controllo degli accessi

Access control: le basi per la sicurezza informatica aziendale

Home Sicurezza digitale
Indirizzo copiato

La protezione dei dati sensibili è cruciale per la sicurezza aziendale. I sistemi di controllo degli accessi impediscono accessi non autorizzati, proteggendo risorse digitali e dati critici. Approfondiamo le tecniche per limitare i danni di eventuali incidenti di sicurezza

Pubblicato il 20 dic 2024
Matteo Greatti

consulente cybersecurity certificato eset security, ceo and founder di GFTech srl.

Cyber,Security,And,Network,Protection.,Cybersecurity,Expert,Working,With,Secure

La protezione dei dati sensibili rappresenta uno degli elementi fondamentali nella gestione della sicurezza informatica aziendale. Tenendo in considerazione che la quantità di informazioni circolanti all’interno di una realtà di qualsiasi tipo cresce esponenzialmente, risulta cruciale implementare sistemi di controllo degli accessi (Access Control) in grado di garantire un livello di sicurezza adeguato per le risorse digitali e i dati aziendali.

Sicurezza delle informazioni: il difficile equilibrio tra tutela di sistema e protezione dei diritti individuali

Cos’è un sistema di controllo degli accessi

Questi sistemi non solo prevengono, nella maggior parte dei casi, accessi non autorizzati alle risorse aziendale, ma limitano anche i danni potenziali derivanti da eventuali incidenti di sicurezza, garantendo sia l’integrità che la riservatezza delle informazioni.

Ma cos’è un sistema di controllo degli accessi? Il termine “controllo di accesso” si riferisce all’insieme delle tecniche e delle policy utilizzate per regolare chi può accedere a specifiche risorse o dati all’interno di un’organizzazione. Attraverso strumenti e metodologie avanzate, i sistemi di controllo degli accessi assicurano che solo le persone autorizzate possano entrare in contatto con le informazioni sensibili, limitando così la superficie di attacco potenziale.

Approcci ai controlli di accesso

Esistono vari approcci ai controlli di accesso, ma generalmente possono essere suddivisi in quattro categorie principali, di seguito cercheremo di descriverle.

Access Control Discrezionale (DAC – Discretionary Access Control)

La caratteristica principale di questa categoria di controlli è che consente ai proprietari delle risorse di stabilire chi può accedere alle informazioni. È flessibile ma può diventare rischioso se non gestito con attenzione, soprattutto perché la responsabilità dell’accesso al dato viene delegato al proprietario dell’informazione.

Un tipico esempio di questa metodologia di Access Control (AC) sono tutti i sistemi di condivisione files su cloud (SharePoint, Teams, Google Drive, etc) in cui il creatore del file decide con chi condividerlo. È sicuramente il tipo di AC più flessibile e semplice da utilizzare sebbene il meno sicuro visto appunto la libertà concessa all’utente finale.

Access Control Obbligatorio (MAC – Mandatory Access Control)

In questa metodologia la decisione sui privilegi di accesso al dato viene delegata ad un responsabile, generalmente l’amministratore di sistema o suo collaboratore, che imposta per ogni risorsa il livello minimo di privilegio necessario per accedervi. Come si può facilmente capire tale metodo impone una rigida classificazione dei dati e delle risorse, regolando l’accesso in base ai privilegi predefiniti per ogni classe.

È probabilmente uno dei metodi più sicuri di AC ma anche il metodo forse più oneroso in termini di gestione in quanto ogni nuova informazione inserita a sistema deve essere classificata prima di venire resa pubblica (ovviamente a chi ne ha accesso).

Role-Based Access Control (RBAC)

In questo caso vengono definiti a priori dei ruoli aziendali (manager, impiegato, operaio, etc..) e in base a tali ruoli vengono definiti i privilegi di accesso alle risorse. Ad esempio, supponiamo di avere un sistema RBAC contenente un ruolo “gestione del personale”: tutti gli utenti a cui viene dato tale ruolo potranno accedere alle informazioni relative all’HR.

Come possiamo facilmente intuire è un modello molto efficiente per garantire che ogni dipendente abbia accesso solo a ciò che è strettamente necessario per le proprie funzioni, rispettando così il principio del privilegio minimo, ma richiede una attenta analisi e pianificazione dei ruoli aziendali e delle loro funzioni per far sì che alcune informazioni non possano venir lette accidentalmente per un errore di assegnazione dei ruoli.

