A cura di Lilach Faerman Koren, product marketing manager di CyberArk
Oltre 130 giurisdizioni mondiali hanno emanato leggi a difesa della privacy dei dati. Sebbene ognuna di esse contenga regole e requisiti diversi a seconda delle aree geografiche, condividono una priorità comune: la sicurezza delle identità.
Se un attaccante compromette una singola identità all’interno di un’azienda in cui vengono raccolti, archiviati e gestiti dati sensibili, il suo percorso sarà estremamente facilitato. Una singola credenziale rubata – la chiave SSH di un amministratore IT, il secret di uno sviluppatore o la password di un fornitore – è il punto di partenza di un’azione pericolosa difficile da arrestare. Per questo è essenziale proteggere le identità che possono accedere ai dati sensibili e l’infrastruttura in cui essi risiedono.
Cosa c’è in gioco? Il valore dei dati e i rischi intrinseci
Nell’era digitale di oggi, i dati sono la linfa vitale delle aziende e alimentano processi decisionali, innovazione e fiducia dei clienti. In breve, sono la reale valuta dell’economia digitale. Possono essere rubati, venduti e sfruttati con relativa facilità, cosa che li rende un obiettivo particolarmente interessante, con i proprietari che hanno pochissime opzioni per fermare queste attività fraudolente. Se i consumatori scoprono che i dati della loro carta di credito sono stati violati, possono bloccare la carta o cambiare password con relativa facilità. I dati personali invece, sono molto più difficili da modificare una volta compromessi. Sono intimamente legati a chi si è, alla vita costruita e a tutte le entità con cui ci si relaziona: persone, istituzioni sanitarie, aziende e governi.
Controllare l’accesso ai dati, iniziando dall’identità
L’accresciuto valore dei dati sottolinea la necessità di misure complete per la loro privacy, di forti controlli e di una accurata igiene per la sicurezza dell’identità – e la pressione è forte. Regolamenti come il GDPR, il California Consumer Privacy Act (CCPA) e la direttiva Network and Information Systems (NIS2) dell’UE hanno stabilito standard rigorosi per la sicurezza dei dati, ma le attività di protezione sono complesse. Tra utenti IT privilegiati e dipendenti comuni, le identità e i privilegi da gestire sono troppi. La pressione economica e il crescente peso delle attività sul personale rendono impossibile per i team di sicurezza tenere il passo con la certificazione degli accessi.
La privacy dei dati inizia con il controllo di chi può accedere alle informazioni sensibili. Nel campo della sicurezza delle identità, ciò implica una gestione efficace dei diritti di accesso. Che si tratti di responsabili commerciali che accedono ai dati dei clienti, di professionisti delle risorse umane che gestiscono informazioni sensibili sui dipendenti o di responsabili IT che supervisionano le risorse di sistema, è essenziale mantenere il principio del minimo privilegio per garantire che solo le persone giuste abbiano accesso a dati specifici, riducendo il rischio di esposizione non autorizzata dei dati. Ciò richiede controlli e funzionalità complete di gestione delle identità e degli accessi (IAM).
Qui di seguito due esempi:
- Una forma di autenticazione multi-fattore (MFA) adattiva può consentire alle aziende di rafforzare la propria postura di sicurezza attraverso controlli aggiuntivi per convalidare le identità a più livelli.
- La gestione automatizzata del ciclo di vita può aiutare le aziende a definire e applicare facilmente ogni ruolo, responsabilità e privilegi di accesso di ciascun utente.
Posizione dei dati e accesso privilegiato: dove entra in gioco il Privileged Access Management (PAM)
Se controllare l’accesso ai dati è fondamentale, altrettanto essenziale è proteggere l’infrastruttura in cui vengono archiviati e gestiti. È qui che entrano in gioco i controlli di gestione degli accessi privilegiati (PAM).
Si pensi agli amministratori che devono accedere a database critici o agli ingegneri responsabili della manutenzione di servizi storage e dati basati su cloud. Un programma PAM completo, che affonda le sue radici negli elementi fondamenti della sicurezza, ma che si è evoluto per proteggere una gamma più ampia di identità, può garantire che:
- L’accesso sia altamente protetto da livelli di controllo potenti e olistici, che aiutano le aziende ad adottare una mentalità Zero Trust e a ridurre in modo misurabile i rischi IT.
- Le sessioni degli utenti privilegiati siano completamente isolate e monitorate per prevenire la diffusione di malware, monitorando il comportamento dell’utente a fini forensi, di audit e conformità, senza sacrificare una user experience nativa.
- Le identità vengano continuamente verificate con meccanismi di autenticazione forti, compresa la biometria, per aiutare a convalidarle secondo l’approccio Zero Trust.
