Italia ed Europa non allineate alla nuova normativa del Garante della Privacy
Redazione ImpresaCity Una ricerca europea commissionata da CA, che include anche il nostro Paese, evidenzia nelle imprese lo scarso utilizzo delle misure e degli strumenti per controllare gli utenti che hanno diritti di accesso privilegiato ai dati critici aziendali.
L'Europa, e con essa l'Italia, presenta una situazione - per la maggior parte dei casi - non allineata alle normative di legge e alle best practice sulla tutela della riservatezza dei dati personali, condizione che rappresenta una potenziale minaccia alla privacy dei singoli ed espone le stesse aziende ad attività illecite e illegali perpetrabili da utenti interni e hacker. Le organizzazioni europee pongono ancora oggi una scarsa attenzioni al delicato problema dell'assegnazione, controllo e monitoraggio degli accessi privilegiati.
Questo è ciò che emerge dalla ricerca di CA, intitolata "Privileged User Management – It's time to take control", condotta dalla società di ricera inglese Quocirca, che evidenzia i potenziali rischi derivanti da un'inadeguata capacità di controllo sull'operato di coloro che, all'interno delle organizzazioni IT, hanno accesso ai dati aziendali più critici e sensibili per poter svolgere le loro funzioni.Si tratta degli amministratori di sistema, o di chi ha la responsabilità della sicurezza in tema IT in azienda, ai quali l'azienda deve concedere diritti di accesso superiori a quelli attribuiti alla maggior parte dei dipendenti.
La ricerca è stata condotta su un campione di aziende con una dimensione superiore ai 2 mila dipendenti attive nei settori TLC e Media, PA, Finance e Industria, è stata condotta in 14 Paesi (Italia, Belgio, Danimarca, Germania, Finlandia, Francia, Irlanda, Israele, Olanda, Norvegia, Portogallo, Spagna, Svezia e Regno Unito) e ha coinvolto 270 IT Manager e Responsabili della Sicurezza, di cui 30 appartenenti ad organizzazioni italiane. [tit:Le evidenze dell'indagine]L''utilizzo non controllato di accessi privilegiati, così come la diffusa prassi di condividere tra più persone lo stesso account, espone le organizzazioni a pericoli di varia natura, non ultimo la possibilità di innescare attività di hacking per accedere a dati critici aziendali, numeri di carte di credito o violazioni di proprietà intellettuale.
Nonostante la gravità delle minacce che possono derivare da un inadeguato livello controllo degli "accessi privilegiati" ai dati, la ricerca mette in risalto una diffusa insensibilità nei confronti del problema da parte di una componente estesa dell'organizzazione IT. Il danno potenziale derivante da una gestione inadeguata delle utenze con privilegi di accesso è in genere sottovalutato. Viene considerato un rischio di basso livello o quanto meno sottostimato rispetto ad altre potenziali minacce quali malware, Internet, utenti interni e strumenti Web 2.0. Lo dimostra la scarsa diffusione di strumenti appositamente adottate per mettersi al riparo da attività illecite degli utenti con diritti di accesso privilegiato.
Dai dati della ricerca emerge che solamente il 41% delle aziende europee interpellate ha adottato lo standard ISO27001 secondo il quale l'assegnazione e l'utilizzo degli accessi "privilegiati" devono essere limitati e controllati. Gli stessi intervistati però ammettono che gli amministratori di sistema non si attengono alle procedure ottimali definite dagli standard; spesso una pratica utilizzata è quella di condividere le credenziali di accesso, nome utente e password, tra più individui. Fatto che sussiste ache per quelle aziende (36%) che hanno sostenuto una certificazione di conformità allo standard Iso da parte di auditor esterni.
