Error message

Deprecated function: The each() function is deprecated. This message will be suppressed on further calls in menu_set_active_trail() (linea 2404 di /var/www/vhosts/aiea.it/httpdocs/includes/menu.inc).

La ricertificazione periodica delle utenze

ABSTRACT

Elemento chiave per la protezione dei dati è il controllo degli accessi ai sistemi e di conseguenza la periodica certificazione delle utenze. Ma non solo, è necessari anche gestire la natura ed i privilegi delle utenze stesse fini di al fine di garantire un uso corretto e selettivo dei dati.

 

La ricertificazione periodica delle utenze strumento per prevenire la fuga di informazioni

L'importanza e il valore dei dati anche nelle piccole e medie aziende ormai è una cosa nota. Firewall, antivirus e antimalware sempre più sofisticati vengono utilizzati per prevenire attacchi dall'esterno ma spesso non si considera che la maggior parte delle fughe di dati confidenziali avvengono proprio dall'interno dell'azienda.

Clienti, fornitori, progetti, preventivi, piani di sviluppo e molte altre informazioni confidenziali sono un reale vantaggio competitivo di una azienda. Un vantaggio che può venir annullato da una semplice fuga di informazioni riservate da cui può derivare anche un grave danno economico e reputazionale.

L’accesso alle informazioni riservate e confidenziali deve essere basato sui ruoli, seguire il principio dei minimi privilegi ed essere monitorato alla stregua di qualsiasi altro accesso privilegiato:

  • I dati confidenziali sono correttamente segregati ?

  • Sappiamo realmente chi ci accede e perchè ?

  • Chi ci accede ne ha realmente la necessità in base al ruolo/funzione che ricopre ?

  • Le autorizzazioni dei gruppi corrispondenti a ruoli e funzioni sono corrette ed in linea con il principio dei minimi privilegi ?

  • Viene applicato un corretto processo JML (Join-Move-Leave) anche a tutti i ruoli e funzioni che possono accedere a dati confidenziali?

E cosa più importante, tutti questi punti vengono periodicamente verificati?

Viene periodicamente verificato che la segregazione rispetti il reale livello di confidenzialità delle informazioni, che i gruppi abbiano diritti in linea con il principio dei minimi privilegi, siano allineati ai ruoli/funzioni corretti, in linea con l’attività che deve essere svolta e che le utenze siano correttamente assegnate ai gruppi corrispondenti?

Un corretto processo di ricertificazione periodica degli accessi, oltre a verificare le utenze privilegiate consente di poter tenere sotto controllo l’accesso ai dati confidenziali, il loro utilizzo e permette inoltre di allineare tutte le utenze al livello di minimi privilegi indicato dagli standards e dalle best practices in modo da prevenire una fuoriuscita incontrollata di informazioni riservate.

Anche la presa di coscienza da parte dei data owners del numero e ruolo delle persone che accedono a dati confidenziali e da parte dei system owners e line managers delle persone che hanno diritti amministrativi sul sistema viene positivamente impattata da questo processo.

A differenza di una grande azienda dove tutte queste attività sono suddivise tra vari ruoli (LAM, SAM, IRM, IT Security, ecc.) nelle aziende medio piccole sarà quasi certamente compito del responsabile IT o IT Security occuparsi in prima persona della gestione dei ruoli e della verifica periodica della corrispondenza tra profili, ruoli, gruppi e dei membri che ci fanno parte.

Tralasciando in questa sede la parte di assessment (classificazione e identificazione delle informazioni da segregare, definizione dei ruoli, implementazione del sistema e la definizione delle procedure operative), attività per le quali è consigliato avvalersi di un professionista con esperienza e competenze specifiche, focalizziamo l’attenzione sul lavoro di ricertificazione periodica delle utenze privilegiate.

Una utenza privilegiata altro non è che un utenza con privilegi che trascendono quelli delle normali utenze, ad esempio tutte le utenze con diritti amministrativi (amministratori di sistema, db admin ecc...), quelle che possono modificare dati rilevanti (diritti di RW), utilizzare storage o media esterni o semplicemente che possono accedere a dati confidenziali.

Una ricertificazione orientata anche alla sicurezza delle informazioni deve partire con una verifica, assieme ai titolari dei dati (data owners), del livello di confidenzialità delle informazioni, della loro corretta segregazione, e quali ruoli/funzioni/gruppi ci possono accedere sia in lettura sia in scrittura. In questa fase non bisogna trascurare di verificare che le utenze con diritti di scrittura a media esterni non dovrebbe avere accesso a dati segregati per evidenti ragioni di SOD (Separation of Duties) e two-man rule (four-eyes principle).

Una volta identificati i gruppi che accedono alle cartelle segregate si può procedere alla ricertificazione dei loro membri. Va verificato per ogni utenza se la persona è ancora in forza all’azienda, se questa utenza ha ancora ragione di esistere, di accedere ai sistemi informativi aziendali e i gruppi privilegiati (compresi quelli che hanno diritto di accesso ai dati segregati) di cui fa parte.

Ovvio che questo processo deve essere tracciato e le evidenze conservate per possibili verifiche (audit) successive.

Sarà compito poi dei vari data-owners ricertificare i membri dei gruppi con diritti di accesso alle cartelle segregate a loro assegnate.

In aziende medio piccole i due processi (utenze privilegiate e accesso a cartelle segregate) si possono anche unificare in un processo generale di verifica di gruppi privilegiati, in aziende più grandi dove il numero delle utenze da ricertificare è dell'ordine di parecchie centinaia è consigliabile tenere i due processi separati; in questo caso si terranno due diversi working file, uno per le utenze privilegiate e i line managers di riferimento e uno per i gruppi che accedono a cartelle segregate e i rispettivi data owners.

In mancanza di un software specifico, il processo potrà essere effettuato anche via email.

In questo caso un sistema pratico per mantenere traccia delle attività è di utilizzare un workfile precompilato con i dati estratti dal sistema di autenticazione (ad esempio LDAP o Active Directory) dove annotare i riferimenti delle mail di conferma.

Naturalmente, se si effettua la ricertificazione via mail, le email di richiesta e le relative risposte saranno conservate assieme al working file per garantire la tracciatura e una successiva dell'attività svolta.

Una tabella come questa potrebbe essere un esempio di working file riassuntivo del processo:

Gruppo

Username

Nome e Cognome

Manager

Confermato S/N

Data conferma

Note

 

 

 

 

 

 

 

 

L'utilizzo di un tabella di questo tipo presenta evidenti vantaggi: con dei semplici filtri si possono estrarre varie tabelle, eventualmente suddivise per gruppi, da inviare direttamente ai line manager o ai data owner, tracciare le risposte o le mancate risposte eventualmente da sollecitare e, al completamento del processo, estrarre facilmente la lista delle utenze non confermate da rimuovere o emendare.

Naturalmente sarà poi cura di ogni azienda adattare le procedure e i processi alle proprie esigenze e alla propria struttura aziendale.

 

L'autore:

Massimo Grandesso

Sistemista Unix/Linux, per anni si è occupato in ambito internazionale di analisi di big e small data e dell'ideazione ed implementazione di innovativi strumenti di ricerca basati su ricerche omofoniche e database ontologici.

Attualmente occupa la posizione di IT Security Officer presso la divisione italiana di una delle più importanti banche mondiali.

 

indietro