Nonostante siano trascorsi due anni e mezzo dalla definitiva entrata in vigore del GDPR, ancora molte aziende consentono l’accesso ai dati senza prestare la necessaria attenzione.
Il GDPR richiede ai Titolari e Responsabili del trattamento di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” (articolo 32). Ciò include necessariamente l’integrazione di misure di controllo degli accessi.
All’interno delle organizzazioni che chiedono la mia consulenza mi capita di frequente di verificare che agli utenti è concesso l’accesso ai dispositivi aziendali con privilegi di amministratore e la motivazione che mi viene fornita è sempre la stessa: evitare complicazioni durante la giornata lavorativa. Ciò avviene nella maggioranza dei casi all’interno di organizzazioni di medie o piccole dimensioni che spesso al loro interno non hanno una figura professionale di riferimento per la gestione degli strumenti informatici, quindi per non dover ricorrere ad un fornitore esterno (e pagarlo) ogni qual volta sia necessario dover installare nuovi applicativi per ragioni operative o urgenze legate ad un progetto, si decide di attribuire a tutti gli utenti del sistema aziendale gli stessi permessi di un amministratore di macchina.
Tuttavia, ciò introduce un rischio considerevole per la rete aziendale perché aumenta la possibilità per gli utenti di compromettere, spesso inconsapevolmente, i dati personali. Se si considera che il 74% delle violazioni dei dati trae origine da un abuso di credenziali privilegiate[1], l’importanza del controllo degli accessi è evidente.
Decidere chi e cosa ha accesso a determinate informazioni e risorse è noto come controllo degli accessi. Controlli appropriati sono essenziali per garantire la conformità al GDPR ed in primis la sicurezza delle informazioni e degli asset aziendali.
Esistono diversi tipi di controllo degli accessi, tuttavia ritengo che quelli più efficaci e che meglio garantiscono la conformità al GDPR siano quelli che obbediscono 1) al principio degli accessi basato sui ruoli e 2) al principio di minimo privilegio.
Il controllo degli accessi basato sui ruoli è una tecnica di accesso a sistemi ristretto per utenti autorizzati. Ciò significa che le autorizzazioni di accesso sono collegate a ruoli particolari all’interno dell’organizzazione, piuttosto che a persone specifiche. All’interno di una organizzazione, i ruoli sono creati per diverse funzioni di lavoro. I permessi per eseguire specifiche operazioni sono assegnati a specifici ruoli. Ai membri di un gruppo sono assegnati particolari ruoli e, attraverso queste assegnazioni, questi acquisiscono il permesso di eseguire specifiche funzioni. Poiché i permessi non sono assegnati direttamente agli utenti ma vengono acquisiti solo tramite il ruolo (o i ruoli) ad essi assegnati, la gestione dei diritti individuali per un utente diventa una semplice assegnazione dei ruoli appropriati per l’utente stesso. Questo semplifica le operazioni comuni, come l’aggiunta di un utente o il cambio di dipartimento, specialmente in organizzazioni complesse.
Il principio del privilegio minimo si riferisce a un concetto di sicurezza delle informazioni in base al quale ad un utente vengono concessi i livelli – o permessi – minimi di accesso dei quali ha bisogno per svolgere le proprie mansioni. Il principio del privilegio minimo è ampiamente ritenuto una buona pratica per la sicurezza informatica ed è un passo fondamentale per proteggere gli accessi privilegiati a dati e risorse di massima criticità.
Questo metodo di controllo presenta il particolare vantaggio di evitare la propagazione di malware come root kits, spyware e virus non rilevabili e di limitare in generale le conseguenze di un’applicazione vulnerabile. Personalmente consiglio ai miei clienti di selezionare uno o l’altro metodo a seconda delle loro dimensioni e della complessità dell’organizzazione, ma ad ogni modo è indispensabile mettere in pratica un sistema di controllo periodico sul numero di account aziendali, per verificare se e quali sono ancora attivi o se ve ne sono di “dormienti” ed una verifica sulla sussistenza delle ragioni che hanno giustificato l’assegnazione di uno o più privilegi all’utente. Per fare ciò è indispensabile che l’organizzazione del Titolare abbia una procedura di condivisione delle informazioni, in particolare l’ufficio risorse umane deve tempestivamente comunicare – al reparto IT interno o al fornitore di assistenza IT esterno – la cessazione del rapporto con un dipendente/utente o la sua assegnazione a diverse mansioni.
[1] Verizon “2018 Data Breach Investigations Report”.