- Le sessioni delle applicazioni web e dei servizi cloud degli utenti siano protette, elemento fondamentale per prevenire le minacce cyber e fornire audit trail.
È importante ricordare che la crittografia svolge un ruolo fondamentale nella salvaguardia dei dati, garantendo che, anche in caso di accesso non autorizzato, i dati rimangano illeggibili.
Privilegio e macchine: proteggere le identità non umane
Nel contesto della privacy dei dati, i privilegi non si limitano ai soli utenti umani, soprattutto in un’epoca in cui le identità macchina superano quelle degli individui di 45:1. Anche entità non umane come server, applicazioni e processi automatizzati richiedono identità e privilegi.
È essenziale allineare anche queste identità non umane con il principio del privilegio minimo, al fine di limitare l’accesso solo a ciò che è necessario. Inoltre, l’autenticazione delle macchine deve essere rafforzata per evitare abusi o compromissioni. La gestione dei secret e la rotazione delle credenziali sono fondamentali per le identità non umane, come per quelle umane, e le aziende cercano di proteggerle senza compromettere agilità e workflow di sviluppo.
Queste alcune best practice che è possibile adottare:
- Integrare la gestione dei secret con strumenti e applicazioni esistenti per semplificarne la gestione.
- Centralizzare la gestione dei secret e ridurre la loro dispersione.
- Automatizzare le funzioni di sicurezza per migliorare l’efficienza operativa.
- Fornire agli sviluppatori opzioni di facile utilizzo.
Reportistica e audit: garantire conformità
La conformità alle normative sulla privacy dei dati richiede processi di reporting e audit meticolosi. Le aziende devono fornire informazioni specifiche sulle loro pratiche di sicurezza dei dati e dimostrarne l’adesione. In questo contesto, la sovranità dei dati diventa sempre più importante, in quanto autorità di regolamentazione e aziende lavorano per massimizzare proprietà e controllo dei dati.
Tuttavia, le pressioni economiche, come la carenza di personale e risorse, rendono difficile per i team di sicurezza tenere il passo con le richieste di audit e di reporting.
Questo sottolinea come l’automazione possa essere utile e perché sia essenziale. Il lavoro associato alla conformità è destinato ad aumentare e se i team non crescono in parallelo, vi sarà la necessità di efficienze che aiutino a soddisfare i requisiti di audit. L’automazione dei processi di certificazione degli accessi e la verifica costante dei diritti esistenti possono contribuire a eliminare dall’equazione le attività manuali che richiedono molto tempo. L’approccio Zero Trust è una pratica standard per la conformità in tutti i settori: prevede di partire dal presupposto che tutti gli utenti e i dispositivi sono implicitamente privi di fiducia e devono pertanto essere autenticati, autorizzati e continuamente convalidati, indipendentemente dalla posizione o dalla rete.
Accesso ad alto rischio nel cloud e zero privilegi permanenti
Gli ambienti cloud sono particolarmente complessi: l’enorme numero di server e account potrebbe portare a trascurare le configurazioni di sicurezza, rendendo cruciali solidi controlli di protezione delle identità nel cloud. A sua volta, una configurazione errata dell’accesso cloud rappresenta un’insidia comune per la sicurezza aziendale. Ma c’è una buona notizia: adottare gli zero privilegi permanenti (zero standing privilege, ZSP) può ridurre significativamente il rischio di compromissione dell’identità e di furto e uso improprio delle credenziali. Limitando l’accesso solo a ciò che è necessario e riducendo al minimo i privilegi permanenti, questo approccio migliora la sicurezza e la privacy dei dati.
Sebbene il concetto di zero standing privilege sia spesso associato all’accesso privilegiato, è sempre più diffusa la conversazione sull’estensione della sua applicazione a chi consuma dati in tutti i dipartimenti, come risorse umane, vendite e finance. Garantire che tutti gli utenti operino in base al principio del privilegio minimo è un passo iniziale e proattivo verso il rafforzamento di protezione e conformità dei dati.
Proteggere i dati nel panorama attuale delle minacce
Privacy e sicurezza dei dati restano fondamentali per le aziende e la posta in gioco è più alta che mai. L’aumento delle normative, il valore crescente delle informazioni e l’integrazione di tecnologie data-driven richiedono un approccio proattivo alla sicurezza delle identità. Le imprese devono dare priorità a solidi controlli e igiene della sicurezza dell’identità, implementare lo ZSP e rimanere al passo con l’evoluzione dei requisiti di conformità per salvaguardare il loro patrimonio più prezioso: i dati. Così facendo, potranno ridurre i rischi, proteggere la fiducia dei clienti e progredire in un mondo in cui i dati rappresentano la nuova valuta.
