La sicurezza delle identità (o identity security) è una priorità comune tra le oltre 130 giurisdizioni mondiali che hanno introdotto leggi per la tutela della privacy dei dati. Queste leggi variano a seconda delle aree geografiche, ma hanno tutte lo stesso obiettivo: impedire che le identità vengano compromesse da attacchi informatici.
Lilach Faerman Koren, product marketing manager di CyberArk ci spiega che un attaccante che riesce a ottenere una sola identità all’interno di un’azienda che gestisce dati sensibili ha la strada spianata. Una sola credenziale rubata – la password di un fornitore, il secret di uno sviluppatore o la chiave SSH di un amministratore IT – può essere l’inizio di un’azione pericolosa e difficile da fermare.
Per questo motivo, è fondamentale salvaguardare le identità che hanno accesso ai dati sensibili e all’infrastruttura dove sono conservati. Parliamo così del concetto di identity security.
Come proteggere la privacy dei dati con l’identity security
Koren ci spiega che i dati sono il motore delle aziende nell’era digitale di oggi. Da essi dipendono le decisioni, l’innovazione e la fiducia dei clienti. In poche parole, sono la vera moneta dell’economia digitale. Sono anche facilmente rubabili, vendibili e sfruttabili, il che li rende un bersaglio molto attraente.
Se i consumatori scoprono che i dati della loro carta di credito sono stati violati, possono cambiare la password o bloccare la carta con relativa semplicità. I dati personali, invece, sono molto più complessi da modificare una volta compromessi. Questi sono strettamente legati a chi si è, alla vita che si è costruita e a tutte le entità con cui si interagisce. Dalle persone alle istituzioni sanitarie, passando per aziende e governi.
Controllare l’accesso ai dati, partendo dall’identità
Il valore crescente dei dati richiede misure complete per la loro privacy, controlli rigorosi e una buona igiene per la sicurezza dell’identità. E la sfida è grande.
Regolamenti come il GDPR, il California Consumer Privacy Act (CCPA) e la direttiva Network and Information Systems (NIS2) dell’UE hanno imposto standard elevati per la sicurezza dei dati, ma le attività di protezione sono complicate. Tra utenti IT e dipendenti normali, le identità e i privilegi da gestire sono molti. Inoltre la pressione del carico di lavoro rendono impossibile per i team di sicurezza seguire la certificazione efficace degli accessi.
La privacy dei dati parte dal controllo di chi può accedere alle informazioni sensibili. Nel campo della sicurezza delle identità, questo significa una gestione efficace dei diritti di accesso. Che si tratti di responsabili commerciali che accedono ai dati dei clienti, di professionisti delle risorse umane che gestiscono informazioni sensibili sui dipendenti o di responsabili IT che supervisionano le risorse di sistema, è essenziale applicare il principio del minimo privilegio.
Questo per garantire che solo le persone appropriate abbiano accesso a dati specifici. In questo modo si riduce il rischio di esposizione non autorizzata dei dati. Ciò richiede controlli e funzionalità complete di gestione delle identità e degli accessi (IAM). Ecco due esempi per una identity securiy efficace:
- Autenticazione multi-fattore (MFA) adattiva: può consentire alle aziende di rafforzare la propria postura di sicurezza attraverso controlli aggiuntivi per convalidare le identità a più livelli.
- Gestione automatizzata del ciclo di vita: può aiutare le aziende a definire e applicare facilmente ogni ruolo, responsabilità e privilegi di accesso di ciascun utente.
Il Privileged Access Management (PAM) per l’identity security
Oltre a controllare l’accesso ai dati, è importante proteggere anche l’infrastruttura in cui i dati vengono archiviati e gestiti. Per questo, sono necessari i controlli di gestione degli accessi privilegiati (PAM).
Si pensi agli amministratori che devono accedere a database critici o agli ingegneri responsabili della manutenzione di servizi storage e dati basati su cloud. Un programma PAM completo può garantire che:
- L’accesso sia altamente protetto da livelli di controllo potenti e olistici, che aiutano le aziende a seguire una mentalità Zero Trust e a ridurre in modo misurabile i rischi IT.
- Le sessioni degli utenti privilegiati siano completamente isolate e monitorate per prevenire la diffusione di malware, monitorando il comportamento dell’utente a fini forensi, di audit e conformità, senza sacrificare una user experience nativa.
- Le identità vengano continuamente verificate con meccanismi di autenticazione forti. Queste comprendono la biometria, per aiutare a convalidarle secondo l’approccio Zero Trust.
- Le sessioni delle applicazioni web e dei servizi cloud degli utenti siano protette. Un elemento fondamentale per prevenire le minacce cyber e fornire audit trail. È importante ricordare che la crittografia svolge un ruolo fondamentale nella salvaguardia dei dati, garantendo che, anche in caso di accesso non autorizzato, i dati rimangano illeggibili.
E le identità non umane?
Nel contesto della privacy dei dati, i privilegi non riguardano solo gli utenti umani, soprattutto in un’epoca in cui le identità macchina superano quelle degli individui di 45:1. Anche entità non umane come server, applicazioni e processi automatizzati richiedono identità e privilegi.
È essenziale allineare anche queste identità non umane con il principio del privilegio minimo, al fine di limitare l’accesso solo a ciò che è necessario. Inoltre, l’autenticazione delle macchine deve essere rafforzata per evitare abusi o compromissioni. Ecco alcune best practice che è possibile adottare:
- Integrare la gestione dei secret con strumenti e applicazioni esistenti per semplificarne la gestione.
- Centralizzare la gestione dei secret e ridurre la loro dispersione.
- Automatizzare le funzioni di sicurezza per migliorare l’efficienza operativa.
- Fornire agli sviluppatori opzioni di facile utilizzo.
“Privacy e sicurezza dei dati restano fondamentali – afferma Lilach Faerman Koren – per le aziende e la posta in gioco è più alta che mai. L’aumento delle normative, il valore crescente delle informazioni e l’integrazione di tecnologie data-driven richiedono un approccio proattivo alla sicurezza delle identità. Le imprese devono dare priorità a solidi controlli e igiene della sicurezza dell’identità, implementare lo ZSP e rimanere al passo con l’evoluzione dei requisiti di conformità per salvaguardare il loro patrimonio più prezioso: i dati. Così facendo, potranno ridurre i rischi, proteggere la fiducia dei clienti e progredire in un mondo in cui i dati rappresentano la nuova valuta”
- Supporto regolabile in altezza: il supporto per laptop è regolabile in altezza e si adatta alle tue esigenze.
- Girevole a 360 gradi: la base del supporto è girevole, in modo da poter orientare il laptop in qualsiasi direzione.
- Compatto e pieghevole: il supporto è piccolo e pieghevole, il che lo rende un perfetto compagno di viaggio.
- Costruzione durevole: il supporto è realizzato in metallo e offre una struttura durevole e stabile.
- Compatibilità universale: il supporto è compatibile con laptop, tablet e iPad e offre una varietà di usi.