Attribute-Based Access Control (ABAC)

In questo caso i privilegi di accesso vengono regolati in base ad attributi specifici degli utenti, dei dati e dell’ambiente. Un esempio sono i privilegi di accesso ai files di Windows o Linux: l’accesso alla risorsa è delimitato da quali privilegi il nostro utente ha sul file in questione. È di sicuro un metodo altamente flessibile e dinamico, che ben si adatta a scenari in cui i requisiti di accesso possono cambiare frequentemente o possono essere soggetti a forte variazione nel tempo anche se, in caso di sistemi di grandi dimensioni o con molti dati, la gestione degli accessi in questo modo può diventare estremamente complessa aumentando quindi la possibilità di errore e calandone, quindi, la sicurezza.

Fattori alla base di un sistema di AC funzionale

In sintesi, possiamo tranquillamente affermare che nessuno dei quattro modelli presentati è il migliore, hanno tutti punti di forza e di debolezza che li rendono potenzialmente ottimali a seconda della situazione e del sistema in cui devono venir applicati.

Alla base di un sistema di AC funzionale è sempre presente una corretta analisi e pianificazione dell’ambiente in cui tale sistema andrà implementato e calato. Come abbiamo detto le policy di sicurezza aziendali svolgono un ruolo essenziale nel determinare chi può accedere ai dati e alle risorse. Esse stabiliscono le regole che guidano la configurazione e l’implementazione dei controlli di accesso, garantendo che i processi decisionali siano coerenti con gli obiettivi di sicurezza dell’organizzazione. Le policy devono essere progettate tenendo conto delle esigenze specifiche dell’organizzazione e delle normative vigenti, come ad esempio il GDPR per la protezione dei dati personali.

Data protection: guida alla stesura della policy aziendale in chiave GDPR

Caratteristiche di una policy di sicurezza efficace

Una policy di sicurezza efficace per i controlli di accesso deve:

  • Definire i requisiti di autenticazione e autorizzazione per ogni tipologia di utente o ruolo all’interno dell’organizzazione.
  • Stabilire criteri di revisione e monitoraggio per identificare e bloccare tempestivamente eventuali anomalie nei tentativi di accesso.
  • Includere misure di auditing e logging, fondamentali per il monitoraggio dei tentativi di accesso e per rispondere a eventuali incidenti.

Risulta quindi fondamentale il terzo punto: monitoraggio e auditing costante del sistema per stabilirne l’efficacia e valutare se è in grado di mantenere la RID (Riservatezza – Integrità – Disponibilità) dei dati.

Obblighi normativi nei controlli di Accesso

Le organizzazioni devono rispettare specifici obblighi normativi per garantire la protezione dei dati e delle risorse critiche. Tra le normative che impongono obblighi stringenti sui controlli di accesso troviamo la Legge 90/2024, la direttiva NIS 2 e la norma ISO/IEC 27001.

Legge 90/2024

La Legge 90/2024, precedentemente conosciuta come “Decreto CyberSecurity”, mira alla protezione del patrimonio informativo aziendale introducendo requisiti obbligatori per l’adozione di controlli di accesso avanzati, soprattutto per le aziende che gestiscono dati sensibili o risorse critiche. Tra gli obblighi principali si evidenziano:

  • Autenticazione forte per ogni accesso a risorse sensibili, con sistemi di autenticazione a più fattori (MFA).
    • Monitoraggio continuo degli accessi per individuare eventuali anomalie e segnali di attività malevole.
    • Controllo delle identità digitali degli utenti e limitazione degli accessi sulla base del principio del minimo privilegio.
    • Reportistica e auditing per fornire la documentazione completa di accessi e tentativi di accesso, utile in caso di audit e ispezioni.

Direttiva NIS 2

La Direttiva NIS 2, entrata in vigore per rafforzare la sicurezza delle infrastrutture critiche dell’UE, pone grande enfasi sui controlli di accesso, in particolare per settori essenziali quali energia, sanità e finanza. Gli obblighi includono:

  • Implementazione di sistemi di autenticazione basati su standard di sicurezza avanzati, come l’autenticazione biometrica o l’MFA.
  • Accessi condizionati da autorizzazioni specifiche, per consentire l’accesso solo a chi ha le competenze e le autorizzazioni necessarie.
  • Gestione centralizzata delle identità e dei permessi, per garantire un controllo unificato su chi può accedere a quali risorse, minimizzando le possibilità di accesso abusivo.
  • Piani di revisione e miglioramento dei controlli di accesso per mantenere costantemente aggiornati i meccanismi di difesa, conformemente alla valutazione del rischio periodica prevista dalla direttiva.

