Nel contesto delle moderne strategie di cybersecurity, la gestione degli accessi (Access Management) rappresenta una delle componenti più cruciali per garantire la protezione dei dati, dei sistemi aziendali e, soprattutto, dei dati sensibili e personali. L’accesso controllato e sicuro alle risorse informatiche è essenziale non solo per evitare che utenti non autorizzati possano accedere a informazioni confidenziali, ma anche per assicurare che le organizzazioni siano conformi alle normative sulla protezione dei dati e alla legislazione sulla sicurezza informatica.
In questo articolo, esamineremo le implicazioni legali e normative della gestione degli accessi, le migliori pratiche aziendali, e i rischi associati a una gestione inefficace, nonché come le normative internazionali, come il Regolamento Generale sulla Protezione dei Dati (GDPR) e l’ISO/IEC 27001, influenzano la progettazione e l’implementazione delle politiche di accesso.
Principio di Accesso Minimo: Conformità al GDPR e alle Best Practice Internazionali
Il principio di accesso minimo (least privilege) si fonda sull’idea che ogni utente all’interno dell’organizzazione debba essere autorizzato a visualizzare e utilizzare solo le risorse necessarie per svolgere la propria funzione. Questo principio è cruciale non solo per ridurre i rischi legati agli accessi non autorizzati, ma anche per garantire la conformità a leggi e regolamenti, come il Regolamento (UE) 2016/679 (GDPR), che impone il principio di minimizzazione dei dati.
Secondo l’articolo 5 del GDPR, i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (Fonte: GDPR, art. 5, da ricontrollare).
Implementare questo principio significa non solo ridurre la superficie d’attacco, ma anche evitare che i dati vengano accessibili a chi non ne ha bisogno. Ad esempio, un dipendente delle risorse umane non dovrebbe avere accesso a database finanziari, così come un commerciale non dovrebbe poter visualizzare dati sensibili relativi alla sicurezza informatica.
Le migliori pratiche suggeriscono anche una revisione periodica degli accessi concessi, per garantire che i diritti di accesso siano sempre adeguati al ruolo ricoperto dall’utente, soprattutto in caso di cambiamenti nel team, modifiche nei ruoli o cessazioni di rapporto di lavoro.
Autenticazione e Autorizzazione: Requisiti di Sicurezza e Tracciabilità
L’autenticazione e l’autorizzazione sono processi complementari che definiscono e garantiscono l’accesso agli utenti legittimi.
Autenticazione si riferisce alla verifica dell’identità di un utente, mentre autorizzazione riguarda la determinazione dei diritti d’accesso di un utente dopo che la sua identità è stata confermata.
Autenticazione
La gestione sicura dell’autenticazione è essenziale per prevenire accessi non autorizzati. L’adozione di meccanismi robusti, come la multifactor authentication (MFA), è ormai considerata una best practice e viene enfatizzata anche dalle normative internazionali come l’ISO/IEC 27001:2013, che, nell’Annex A.9.4.2, stabilisce che le autenticazioni forti devono essere applicate, soprattutto per l’accesso ai sistemi sensibili e riservati.
Inoltre, è essenziale registrare ogni tentativo di connessione, sia esso positivo o negativo, per garantire la tracciabilità e rispondere in modo proattivo a potenziali tentativi di violazione. Come sancito dall’art. 32 del GDPR, tutte le attività relative ai sistemi aziendali devono essere monitorate per garantire la sicurezza delle informazioni.
Autorizzazione
L’autorizzazione, che definisce i privilegi e i livelli di accesso, deve essere concessa basata su ruoli (role-based access control, RBAC), in modo che i diritti siano assegnati in funzione delle esigenze operative di ciascun utente. Inoltre, è fondamentale che l’autorizzazione venga formalizzata attraverso richieste di accesso documentate (ad esempio, moduli di richiesta di creazione e modifica degli account) per garantire la conformità e la responsabilità all’interno dell’organizzazione.
L’art. 6 del Codice dell’Amministrazione Digitale (CAD) e le Linee Guida AgID sulla gestione degli accessi stabiliscono l’importanza di gestire i permessi degli utenti in modo formale e tracciato, soprattutto nel contesto della pubblica amministrazione.
Gestione degli Account: Tipologie, Responsabilità e Controlli
Un aspetto cruciale nella gestione degli accessi è la distinzione tra le tipologie di account, in quanto ciascuna presenta livelli di rischio e requisiti di sicurezza differenti.
Account Utente Individuale
Gli account degli utenti devono essere unici, personali e non trasferibili. La personalizzazione degli account consente di tracciare ogni azione svolta dall’utente, non solo per motivi di sicurezza, ma anche per motivi legali. Infatti, ai sensi dell’art. 5, par. 2 del GDPR, è fondamentale che l’organizzazione possa dimostrare l’esistenza di misure adeguate per garantire l’integrità e la sicurezza dei dati personali.
Account Privilegiati
L’accesso ai sistemi critici e amministrativi deve essere limitato e monitorato. Gli account privilegiati, come quelli degli amministratori di sistema, dovrebbero essere utilizzati solo quando strettamente necessario. L’ISO/IEC 27001:2013 raccomanda che gli amministratori usino account non privilegiati per attività quotidiane e solo in caso di necessità accedano con privilegi elevati. Questo è un principio fondamentale per evitare abusi o errori che potrebbero compromettere la sicurezza dei dati.
Account Condivisi
La gestione degli account condivisi deve essere evitata laddove possibile. Se necessario, deve essere implementato un rigoroso controllo dell’uso di tali account, includendo l’adozione di politiche di gestione delle password e la tracciabilità di ogni accesso.
Account di Terze Parti (Fornitori ed Esterni)
Nel caso di collaborazioni con enti esterni o consulenti, gli account devono essere facilmente identificabili come appartenenti a fornitori esterni. Secondo le linee guida dell’ISO/IEC 27001, questi account devono essere revocati al termine del contratto e, se non revocabili manualmente, devono essere configurati per scadere automaticamente.
Accesso Remoto: Misure di Sicurezza Rafforzate
Con l’introduzione del lavoro da remoto e la crescente interconnessione tra sistemi aziendali e dispositivi esterni, la gestione dell’accesso remoto diventa fondamentale. L’accesso a sistemi aziendali da reti non affidabili deve essere restrittivo e protetto da strumenti come VPN aziendali e autenticazione multifattoriale (MFA).
Il Regolamento (UE) 2019/881 (Cybersecurity Act) sottolinea l’importanza di implementare misure di cybersecurity adeguate per garantire l’affidabilità e la sicurezza delle connessioni esterne.
Documentazione, Audit e Responsabilità
Per garantire la responsabilità legale in materia di gestione degli accessi, è essenziale che tutte le operazioni siano accuratamente documentate. Ogni modifica ai diritti di accesso, ogni creazione o eliminazione di account deve essere registrata in modo formale, tramite moduli di creazione/modifica e rimozione degli account. Questi devono essere tracciati attraverso un sistema di audit che consenta di risalire a chi ha richiesto l’accesso, chi l’ha approvato e in che termini.
L’art. 32 del GDPR stabilisce esplicitamente che le organizzazioni devono adottare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati e prevenire accessi non autorizzati. Le attività di audit contribuiscono a soddisfare questo requisito.
Conclusioni
La gestione degli accessi non è un mero aspetto tecnico, ma una questione giuridica cruciale che influisce sulla sicurezza dei dati, sulla protezione della privacy e sulla compliance normativa. Le organizzazioni devono implementare politiche e pratiche solide di gestione degli accessi, rispettando le normative legali, per evitare rischi operativi e legali. L’adozione di sistemi sicuri e controllati, accompagnati da audit regolari, è essenziale per mitigare il rischio di accessi non autorizzati e per garantire la protezione delle informazioni sensibili.
Per approfondire gli aspetti giuridici e tecnici della gestione degli accessi, o per ottenere consulenza legale in materia di cybersecurity, non esitare a contattarci.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
