Logo ImpresaCity.it

Il controllo degli accessi e la sicurezza nelle imprese in una ricerca presentata da CA

Nel corso dell'edizione 2009 di Rsa Conference Europe è stata presentata un’indagine europea promossa da CA. La ricerca, che riguarda anche il mercato italiano, mette in luce uno scarso utilizzo delle misure e degli strumenti per controllare gli utenti che hanno diritti di accesso privilegiato ai dati critici aziendali. Anche il discorso di apertura del convegno ha fatto leva soprattutto sulla sicurezza e la protezione delle informazioni sensibili, soprattutto correlandole alle nuove tecnologie.

Autore: Redazione ImpresaCity

Si è appena conclusa l’edizione londinese della RSA Conference Europe 2009. L’evento ha visto succedersi, in due giorni,  numerosi speaker di livello internazionale che hanno fatto il punto su diversi temi “caldi” del panorama It e della sicurezza.
Nel dettaglio la conferenza ha trattato di applicazioni e sviluppo, il business della sicurezza, governance, host, reti, servizi di sicurezza, ricerca e minacce, case studies e molto altro.

ca-controllare-gli-utenti-privilegiati-aumenta-la--6.jpg


[tit:Nuovi sistemi di sicurezza per nuove minacce]
Nel discorso di apertura Arthur Coviello, Executive Vice President di Emc e Presidente Rsa, ha posto l’accento sui cambiamenti a cui stiamo assistendo, soprattutto a fronte dell’enorme diffusione di dispositivi mobile connessi alla rete e il cloud-computing. Il mondo consumer e, conseguentemente, il panorama business sono sempre più legati alla rete.
“Tale legame - assieme ai miglioramenti in termini di velocità, usabilità e numero di web applications disponibili - ha causato una massiccia crescita di informazioni che sta profondamente cambiando l’It e le sue infrastrutture”, ha puntualizzato Coviello.

ca-controllare-gli-utenti-privilegiati-aumenta-la--1.jpg

Tale situazione comincia a porre seri problemi di sicurezza, con lo sviluppo di minacce sempre più legate all’ingegneria sociale. “Entro il 2015 saranno circa 15 miliardi i dispositivi interconnessi via web. Ed entro il 2011 il 75% dei dispositivi per il business saranno mobile e i loro possessori li utilizzeranno anche per scopi personali, aumentando il potere dei siti di social networking come Facebook, Myspace e LinkedIn. L’aumento di informazioni sul web che richiedono protezione o privacy è maggiore di quello relativo all’intero volume di dati circolanti su internet. Inoltre le infrastrutture sono sempre più virtualizzate e il controllo sugli accessi a tali infrastrutture sta diventando sempre più superficiale, giorno dopo giorno”, ha continuato Coviello.
Il discorso di apertura, quindi, ha voluto mettere in guardia gli esperti di sicurezza e i professionisti It riguardo alle nuove sfide che il panorama digitale sta ponendo: occorre adeguare e rinnovare i propri sistemi di gestione e controllo delle nuove tecnologie.
Questo, però, non deve essere fatto attraverso il divieto di utilizzo di tali tecnologie o dei dispositivi che esse mettono a disposizione. L’aggiornamento dei sistemi di sicurezza deve garantire la libertà di utilizzo e andare oltre, adottando le stesse innovazioni tecnologiche che stanno sfidando tutto il panorama It odierno.
A Coviello ha fatto eco anche Chris Young, Senior Vice President di Rsa, che ha aggiunto: “I responsabili della sicurezza hanno diverse opzioni. La prima è tentare di fermare o rallentare i trend, come è successo in passato quando i settori It aziendali hanno cercato di vietare l’adozione di BlackBerry, l’uso di iPhone, dell’Instant Messaging e dei drive Usb per evitare la copiature di file. Di solito queste pratiche sono tanto futili quanto di ostacolo alla produttività del singolo e dell’azienda. La seconda è ignorare i rischi adottando le nuove tecnologie, pratica che, considerando i livelli di crescita di virus, malware e falle nei software, equivale ad esporre a rischi altissimi le infrastrutture It. La migliore possibilità per i responsabili It è, in ogni caso, abbracciare i nuovi trend e le nuove opportunità che possono offrire".

ca-controllare-gli-utenti-privilegiati-aumenta-la--3.jpg

Young ha concluso suggerendo che il settore della sicurezza It adotti un costante aggiornamento per contrastare le minacce in real time, integrando al suo interno i singoli prodotti per offrire protezione dall’interno: “La sicurezza deve essere risk-based e dinamica. Il costante aggiornamento e la flessibilità sono le chiavi per una pronta risposta alle minacce più sofisticate”.  

[tit:Per CA la sicurezza It passa per il controllo degli accessi]
Sempre nell'ambito della manifestazione londinese CA ha annunciato i risultati di una  ricerca europea che evidenzia i potenziali rischi derivanti da un’inadeguata capacità di controllo sull’operato di coloro che,  all’interno delle organizzazioni It, hanno accesso ai dati aziendali più critici e sensibili per poter svolgere le loro funzioni. Queste figure sono abitualmente i cosiddetti amministratori di sistema (amministratori di applicazioni, reti, Web, sicurezza, database e sistemi operativi), ai quali l’azienda deve concedere diritti di accesso superiori a quelli attribuiti alla maggior parte dei dipendenti. La realtà italiana, unitamente ad altre, appare ancora non conforme a quanto previsto dalle nuove normative approvate dal Garante della Privacy.
L’indagine “Privileged User Management - It's time to take Control”, prodotta per CA dalla società inglese di ricerca Quocirca, rileva una situazione non allineata alle normative di legge e alle best practice sulla tutela della riservatezza dei dati personali, condizione che rappresenta una potenziale minaccia alla privacy dei singoli ed espone le stesse aziende ad attività illecite ed illegali perpetrabili da utenti interni e hacker.
Tim Dunn, Vice President Security Business Unit Emea per CA, ha introdotto l’argomento con un semplice interrogativo: “Le persone che necessitano di un account privilegiato per portare a termine le proprie attività di It manager hanno necessariamente bisogno anche di un accesso più pronfondo alle informazioni presenti sui server o i singoli Pc? La domanda è fondamentale e la risposta è probabilmente no”.

ca-controllare-gli-utenti-privilegiati-aumenta-la--4.jpg

La ricerca, focalizzata su un campione di aziende con una dimensione superiore ai 2 mila dipendenti attive nei settori Tlc e Media, PA, Finance e Industria, è stata condotta in 14 Paesi (Belgio, Danimarca, Germania, Finlandia, Francia, Irlanda, Israele, Italia, Olanda, Norvegia, Portogallo, Spagna, Svezia e Regno Unito) e ha coinvolto 270 It Manager e Responsabili della Sicurezza, di cui 30 appartenenti ad organizzazioni italiane.
Secondo quanto emerso dall’indagine promossa da CA, il 41% delle aziende europee interpellate afferma di avere adottato lo standard ISO27001 secondo il quale l’assegnazione e l’utilizzo degli accessi privilegiati devono essere limitati e controllati. Per quanto sorprendente, gli stessi intervistati ammettono che gli amministratori di sistema non si attengono alle procedure ottimali definite dagli standard.
Una delle pratiche più diffuse sembra essere quella della condivisione delle credenziali di accesso, nome utente e password, tra più individui. Ancor più grave è che la ricerca sottilinei come la stessa situazione emerga anche per quelle aziende (36%) che hanno sostenuto una certificazione di conformità allo standard ISO da parte di auditor esterni.
Dunn commenta con queste parole: “La ricerca fornisce una prova evidente di quanto scarsa sia l'attenzione posta dalle organizzazioni al delicato problema dell'assegnazione, controllo e monitoraggio degli accessi privilegiati. La gestione e il monitoraggio di tali accessi è molto difficile”.
Spesso infatti gli account privilegiati sono condivisi e un amministratore di sistema può facilmente prendere il controllo ambienti di lavoro individuali, ad esempio un singolo computer della rete aziendale, e condurre operazioni da tale macchina.
[tit:La situazione italiana]