Norma ISO/IEC 27001

La ISO/IEC 27001 è uno standard internazionale che definisce i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS). Nell’ambito dei controlli di accesso, la ISO 27001 impone:

  • Definizione e applicazione di politiche di controllo degli accessi in base ai ruoli e alle responsabilità aziendali, garantendo che ogni utente abbia accesso solo alle risorse necessarie per svolgere il proprio lavoro.
  • Accesso basato sul principio del “least privilege” (minimo privilegio), per limitare l’esposizione ai dati solo alle persone autorizzate.
  • Gestione e monitoraggio degli accessi privilegiati (privileged access management – PAM), per prevenire abusi di autorizzazioni elevate.
  • Revisione periodica dei diritti di accesso per assicurarsi che i permessi assegnati siano sempre appropriati rispetto al ruolo e alle responsabilità dell’utente, mitigando il rischio di accessi non autorizzati.

Le tecnologie necessarie

Diventa chiaro che, per implementare tali sistemi mantenendo la compliance normativa, le tecnologie di AC devono essere il più possibile affidabili e controllate, ma quali sono tali tecnologie? Le più comuni sono il Single Sign-On, l’MFA, lo IAM (Identity and Access Management) e infine il PAM (Privileged Access Management). Incontriamo tali tecnologie praticamente ogni giorno, ci basta accedere al nostro smartphone per iniziare ad imbatterci in sistemi di Access Control. La schermata di blocco, ad esempio, è un tipico caso di IAM: il nostro smartphone stabilisce la nostra identità e ci da accesso al device.

Nel momento in cui accediamo al nostro account di Office365 o Google Suite ci imbattiamo nel SSO: con un unico accesso (magari anche con più fattori di autenticazione) accediamo ad una vasta gamma di servizi quali calendario, rubrica, mail, files condivisi. I sistemi di autenticazione multi fattore (MFA) ci accompagnano di continuo, dall’home banking ai siti istituzionali e tutti noi ne conosciamo il funzionamento. Per quanto riguarda invece il PAM (Privileged Access Management) difficilmente possiamo imbatterci in lui: viene di solito usato per gestire le identità digitali degli utenti e automatizzarne i processi di autenticazione e autorizzazione. Estendendo un po’ il concetto potremmo inserire, ad esempio, lo SPID in questa categoria di AC, nel momento in cui lo utilizziamo per accedere alle risorse istituzionali (INPS, Sanità, etc..).

Access control: un elemento cruciale della strategia di sicurezza aziendale

In conclusione possiamo affermare che la gestione dei controlli di accesso non è solo una questione tecnica, ma un elemento cruciale della strategia di sicurezza aziendale. Attraverso l’adozione di policy ben strutturate e di tecnologie adeguate, le organizzazioni possono limitare l’accesso ai dati sensibili e ridurre i rischi associati ad accessi non autorizzati. Possiamo considerare i controlli di accesso come una delle difese più solide per garantire la riservatezza, l’integrità e la disponibilità delle informazioni aziendali, rispettando al contempo le normative vigenti e proteggendo il proprio patrimonio informativo.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Matteo Greatti
consulente cybersecurity certificato eset security, ceo and founder di GFTech srl.
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • scuola digitale

    L'IA per migliorare scrittura e creatività: gli strumenti per la didattica

    07 Nov 2024

    di Carmelina Maurizio

    Condividi

  • la guida

    Email con l'AI: i sei migliori servizi per aumentare la produttività

    31 Mag 2024

    di Maurizio Stochino

    Condividi

  • identità digitale

    eIDAS 2.0: sicurezza, interoperabilità e impatti sulla compliance

    11 Lug 2024

    di Ivan Rotunno e Roberto Villa

    Condividi

Prossimo

L'IA per migliorare scrittura e creatività: gli strumenti per la didattica

Articolo 1 di 4