[tit:La situazione nel Belpaese]
La realtà italiana, al pari di altri paesi, appare ancora non conforme a quanto previsto dalle nuove normative approvate dal Garante della Privacy. Guardando all'Italia risulta che il 56,7% degli intervistati ha già messo in atto le misure conformi agli allo stardard ISO27001, ma l'indagine sottolinea che la percentuale di adeguati meccanismi di controllo applicati non corrisponde. Il 40% delle aziende ha l'abitudine di condividere tra più utenti le stesse credenziali. Se a livello europeo nel 30% dei casi analizzati le soluzioni applicate per gestire gli accessi privilegiati sono di tipo manuale, quindi poco affidabili, costose in termini di risorse impiegate e spesso inadatte a documentare la conformità ai requisiti imposti dal Garante, soltanto il 23% delle aziende italiane dichiara di utilizzare sistemi automatizzati per il monitoraggio, il controllo e la tracciabilità dell'operato degli utenti con diritti di accesso privilegiato. In termini di settori merceologici le più attrezzate sono le società di telecomunicazioni e, a seguire Finance e Pubblica Amministrazione, mentre l'industria appare la meno reattiva e sollecita nel formulare una risposta esaustiva ed efficace.
Circa il 50% del campione europeo afferma di non avere in esercizio sistema per prevenire e fronteggiare i rischi connessi all'esistenza di profili che operano all'interno delle organizzazioni IT con accessi privilegiati.
[tit:Un must per tutti]
Dalla ricerca emerge un quadro generale in cui molte aziende sembrano essere in una sorta di limbo: non si avverte la consapevolezza di un vero problema legato ai possibili abusi da parte dei super utenti. E dove si ipotizza un generico piano di intervento, si riscontrano forti restrizioni a causa del progressiva razionalizzazione dei budget IT. Situazioni che si dovranno comunque risolvere mediante decisioni mirate ad attuare le misure richieste dal Garante della Privacy con il provvedimento del 27 novembre 2008 sugli amministratori di sistema al quale le aziende italiane devono adeguarsi velocemente, visto che la normativa è entrata in vigore già dal 15 dicembre 2009.
Nonostante la necessità, da parte del personale IT, di disporre di accessi di tipo privilegiato, è nell'interesse di tutti definire e mettere in atto misure volte a ridurre l'esposizione a rischi, proteggere le applicazioni e i dati e consentire un corretto adeguamento alle normative previste nei singoli paesi di riferimento.Sebbene sia nell'interesse di tutti adottare misure mirate al controllo degli accessi privilegiati, queste attività non si traducano ancora in una priorità di intervento.
L'adozione di pratiche manuali è inefficiente e non permette né una reale misurazione interna, né la possibilità di una valutazione da parte di enti certificatori esterni. Solo un sistema automatizzato per la gestione degli account, l'assegnazione dei diritti di accesso e la verifica sulle attività dei super utenti può condurre le aziende a una condizione di completa rispondenza alle esigenze aziendali e normative.
Questo è ciò che emerge dalla ricerca di CA, intitolata "Privileged User Management – It's time to take control", condotta dalla società di ricera inglese Quocirca, che evidenzia i potenziali rischi derivanti da un'inadeguata capacità di controllo sull'operato di coloro che, all'interno delle organizzazioni IT, hanno accesso ai dati aziendali più critici e sensibili per poter svolgere le loro funzioni.Si tratta degli amministratori di sistema, o di chi ha la responsabilità della sicurezza in tema IT in azienda, ai quali l'azienda deve concedere diritti di accesso superiori a quelli attribuiti alla maggior parte dei dipendenti.
La ricerca è stata condotta su un campione di aziende con una dimensione superiore ai 2 mila dipendenti attive nei settori TLC e Media, PA, Finance e Industria, è stata condotta in 14 Paesi (Italia, Belgio, Danimarca, Germania, Finlandia, Francia, Irlanda, Israele, Olanda, Norvegia, Portogallo, Spagna, Svezia e Regno Unito) e ha coinvolto 270 IT Manager e Responsabili della Sicurezza, di cui 30 appartenenti ad organizzazioni italiane. [tit:Le evidenze dell'indagine]L''utilizzo non controllato di accessi privilegiati, così come la diffusa prassi di condividere tra più persone lo stesso account, espone le organizzazioni a pericoli di varia natura, non ultimo la possibilità di innescare attività di hacking per accedere a dati critici aziendali, numeri di carte di credito o violazioni di proprietà intellettuale.
