Accade di frequente che chi possiede i privilegi di ammministratore esponga i dati aziendali a vari tipi di minacce. Per limitare queste sistuazioni, andrebbero ridotti tali privilegi e assegnate chiare responsabilità individuali.
Da un recente sondaggio
condotto in occasione di The Experts Conference, l’incontro annuale globale
dei professionisti dell’It co-sponsorizzato da Quest Software e Microsoft, è
emerso che per metà degli intervistati il problema principale in ambito
conformità riguarda la corretta gestione dei diritti di accesso degli utenti,
incluso l’accesso per gli utenti privilegiati. In quest’ultimo caso, la sfida è
ancora più grande quando vengono date agli amministratori “le chiavi del
regno”, con ampi diritti di accesso a sistemi It fondamentali. Nel settore
privato, uno sbaglio nella gestione dell’accesso alle informazioni e delle
conformità degli standard di sicurezza si può tradurre in perdite economiche e
controlli poco accurati che possono arrecare danni al brand stesso. Nel settore
pubblico, gestire i diritti di accesso degli utenti è una scommessa la cui
vittoria significa sconfiggere continue minacce in termini di sicurezza
nazionale. Un nuovo report sviluppato per Quest da Enterprise Management
Associates (Ema), identifica i controlli inadeguati agli accessi amministrativi
come “il più grande gap di molte aziende per quanto riguarda l’It”.
Il report dal titolo “Perché
dovreste prendere in considerazione la gestione degli accessi privilegiati (e
cosa bisognerebbe sapere)” esamina alcune delle scuse più comuni che le
aziende forniscono per giustificare queste negligenze. La ricerca offre
un’utile panoramica su come le moderne pratiche di Pam (Priviledged Account
Management) e le corrispondenti soluzioni tecnologiche possano risolvere i rischi
legati a una policy di controllo flessibile, a flussi di lavoro automatizzati e
a una reportistica completa per migliorare la sicurezza, l’efficienza e
ottenere conformità.
Inoltre, per aiutare ulteriormente
i top manager a evitare i più comuni rischi alla sicurezza, Quest propone tre consigli pratici:
1. Assegnare
responsabilità individuali in caso di attività degli utenti privilegiati
L’accesso in modalità
amministratore condiviso e non controllato non è solo una cattiva idea: è uno
dei modi più facili e veloci per esporre un’azienda a rischi inutili,
specialmente dal momento che questi account privilegiati hanno tipicamente
potere estensivo su sistemi It operativi, applicazioni, database e così via. Con
account condivisi, ogni violazione alla sicurezza o alla conformità può essere
tracciata solo all’account e non a un singolo amministratore che utilizza tale
account.
Un approccio migliore al
contenimento del rischio implica garantire agli amministratori i diritti di
accesso solo ed esclusivamente per ciò di cui hanno bisogno e quando ne hanno
bisogno. Le credenziali dovrebbero essere fornite solo in base alla necessità,
insieme a un rapporto completo di chi le ha utilizzate, come e perché queste
persone le hanno ricevute, chi ne ha approvato l’utilizzo, per cosa sono state
utilizzate e la password dovrebbe essere cambiata immediatamente dopo ogni
utilizzo. La capacità di automatizzare e mettere in sicurezza l’intero processo
è un modo efficace di gestire l’accesso amministrativo di un’intera azienda.
Analogamente, il Pam è essenziale per consentire alle autorità competenti di
lavorare efficacemente.
2.
Implementare e rafforzare una strategia di sicurezza “con meno
privilegi” per l’accesso amministrativo
Molti account degli
amministratori di sistema, inclusi i root Unix, Windows o Active Directory
admin, Dba e così via forniscono autorizzazioni senza limiti entro la portata
del loro controllo e, qualora condivisi, possono aprire un varco ad attività
maligne.
Un approccio più prudente
consiste nello stabilire una policy che definisca chiaramente cosa possano o
non possano fare ad ogni accesso gli amministratori (o chi ne ricopre il
ruolo). Poiché questo processo può essere complicato e spesso difficile da
applicare, Quest raccomanda l’implementazione di strumenti di delega granulare
ottimizzati per le piattaforme previste e integrati con altre tecnologie Pam
come la salvaguardia dei privilegi, l’autenticazione multifattore o il bridge
Active Directory.
3.
Ridurre le complessità di gestione degli account privilegiati
Una delle principali sfide a
livello di Pam deriva dall’utilizzo di sistemi It diversi, ognuno con
caratteristiche ed esigenze uniche per quanto riguarda la gestione degli
account privilegiati. Questo si traduce nell’utilizzo di tool specializzati e
nell’attuazione di policy e pratiche ad hoc per controllare l’accesso agli
account privilegiati. Sfortunatamente, questo approccio spesso complica il
processo di controllo, rendendo difficile dimostrare che tutti gli accessi
siano controllati e che i principi di “separazione dei compiti” siano stabiliti
e rafforzati.
Per questa ragione, consolidare
sistemi diversi su una struttura identitaria comune crea un ambiente dove un
singolo approccio Pam può essere rapidamente rafforzato con maggiore coerenza
su segmenti di azienda più ampi, eliminando gli errori nati da complessità
multisistema, riducendo il rischio e abbassando la spesa richiesta per la
gestione di sistemi multipli. Inoltre, qualunque consolidamento delle
capacità Pam sotto una gestione comune e un’interfaccia di reportistica
fornisce efficienza migliorata.
Il report di Ema citato in
precedenza indica che le aziende focalizzate sul raggiungimento di un alto
livello di disciplina nella gestione del cambiamento e nella configurazione
tendono ad avere risultati migliori, che si traducono non solo in una minore
incidenza di episodi di minacce alla sicurezza, ma anche in una più elevata affidabilità
It, un minor livello di attività It non pianificate, maggior successo nei
cambiamenti a livello It e un maggior numero di progetti It completati in tempo
e nel pieno rispetto del budget allocato.