In Italia il 56,7% degli intervistati afferma di avere già messo in atto le misure conformi agli allo stardard ISO27001, ma l’indagine evidenzia che la percentuale di adeguati meccanismi di controllo applicati non corrisponde. La gravità della situazione si riscontra anche in questo caso nell’abitudine, rilevata presso il 40 % delle aziende intervistate, a condividere tra più utenti le stesse credenziali.
Nel suo rapporto Quocirca ricorda come, negli ultimi anni, si sia ampiamente dimostrato che l'utilizzo non controllato di accessi privilegiati, così come la diffusa prassi di condividere tra più persone lo stesso account, espone le organizzazioni a pericoli di varia natura, non ultimo la possibilità di innescare attività di hacking per accedere a dati critici aziendali, numeri di carte di credito o violazioni di proprietà intellettuale.
Nonostante la gravità delle minacce che, come illustra Quocirca, possono derivare da un inadeguato livello controllo degli accessi privilegiati ai dati, la ricerca mette in risalto una diffusa insensibilità nei confronti del problema da parte di una componente estesa dell'organizzazione It. Complessivamente, infatti, il danno potenziale derivante da una gestione inadeguata delle utenze con privilegi di accesso è in genere sottovalutato. Viene considerato un rischio di basso livello o quanto meno sottostimato rispetto ad altre potenziali minacce quali malware, Internet, utenti interni e strumenti Web 2.0.
Lo dimostra la scarsa diffusione di strumenti appositamente adottate per mettersi al riparo da attività illecite degli utenti con diritti di accesso privilegiato. In Italia, nel 30% dei casi analizzati da Quocirca le soluzioni applicate per gestire gli accessi privilegiati sono di tipo manuale, quindi poco affidabili, costose in termini di risorse impiegate e spesso inadatte a documentare la conformità ai requisiti imposti dal Garante. Soltanto il 23% delle aziende italiane intervistate dichiara di  utilizzare sistemi automatizzati per il monitoraggio, il controllo e la tracciabilità dell’operato degli utenti con diritti di accesso privilegiato.
Le più attrezzate sono le società di telecomunicazioni e, a seguire, Finance e Pubblica Amministrazione, mentre l'industria appare la meno reattiva e sollecita nel formulare una risposta esaustiva ed efficace. Circa il 50% afferma di non avere un sistema per prevenire e fronteggiare i rischi connessi all'esistenza di profili che operano all'interno delle organizzazioni It con accessi privilegiati.
Molte organizzazioni appaiono infine essere in una sorta di limbo: non si avverte la consapevolezza di un vero problema legato ai possibili abusi da parte dei super utenti. Laddove si ipotizza un generico piano di intervento, si riscontrano forti restrizioni a causa del progressivo calo dei budget It. Tali situazioni, in un modo o nell'altro, dovranno essere risolte mediante decisioni mirate a mettere in atto le misure richieste dal Garante della Privacy con il provvedimento del 27 novembre 2008 sugli amministratori di sistema al quale le aziende italiane devono adeguarsi entro il 15 dicembre 2009.
“Nonostante la necessità, da parte del personale It, di disporre di accessi di tipo privilegiato” continua Dunn – “è nell'interesse di tutti definire e mettere in atto misure volte a ridurre l'esposizione a rischi, proteggere le applicazioni e i dati così come permettere un corretto adeguamento alle normative previste nei singoli paesi di riferimento”.

ca-controllare-gli-utenti-privilegiati-aumenta-la--5.jpgBob Tarzey, Analyst and Director di Quocirca, afferma: “La ricerca dimostra come, sebbene sia nell'interesse di tutti  [a livello aziendale, di singolo dipartimento e tra coloro che svolgono una specifica attività It] adottare misure mirate al controllo degli accessi privilegiati, queste attività non si traducano ancora in una priorità di intervento. L'adozione di pratiche manuali” continua Tarzey “è del tutto inefficiente e non permette né una reale misurazione interna, né la possibilità di una valutazione da parte di enti certificatori esterni. Solo un sistema automatizzato per la gestione degli account, l’assegnazione dei diritti di accesso e la verifica sulle attività dei super utenti può condurre le aziende a una condizione di completa rispondenza alle esigenze aziendali e normative".
I risultati emersi dall’indagine di Quocirca sono in netta contraddizione con le norme stabilite dal Garante della Privacy il quale, tramite un provvedimento adottato nel novembre 2008, ha fissato le regole per l'adozione, da parte di enti, amministrazioni pubbliche e società private, di misure tecniche e organizzative che riguardano nello specifico la figura degli amministratori di sistema. L'adeguamento alla nuova normativa è diventato oggi obbligatorio e lo scenario descritto dall'indagine manifesta una evidente necessità di allineare la gestione degli accessi privilegiati a una logica di maggiore protezione e tutela dei dati personali.

[tit:Le proposte di CA]
Successivamente Dave Hansen, Corporate Vice President e General Manager CA Security Management Business Unit ha presentato nuove versioni di prodotti e integrazioni che aiutano ad affrontare le sfide di sicurezza e conformità , tra cui CA Access Control 12.5, che offre la tecnologia per supportare la gestione degli utenti con accesso privilegiato e delle password. È stata migliorata anche l’integrazione di CA Identity Manager e CA Role & Compliance Manager, per offrire una migliore gestione delle indentità e del loro ciclo di vita.

ca-controllare-gli-utenti-privilegiati-aumenta-la--2.jpg

In più, le tecnologie di CA vogliono anche offrire una  soluzione al problema dellla perdita dei dati, i software di Data Loss Prevention. CA DLP 12.0 identifica i dati sensibili sui server, ne amministra la protezione e l’accesso di cui gli utenti godono, le cosiddette policy.
“C’è ancora molto lavoro da fare, e noi di CA abbiamo una roadmap impegnativa riguardo a questo aspetto. Il fattore chiave è identificare i ruoli degli utenti, farlo velocemente ed automaticamente per rendere più facile identificare chi ha fatto cosa e quando”, ha concluso il manager.
Pubblicato il: 30/10/2009

Tag:

Cosa pensi di questa notizia?

Speciali

speciali

Red Hat Open Source Day, il futuro ha il sapore dell’open source

speciali

L’affermazione della stampa 3D tra prototipazione e produzione