Gestione accessi: fotografia di una… giungla

Chi verifica, e come, l’operato dei controllori? È sufficiente adottare uno standard per mettere in sicurezza i dati a far rispettare le policy? Sono alcuni dei quesiti ai quali risponde un’indagine europea sulla gestione degli utenti con accessi privilegiati: senza adeguate procedure di controllo e soluzioni software specifiche, i rischi per l’azienda sono davvero elevati

Pubblicato il 01 Dic 2009

security-45x45

LONDRA – Fari puntati sulle criticità che insorgeranno dalla continua diffusione di una miriade di device mobili collegati alla rete e dalla gestione “in the cloud” delle informazioni. Si è aperta con una serie di dati

legati a queste prossime sfide l’Rsa Conference europea (www.rsaconference.com). Arthur Coviello (nella foto), executive vice president Emc e presidente Rsa ha dato il via ai lavori dicendo alla platea: “Entro il 2015 saranno probabilmente più di 15 miliardi i device mobili connessi ad Internet; il 75% di questi sarà in perenne collegamento alla rete già verso la fine del 2011 (o forse anche prima)”.
“Nuove sfide si presentano alle aziende che devono fare i conti con migliaia di identità digitali che popolano la rete (e quindi risiedono nei data center). Gli utenti dei social network (come i 300 milioni di utenti Facebook) continuano ad aumentare: Skype conta circa 380 mila utenti in più ogni giorno. Questo espone le aziende a nuovi rischi ed è ora che inizino a preoccuparsene”, sollecita Coviello.
Ma basta seguire uno standard o un framework metodologico per garantire la sicurezza dei dati in azienda e il rispetto delle policy? È partendo da questo interrogativo che Ca (www.ca.com) ha voluto indagare lo stato dell’arte attuale in fatto di “gestione degli accessi” commissionando a Quocirca (www.quocirca.com) un’indagine a livello europeo.
Dalla ricerca, intitolata “Priviliged User Management – It’s time to take control”, è emersa un’inadeguata diffusione delle misure e degli strumenti che consentono di controllare gli utenti che hanno diritti di accesso privilegiato ai dati critici aziendali.
Lo studio, che evidenzia i potenziali rischi derivanti da una insufficiente gestione dell’operato dei cosiddetti “utenti privilegiati”, ossia coloro che all’interno delle organizzazioni It hanno accesso ai dati aziendali più critici e sensibili per poter svolgere le loro funzioni (amministratori di sistema, di applicazioni, reti e Web, sicurezza, database e sistemi operativi, ecc.), rileva una situazione non molto positiva: la maggior parte delle aziende risulta essere non allineata alle normative di legge e alle best practice in tema di tutela della riservatezza dei dati personali. Condizione che rappresenta, in primis, una potenziale minaccia alla privacy dei singoli utenti, e, in secondo luogo, espone le stesse aziende ad attività illecite ed illegali perpetrabili sia da utenti interni sia da hacker o cybercriminali.
L’indagine, che è stata realizzata su un campione di aziende con oltre 2 mila dipendenti nei settori Tlc e Media, Pa, Finance e Industria e condotta in 14 Paesi (Belgio, Danimarca, Germania, Finlandia, Francia, Irlanda, Israele, Italia, Olanda, Norvegia, Portogallo, Spagna, Svezia e Regno Unito), ha coinvolto 270 It manager e responsabili della sicurezza, di cui 30 italiani.
Dalle risposte è emersa la pratica diffusa e piuttosto comune di condivisione delle credenziali di accesso, nome utente e password, tra più individui, rilevata presso il 40% delle aziende italiane intervistate (a livello europeo le percentuali arrivano anche al 50% ed oltre nelle aree delle Application o Network). Il 41% delle aziende europee interpellate (il 56,7% in Italia) afferma di avere adottato lo standard Iso 27001 secondo il quale l’assegnazione e l’utilizzo degli accessi “privilegiati” devono essere limitati e controllati, ma sono gli stessi intervistati ad ammettere poi che gli amministratori di sistema non si attengono alle procedure ottimali definite dagli standard.
Quocirca ricorda come sia ormai ampiamente dimostrato che l’utilizzo non controllato di accessi privilegiati, così come la diffusa prassi di condividere tra più persone lo stesso account, espone le organizzazioni a pericoli di varia natura (tra cui anche le probabilità di innescare attività di hacking per accedere a dati critici aziendali, numeri di carte di credito o violazioni di proprietà intellettuale).
Eppure, dall’indagine sembra proprio emergere una diffusa insensibilità nei confronti del problema da parte di una componente estesa dell’organizzazione It.

