericolo di “stress” verso l’utente, ma Branz spiega che esiste il modo per evitarlo pur non cedendo sull’aspetto della sicurezza. Questo solo grazie all’aiuto della tecnologia, in particolare dell’intelligenza artificiale. “Oggi esistono strumenti che permettono una continuous authentication, verificano ripetutamente che i comportamenti siano coerenti con i ruoli ricoperti, le informazioni e le abitudini legate alle singole identità, senza intervenire in modo diretto con controlli se non in caso di potenziale rischio – racconta – in questo modo, chiedendo credenziali aggiuntive solo quando necessario, possiamo attuare lo Zero Trust ma in modo funzionale e duraturo. Le organizzazioni possono anche modulare il livello di attenzione di questo tipo di soluzioni in base al tipo di applicazioni a cui si riferiscono e al rischio, proponendo diverse modalità di verifica che vanno dal ‘click’ su una finestra all’impronta digitale o al token software”.

Sempre guardando a una sicurezza crescente ma allo stesso tempo frictionless per chi la applica e “impalpabile” dal punto di vista dell’utente, entro tre anni secondo Branz si potrà dire addio alle password. “Sono da sempre una falsa misura di sicurezza che ha illuso gli utenti rendendoli l’anello debole. In futuro, ma già oggi con le macchine Windows è possibile, accederemo ai sistemi provando di essere chi siamo con il comportamento – spiega Branz – se tutte le aziende adotteranno il paradigma passwordless in modo corretto, diventerà di dominio comune. È un punto di arrivo, però, c’è ancora tanto da fare, soprattutto nell’attivazione di sistemi di autenticazione forte, MFA e controllo dei diritti”.

Alla sua introduzione, l’MFA, ha portato subito a un enorme e cruciale risultato, quello di introdurre una maggiore sicurezza in merito all’identità anche ne mondo delle piccole imprese che trovavano il token troppo difficile da erogare, rischiando così di rinunciare a questo tipo di protezione. Si può fare di più, però, e Branz di SecurID, spiega come oggi sia essenziale, per promuovere il bisogno di sistemi di autenticazione sempre più efficaci, offrire soluzioni flessibili che permettano di scegliere all’interno di un’ampia gamma di metodi, a seconda delle applicazioni a cui si accede ma anche al contesto, ai ruoli, ai diritti. “La frammentazione di servizi può essere scoraggiante. Meglio un’unica procedura con cui accedere a ogni applicativo o risorsa aziendale ma che offra un’unica modalità di autenticazione senza dover saltare da un applicativo e l’altro di autenticazione, mantenendo comunque la flessibilità della scelta che va dall’SMS alle chiamate robotiche, fino alla biometria, per soddisfare ogni esigenza. Dobbiamo permettere alle organizzazioni di salvaguardare qualsiasi item in qualsiasi modo vogliano proteggerla”.

Identity Access e Identity Governance anche per clienti: così SecurID immagina un futuro più sicuro

Brand nuovo, ma divisione di quello iconico di RSA Security attivo nella sicurezza da oltre 35 anni, SecurID offre proprio questo tipo di soluzione facendo tesoro dell’esperienza passata. Partendo dal token, negli anni ’80, questa realtà ha iniziato ad affermare il proprio nome, non ancora marchio autonomo, ponendolo poi sulle altre soluzioni di Identity Access che si sono susseguite, accompagnando le aziende su questo tema mentre RSA Security ampliava la propria gamma di offerta con servizi e soluzioni “correlati alla nostra mission che è quella di creare un mondo digitale sicuro”. Dopo aver trovato risposta alle nuove emergenze emerse con la pandemia, quest’anno RSA Security ha deciso di “scomposti in sottodivisioni” come spiega Branz, tra cui SecurID, “perché serve essere molti specifici per svolgere al meglio attività prioritarie come quelle legate alla sicurezza di aziende, PA e organizzazioni”, aggiunge.

Con la nuvola nel logo, a indicare una offerta “cloud friendly”, SecurID nei prossimi anni si focalizzerà sui sistemi di Identity Governance, sensibilizzando il sistema imprenditoriale ma anche le istituzioni sull’importanza di questo aspetto non secondario rispetto alla verifica degli accessi. “In futuro, entrambe le attività verranno sicuramente estese anche ai clienti, coprendo in modo maggiormente efficace la vasta platea di utenti digitali che rappresentano un continuo rischio – svela Branz – si allarga così il perimetro di applicazione delle soluzioni SecurID per restringere la superficie di attacco di chi le adotta”.

Contributo editoriale sviluppato in collaborazione con Arrow

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati