CA ha annunciato i risultati di una ricerca europea che evidenzia i potenziali rischi derivanti da una inadeguata capacità di controllo sull’operato di coloro che, all’interno delle organizzazioni IT, hanno accesso ai dati aziendali più critici e sensibili per poter svolgere le loro funzioni.
Queste figure sono abitualmente i cosiddetti amministratori di sistema (amministratori di applicazioni, reti, Web, sicurezza, database e sistemi operativi), ai quali l’azienda deve concedere diritti di accesso superiori a quelli attribuiti alla maggior parte dei dipendenti.
L’indagine “Privileged User Management – It’s time to take control”, prodotta per CA dalla società inglese di ricerca Quocirca, rileva una situazione non allineata alle normative di legge e alle best practice sulla tutela della riservatezza dei dati personali, condizione che rappresenta una potenziale minaccia alla privacy dei singoli ed espone le stesse aziende ad attività illecite ed illegali perpetrabili da utenti interni e hacker.
La ricerca, focalizzata su un campione di aziende con una dimensione superiore ai 2 mila dipendenti attive nei settori TLC e Media, PA, Finance e Industria, è stata condotta in 14 Paesi (Belgio, Danimarca, Germania, Finlandia, Francia, Irlanda, Israele, Italia, Olanda, Norvegia, Portogallo, Spagna, Svezia e Regno Unito) e ha coinvolto 270 IT Manager e Responsabili della Sicurezza, di cui 30 appartenenti ad organizzazioni italiane.
Secondo quanto emerso dall’indagine promossa da CA, il 41% delle aziende europee interpellate afferma di avere adottato lo standard ISO27001 secondo il quale l’assegnazione e l’utilizzo degli accessi “privilegiati” devono essere limitati e controllati. Per quanto sorprendente, gli stessi intervistati ammettono che gli amministratori di sistema non si attengono alle procedure ottimali definite dagli standard.
Una delle pratiche più diffuse sembra essere quella della condivisione delle credenziali di accesso, nome utente e password, tra più individui. Ancor più grave è che la ricerca sottilinei come la stessa situazione emerga anche per quelle aziende (36%) che hanno sostenuto una certificazione di conformità allo standard ISO da parte di auditor esterni.
Tim Dunn, Vice President, CA Security Business Emea, ha commentato: “La ricerca fornisce una prova evidente di quanto scarsa sia l’attenzione posta dalle organizzazioni al delicato problema dell’assegnazione, controllo e monitoraggio degli accessi privilegiati”.
In Italia il 56,7% degli intervistati afferma di avere già messo in atto le misure conformi agli allo stardard ISO27001, ma l’indagine evidenzia che la percentuale di adeguati meccanismi di controllo applicati non corrisponde. La gravità della situazione si riscontra anche in questo caso nell’abitudine, rilevata presso il 40 % delle aziende intervistate, a condividere tra più utenti le stesse credenziali.
Nel suo rapporto Quocirca ricorda come, negli ultimi anni, si sia ampiamente dimostrato che l’utilizzo non controllato di accessi privilegiati, così come la diffusa prassi di condividere tra più persone lo stesso account, espone le organizzazioni a pericoli di varia natura, non ultimo la possibilità di innescare attività di hacking per accedere a dati critici aziendali, numeri di carte di credito o violazioni di proprietà intellettuale.
Nonostante la gravità delle minacce che, come illustra Quocirca, possono derivare da un inadeguato livello controllo degli “accessi privilegiati” ai dati, la ricerca mette in risalto una diffusa insensibilità nei confronti del problema da parte di una componente estesa dell’organizzazione IT. Complessivamente, infatti, il danno potenziale derivante da una gestione inadeguata delle utenze con privilegi di accesso è in genere sottovalutato.
Viene considerato un rischio di basso livello o quanto meno sottostimato rispetto ad altre potenziali minacce quali malware, Internet, utenti interni e strumenti Web 2.0. Lo dimostra la scarsa diffusione di strumenti appositamente adottate per mettersi al riparo da attività illecite degli utenti con diritti di accesso privilegiato.
In Italia, nel 30% dei casi analizzati da Quocirca le soluzioni applicate per gestire gli accessi privilegiati sono di tipo manuale, quindi poco affidabili, costose in termini di risorse impiegate e spesso inadatte a documentare la conformità ai requisiti imposti dal Garante.
Soltanto il 23% delle aziende italiane intervistate dichiara di utilizzare sistemi automatizzati per il monitoraggio, il controllo e la tracciabilità dell’operato degli utenti con diritti di accesso privilegiato.
Le più attrezzate sono le società di telecomunicazioni e, a seguire Finance e Pubblica Amministrazione, mentre l’industria appare la meno reattiva e sollecita nel formulare una risposta esaustiva ed efficace.
Circa il 50% afferma di non avere in esercizio sistema per prevenire e fronteggiare i rischi connessi all’esistenza di profili che operano all’interno delle organizzazioni IT con accessi privilegiati.
Molte organizzazioni appaiono infine essere in una sorta di limbo: non si avverte la consapevolezza di un vero problema legato ai possibili abusi da parte dei super utenti. Laddove si ipotizza un generico piano di intervento, si riscontrano forti restrizioni a causa del progressivo contingentamento dei budget IT.
Situazioni che, in un modo o nell’altro, dovranno essere risolte mediante decisioni mirate a mettere in atto le misure richieste dal Garante della Privacy con il provvedimento del 27 novembre 2008 sugli amministratori di sistema al quale le aziende italiane devono adeguarsi entro il 15 dicembre 2009.
“Nonostante la necessità, da parte del personale IT, di disporre di accessi di tipo privilegiato – ha continuato Dunn – è nell’interesse di tutti definire e mettere in atto misure volte a ridurre l’esposizione a rischi, proteggere le applicazioni e i dati così come permettere un corretto adeguamento alle normative previste nei singoli paesi di riferimento”.
Bob Tarzley, Analyst and Director di Quocirca, ha affermato: “La ricerca dimostra come, sebbene sia nell’interesse di tutti – a livello aziendale, di singolo dipartimento e tra coloro che svolgono una specifica attività IT – adottare misure mirate al controllo degli accessi privilegiati, queste attività non si traducano ancora in una priorità di intervento.
L’adozione di pratiche manuali – ha continuato Trazley – è del tutto inefficiente e non permette né una reale misurazione interna, né la possibilità di una valutazione da parte di enti certificatori esterni. Solo un sistema automatizzato per la gestione degli account, l’assegnazione dei diritti di accesso e la verifica sulle attività dei super utenti può condurre le aziende a una condizione di completa rispondenza alle esigenze aziendali e normative”.
I risultati emersi dall’indagine di Quocirca sono in netta contraddizione con le norme stabilite dal Garante della Privacy il quale, tramite un provvedimento adottato nel novembre 2008, ha fissato le regole per l’adozione, da parte di enti, amministrazioni pubbliche e società private, di misure tecniche e organizzative che riguardano nello specifico la figura degli amministratori di sistema.
L’adeguamento alla nuova normativa è diventato oggi obbligatorio e lo scenario descritto dall’indagine manifesta una evidente necessità di allineare la gestione degli accessi privilegiati a una logica di maggiore protezione e tutela dei dati personali.
