I Chief Information Security Officer non hanno un dottore che dica loro cosa fare per rendere il loro ambiente sicuro, ma sono loro stessi che determinano le misure da intraprendere, fornendo continue giustificazioni sulle motivazioni sottostanti. I CISO, infatti, sono consapevoli del fatto che devono agire per aumentare la sicurezza delle loro organizzazioni, ma affrontano diverse difficoltà nel farlo. Oltre a dover fare i conti con il budget. Quindi, anche se desiderano affrontare queste sfide, spesso non hanno le persone per farlo.
Nonostante le difficoltà, ci sono 4 aree chiave che i CISO devono affrontare al fine di salvaguardarsi dalle minacce e garantire la sicurezza delle informazioni che devono proteggere.
Autenticazione
Qui si tratta di garantire che la persona che effettua il login è chi dice di essere. A seconda del ruolo e del livello di accesso, i CISO dovrebbero richiedere più di una forma di autenticazione: qualcosa che conoscono, come una password, e qualcosa che posseggono, come un token che genera costantemente nuovi PIN. Un dispositivo biometrico, come un lettore di impronte digitali, può essere un’alternativa. Il punto è che le password possono essere identificate da qualcuno che conosce qualcosa dell’individuo, aggiungendo un secondo fattore il sistema diventa molto più difficile da penetrare.
Autorizzazione
Il focus dell’autorizzazione è relativo ai parametri di ciò che l’utente può fare una volta autenticato. In altre parole, a un utente è concesso un certo livello di accesso a determinate applicazioni e asset in base alle sue credenziali. Per esempio, un dipendente del settore finanziario sarà autorizzato ad accedere a specifici file e applicazioni, mentre un utente nelle vendite no e viceversa.
Amministrazione
Questa area ha a che vedere con le attività gestionali che abilitano l’autenticazione e la corretta autorizzazione. E’ quindi necessario configurare le credenziali sul sistema di modo che le informazioni sull’individuo possano essere autenticate in fase di log in. Qui si determina anche che tipo di ruolo una persona detiene nel sistema. L’obiettivo dell’amministrazione è quello di implementare processi che abilitano gli individui a completare le operazioni in modo efficace e sicuro. Certo, è possibile avere un amministratore che inserisce manualmente tutte le informazioni di ciascun utente, ma non è molto efficiente. Inoltre, se si considera che questa operazione va ripetuta per tutte le applicazioni…
L’amministratore come sa quali accessi consentire a un nuovo utente? Per esempio, in caso di progetti specifici spesso viene modificato il livello di accesso degli utenti e l’amministrazione legata alla manutenzione dei parametri di autenticazione e autorizzazione può diventare molto complessa. Dal punto di vista della sicurezza questo può diventare un problema, in particolare se i dipendenti lasciano l’organizzazione ed è necessario garantire che non possano più accedere alla rete. In una situazione caratterizzata da elevata complessità, se è necessario rimuovere manualmente gli accessi da tutte le applicazioni si impiegherà molto tempo e i dati – in quel lasso di tempo – sono a rischio.
Audit
Il termine “audit” generalmente implica una connotazione negativa. Si tratta di verificare che tutte le attività svolte nelle altre tre aree operino come previsto. I business manager devono ri-certificare che la lista di persone che accedono a dati e applicazioni dei quali sono responsabili sia ancora accurata. Anche qui si parla di un’attività continua. L’audit è utile anche per trovare delle anomalie ed eventualmente sistemarle.
I CISO portano un peso considerevole sulle loro spalle. La loro carriera, reputazione e in molti casi anche la sopravvivenza della loro organizzazione dipendono dai loro sforzi. La sicurezza deve essere mantenuta indipendentemente dal fatto che i CISO dispongano di un numero sufficiente di persone, di budget o strumenti per farlo. Quindi, la prossima volta che vi troverete a dover modificare la password o non riuscite ad accedere a un’applicazione senza presentare una richiesta formale, non odiate il vostro CISO. La azioni che intraprende potrebbero salvare la vostra azienda dall’essere la prossima ad apparire sulle prime pagine dei giornali perché vittima di una violazione, con la conseguente perdita di clienti, fatturato e chissà cos’altro.
Articolo a cura di Alessio Del Turco, Manager, Systems Consulting – Dell Software