Nonostante la gravità delle minacce che possono derivare da un inadeguato livello controllo degli "accessi privilegiati" ai dati, la ricerca mette in risalto una diffusa insensibilità nei confronti del problema da parte di una componente estesa dell'organizzazione IT. Il danno potenziale derivante da una gestione inadeguata delle utenze con privilegi di accesso è in genere sottovalutato. Viene considerato un rischio di basso livello o quanto meno sottostimato rispetto ad altre potenziali minacce quali malware, Internet, utenti interni e strumenti Web 2.0. Lo dimostra la scarsa diffusione di strumenti appositamente adottate per mettersi al riparo da attività illecite degli utenti con diritti di accesso privilegiato.
Dai dati della ricerca emerge che solamente il 41% delle aziende europee interpellate ha adottato lo standard ISO27001 secondo il quale l'assegnazione e l'utilizzo degli accessi "privilegiati" devono essere limitati e controllati. Gli stessi intervistati però ammettono che gli amministratori di sistema non si attengono alle procedure ottimali definite dagli standard; spesso una pratica utilizzata è quella di condividere le credenziali di accesso, nome utente e password, tra più individui. Fatto che sussiste ache per quelle aziende (36%) che hanno sostenuto una certificazione di conformità allo standard Iso da parte di auditor esterni.
[tit:La situazione nel Belpaese]
La realtà italiana, al pari di altri paesi, appare ancora non conforme a quanto previsto dalle nuove normative approvate dal Garante della Privacy. Guardando all'Italia risulta che il 56,7% degli intervistati ha già messo in atto le misure conformi agli allo stardard ISO27001, ma l'indagine sottolinea che la percentuale di adeguati meccanismi di controllo applicati non corrisponde. Il 40% delle aziende ha l'abitudine di condividere tra più utenti le stesse credenziali. Se a livello europeo nel 30% dei casi analizzati le soluzioni applicate per gestire gli accessi privilegiati sono di tipo manuale, quindi poco affidabili, costose in termini di risorse impiegate e spesso inadatte a documentare la conformità ai requisiti imposti dal Garante, soltanto il 23% delle aziende italiane dichiara di utilizzare sistemi automatizzati per il monitoraggio, il controllo e la tracciabilità dell'operato degli utenti con diritti di accesso privilegiato. In termini di settori merceologici le più attrezzate sono le società di telecomunicazioni e, a seguire Finance e Pubblica Amministrazione, mentre l'industria appare la meno reattiva e sollecita nel formulare una risposta esaustiva ed efficace.
Circa il 50% del campione europeo afferma di non avere in esercizio sistema per prevenire e fronteggiare i rischi connessi all'esistenza di profili che operano all'interno delle organizzazioni IT con accessi privilegiati.
[tit:Un must per tutti]
Dalla ricerca emerge un quadro generale in cui molte aziende sembrano essere in una sorta di limbo: non si avverte la consapevolezza di un vero problema legato ai possibili abusi da parte dei super utenti. E dove si ipotizza un generico piano di intervento, si riscontrano forti restrizioni a causa del progressiva razionalizzazione dei budget IT. Situazioni che si dovranno comunque risolvere mediante decisioni mirate ad attuare le misure richieste dal Garante della Privacy con il provvedimento del 27 novembre 2008 sugli amministratori di sistema al quale le aziende italiane devono adeguarsi velocemente, visto che la normativa è entrata in vigore già dal 15 dicembre 2009.
Nonostante la necessità, da parte del personale IT, di disporre di accessi di tipo privilegiato, è nell'interesse di tutti definire e mettere in atto misure volte a ridurre l'esposizione a rischi, proteggere le applicazioni e i dati e consentire un corretto adeguamento alle normative previste nei singoli paesi di riferimento.Sebbene sia nell'interesse di tutti adottare misure mirate al controllo degli accessi privilegiati, queste attività non si traducano ancora in una priorità di intervento.
L'adozione di pratiche manuali è inefficiente e non permette né una reale misurazione interna, né la possibilità di una valutazione da parte di enti certificatori esterni. Solo un sistema automatizzato per la gestione degli account, l'assegnazione dei diritti di accesso e la verifica sulle attività dei super utenti può condurre le aziende a una condizione di completa rispondenza alle esigenze aziendali e normative.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Abbonati alla rivista ImpresaCity Magazine e ricevi la tua copia.
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Dic 16
Go For Gold – Successo. Profitti. Crescita.
Magazine Tutti i numeri
G11 Media Networks
ImpresaCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