Così Tim Dunn (nella foto), vice president Ca Security Business Emea non usa mezzi termini esortando le aziende a “muoversi” e a “prendere il controllo”: “È innegabile la necessità di disporre di accessi di tipo privilegiato per il personale It – dice Dunn – ma è nell’interesse di tutta l’azienda definire e mettere in atto misure volte a ridurre l’esposizione a rischi, proteggere le applicazioni e i dati (anche per permettere un corretto adeguamento alle normative)”. In Italia, soltanto il 23% delle aziende italiane intervistate dichiara di utilizzare sistemi automatizzati per il monitoraggio, il controllo e la tracciabilità dell’operato degli utenti con diritti di accesso privilegiato (le più attrezzate sono le società di telecomunicazioni e, a seguire Finance e Pubblica Amministrazione, mentre l’industria appare la meno reattiva e sollecita nel formulare una risposta esaustiva ed efficace). Dati ancora un po’ “scarsi” se si pensa alle misure richieste in Italia dal Garante della Privacy con il provvedimento del 27 novembre 2008 sugli amministratori di sistema. Circa il 50% degli intervistati italiani, infatti, afferma poi di non avere in esercizio alcun sistema per prevenire e fronteggiare i rischi connessi all’esistenza di profili che operano all’interno delle organizzazioni It con accessi privilegiati.
Nel 30% dei casi analizzati da Quocirca, le soluzioni applicate per gestire gli accessi privilegiati sono di tipo manuale, quindi poco affidabili, costose in termini di risorse impiegate e spesso inadatte a documentare la conformità ai requisiti imposti dal Garante.
“L’adozione di pratiche manuali è, infatti, del tutto inefficiente rispetto a quanto richiesto dalle normative attuali e non permette né una reale misurazione interna, né la possibilità di una valutazione da parte di enti certificatori esterni. Solo un sistema automatizzato per la gestione degli account, l’assegnazione dei diritti di accesso e la verifica sulle attività degli utenti (tra cui quelli con privilegi particolari) può condurre le aziende a una condizione di completa rispondenza alle esigenze aziendali e normative”, afferma Bob Tarzley, analyst and director di Quocirca.
La parole dell’analista riflettono in sostanza una priorità delle aziende italiane che oggi non possono più sottrarsi all’adozione di misure tecniche e organizzative che riguardano nello specifico la figura degli amministratori di sistema perché il provvedimento del Garante lo impone (il 15 dicembre scade il termine entro il quale adeguarsi – ndr).
L’adeguamento alla nuova normativa è diventato oggi obbligatorio e lo scenario descritto dall’indagine manifesta una evidente necessità di allineare la gestione degli accessi privilegiati a una logica di maggiore protezione e tutela dei dati personali.


Controllo degli accessi: la proposta software di Ca

È stato Dave Hansen, corporate vice president e general manager Ca Security Management Business Unit, a presentare alla stampa europea, durante l’RSA Conference europea di Londra, la proposta software della società in tema di “gestione degli accessi”. Tre, in particolare, le soluzioni adatte a rispondere alle impellenti esigenze imposte dalle normative (prima fra tutte quella del Garante della Privacy in merito alla regolamentazione degli amministratori di sistema):
Ca Access Control 12.5 è la soluzione specifica per la gestione degli utenti con accesso privilegiato e delle relative password. In dettaglio, il software facilita la gestione delle attività di adeguamento alle normative tramite l’applicazione di un controllo (automatizzato e basato su policy) degli utenti con accesso privilegiato, studiato allo scopo di decidere a quali risorse del sistema essi possano accedere e quali azioni siano loro consentite nelle diverse circostanze. Il tutto da una console unificata che facilita l’amministrazione delle policy attraverso un’interfaccia centralizzata e la gestione via Web.
Ca Identity Lifecycle Management nasce per la gestione del ciclo di vita delle identità in ambito aziendale. La novità viene dall’elevato livello integrazione del motore preposto all’analisi e alla gestione delle policy (Ca Role & Compliance Manager, con brevetto in corso di registrazione), che unito alla capacità di Ca Identity Manager di automatizzare i processi di provisioning consentirà il cosiddetto “Smart Provisioning” (per un approccio proattivo in conformità con i requisiti di security e le normative mantenendo i livelli di produttività ed efficienza richiesti dal business). L’integrazione con la funzione di Smart Provisioning dovrebbe avvenire entro la fine del 2009.
CA DLP (Data Loss Prevention) essendo focalizzato sulla problematica delle identità, è in grado di applicare dinamicamente le policy alle attività degli utenti finali sulla base dei rispettivi ruoli organizzativi per realizzare una gestione delle identità e degli accessi commisurata ai contenuti (cioè ai dati aziendali facendo, per esempio, una scansione locale dei dati sugli endpoint o una scansione diretta in database strutturati per identificare i dati sensibili e verificare gli accessi). (N.B.)

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati