Il luogo fisico da cui operano gli utenti è sempre meno importante nel mondo del lavoro di oggi. Uno studio del 2019 ha dimostrato che il 62% delle persone intervistate lavorava da casa almeno una parte del tempo e l’82% di loro ha riferito che desiderava mantenere o aumentare questo tipo di flessibilità. Inoltre, più della metà (51%) di coloro che non aveva accesso a questa opzione, ha dichiarato che avrebbe voluto approfittarne. È bene ricordare che queste cifre non comprendono i collaboratori remoti che operano come dipendenti svolgendo mansioni essenziali per l’azienda. Si tratta di utenti remoti che spesso hanno bisogno di accedere a sistemi critici proprio come i dipendenti. E si sa che, con una maggiore flessibilità, aumentano anche i rischi per la sicurezza. Per fornire l’accesso, le aziende spesso si affidano a metodi poco sicuri e inefficienti, tipicamente le VPN.
Tuttavia, i privilegi di chi opera in remoto non sono creati tutti allo stesso modo. Alcuni utenti possono richiedere l’accesso alla sola posta elettronica e ad alcune applicazioni, mentre altri hanno la necessità di accedere ad applicazioni critiche per svolgere il loro lavoro, ad esempio le risorse umane, le vendite e il marketing. I fornitori di servizi IT esterni che svolgono attività di supporto help desk in outsourcing, per esempio, richiedono lo stesso tipo di accesso dell’assistenza IT interna (o addirittura superiori).
Le principali tipologie di utenti remoti che spesso richiedono elevati privilegi di accesso ai sistemi possono essere classificate in cinque gruppi (e alcuni utenti potrebbero appartenere a più di una):
- Dipendenti di aziende che operano nel settore IT o della sicurezza da remoto
Questi utenti svolgono ruoli come amministratori di dominio, di rete e altri che tipicamente accedono ai sistemi interni critici dall’ufficio. Identificare i livelli di accesso necessari e implementare i privilegi per garantire che accedano solo a ciò di cui hanno bisogno è fondamentale. Le soluzioni tradizionali come le VPN non sono in grado di fornire il livello di accesso granulare necessario per operare in modo efficace.
L’integrazione degli strumenti di sicurezza con il servizio di directory per fornire un accesso specifico e automatizzato deve essere impostata in anticipo in modo tale che, in caso di un picco non pianificato nel lavoro remoto, non ci siano lacune nelle funzioni IT o di sicurezza.
- Fornitori di hardware e software di terze parti
I fornitori terzi di hardware e software, compresi quelli di servizi IT e il supporto help desk esternalizzato, spesso offrono servizi e manutenzione a distanza che richiedono privilegi elevati.
Ognuno di essi agisce essenzialmente come amministratore a livello di dominio e, quindi, può creare scompiglio nell’ambiente se non viene monitorato e supportato in modo adeguato. Tuttavia, l’identificazione di questi utenti e la assegnazione dei singoli livelli di accesso per ogni fornitore remoto è di solito effettuata dagli amministratori, e può richiedere molto tempo. È importante assicurarsi che tutti gli utenti siano identificati e che il provisioning dell’accesso sia corretto.
- Fornitori della supply chain
Questi utenti remoti hanno spesso accesso alla rete per agire e fare supervisione di ambiti quali logistica e magazzino; spesso hanno visibilità anche su dati sensibili relativi alla produzione, al controllo della qualità e ad altri sistemi critici che potrebbero essere collegati ai sistemi di controllo industriale e di impianto (ICS/OT) o ai processi della catena di fornitura locale.
Questi utenti potrebbero non venire in mente per primi perché non sono qualificati come amministratori di sistema tradizionalmente intesi, ma hanno comunque accesso a dati che potrebbero essere sfruttati in modo pericoloso dagli attaccanti o diventare un problema serio in caso di un uso improprio involontario.
- Aziende di servizi
Le società di servizi che svolgono attività legate a funzioni specifiche come ad esempio l’ufficio legale, le pubbliche relazioni e le risorse umane, possono richiedere l’accesso a specifiche applicazioni critiche aziendali. È importante identificare questi utenti e applicare il principio dei privilegi minimi per assicurarsi che non abbiano accesso a nulla più di quanto strettamente attinente alla loro sfera di competenza. Non avrebbe molto senso, per fare un esempio pratico, avere una società di servizi legali che abbia accesso alle informazioni sugli stipendi; non farebbe altro che aumentare il fattore di potenziale rischio.
Le applicazioni business critical come il Customer Relationship Management (CRM), l’Enterprise Resource Planning (ERP), le console cloud e altro ancora sono importanti per la continuità e le operazioni aziendali, ma nelle mani sbagliate i dati che sussistono in queste applicazioni possono essere molto pericolosi. Identificare chi vi ha accesso è fondamentale e ridurre al minimo la possibilità di “azioni laterali” da un’applicazione all’altra può fare la differenza tra una grave violazione dei dati e il business ordinario.
- Consulenti esterni
I consulenti aziendali e IT a volte hanno bisogno di un accesso privilegiato per poter essere produttivi sui progetti per i quali sono stati ingaggiati. Ricoprono un ruolo temporaneo per natura e spesso richiederanno l’accesso solo per giorni, altre volte settimane o addirittura mesi mentre svolgono le loro mansioni.
Identificare preventivamente i consulenti e il tipo di accesso richiesto (e a quali elementi, per quanto tempo) aiuta a ridurre i rischi. Inoltre, l’accesso di un consulente esterno dovrebbe essere attentamente monitorato e protetto mentre è attivo ed eliminato in modo automatico non appena il lavoro si conclude.
Poiché sempre più organizzazioni si affidano a utenti remoti per svolgere parte dei loro progetti quotidiani, è fondamentale che queste comprendano quali sono le diverse tipologie di utenti che si collegano ai loro sistemi dall’esterno. E, elemento ancora più importante, che stiano gestendo, monitorando e rendendo sicuro quell’accesso.
A cura di Emilio Tonelli, Sales Engineer di CyberArk Italia
