Due anni fa lo stesso inventore della password statica complessa ha riconosciuto che il sistema non è efficace

Password statiche sempre più diffuse nonostante la scarsa sicurezza

L’Indice Thales di gestione dell’accesso per il 2020 – Edizione per l’Europa e il Medio Oriente mostra che il 29% delle aziende dell’area continua a ritenere la combinazione nome utente/password uno dei metodi più efficaci per proteggere l’accesso alla loro infrastruttura IT. Eppure, due anni fa lo stesso inventore della password statica complessa ha riconosciuto che il sistema non è efficace. Nonostante ciò, il 67% dei partecipanti al sondaggio indica che le loro aziende prevedono di espanderne l’uso, continuando quindi a fare affidamento su un sistema di sicurezza obsoleto, nonostante i responsabili IT rivelino che è sempre più facile (48%) persuadere i consigli di amministrazione della necessità di misure di sicurezza rispetto a quelle previste l’anno precedente (29%).

Secondo il nuovo sondaggio condotto da Thales fra 400 responsabili in ambito IT in Europa e Medio Oriente, la maggior parte (57%) dei professionisti IT ha rivelato che un’infrastruttura non protetta rappresenta uno dei bersagli principali per gli attacchi informatici. Pertanto, è probabile che qualsiasi azienda che se ne serve, a causa di esigenze commerciali che la spingono a adottare tecnologie trasformative digitali, stia correndo un rischio maggiore.

Il complesso problema di come bilanciare comodità e sicurezza

Poiché la pandemia da Covid-19 sta costringendo molte aziende a contare sul telelavoro, i reparti IT stanno facendo ogni sforzo per offrire ai dipendenti sia sicurezza che comodità. Infatti, oltre due terzi (67%) dei responsabili IT europei affermano che i loro team di sicurezza si sentono obbligati a garantire agli utenti un comodo accesso ad applicazioni e servizi cloud pur mantenendone la sicurezza – e ciò indica che non è semplice bilanciare la trasformazione digitale e le priorità in termini di sicurezza. A tal fine, il 96% ritiene che soluzioni di gestione dell’accesso e autenticazione complessa possono facilitare l’adozione di servizi cloud sicuri. Più dei tre quarti (76%) hanno anche rivelato che l’autenticazione dei dipendenti deve essere in grado di supportare l’accesso sicuro a una vasta gamma di servizi, tra cui le applicazioni cloud e le reti private virtuali.

Attuare miglioramenti incrementali

Sebbene alcune aziende ancora si affidino a metodi di autenticazione tradizionali, come la combinazione di nome utente e password, una consapevolezza sempre maggiore del problema delle minacce sta spingendo a intervenire: negli ultimi 12 mesi quasi tutte (94%) le aziende hanno modificato le policy di sicurezza riguardo alla gestione dell’accesso. La formazione del personale sulla sicurezza e sull’Access Management (47%), un maggiore investimento sulla sua gestione (43%) e il fatto che questa stia diventando uno degli obiettivi prioritari per i consigli di amministrazione (37%), sono tutti aspetti che ricevono una maggiore attenzione. Ne risulteranno vantaggi anche in termini di compliance – quasi tutti (98%) i partecipanti europei al sondaggio dichiarano di controllare chi ha accesso ai dati aziendali e ciò consentirà di soddisfare più agevolmente i requisiti relativi al trattamento dei dati, come quelli previsti dal GDPR.

“Un numero sempre maggiore di aziende sta iniziando a ricorrere al cloud per i servizi di gestione dei rapporti con i clienti, per le e-mail, per la collaborazione tra i dipendenti e per l’infrastruttura IT nel quadro delle strategie di trasformazione digitale. Pertanto diventa molto difficile estendere al mondo esterno quelle stesse vecchie soluzioni progettate per proteggere le risorse interne. Spesso, nel tentativo di adattarsi alle nuove abitudini di lavoro che vedono utenti collegarsi da qualsiasi posto (il che oggi è sempre più rilevante e diventerà lo standard nel prossimo futuro) le aziende “si arrendono”, tendendo a ritornare ai vecchi metodi basati sulle password per i servizi cloud. Si sa che questo regresso aumenta invece la loro esposizione agli attacchi di tipo credential stuffing e phishing”, spiega Francois Lasnier, Vicepresidente per le soluzioni di gestione dell’accesso presso Thales.

Due passi avanti e uno indietro

Guardando al futuro, alcuni responsabili IT sono pronti a esporsi nel consiglio di amministrazione in modo più saggio, richiedendo investimenti per metodi più sicuri, come l’autenticazione biometrica (75%) e il Single Sign-On smart (81%), che dovrebbero aumentare l’anno prossimo. Tuttavia, due terzi (67%) sta ancora pianificando un uso maggiore della combinazione username-password, una percentuale quasi uguale a quella di chi intende utilizzare ancora di più i metodi di autenticazione senza password (70%).

“Per molto tempo, il compito più difficile per i responsabili IT è stato sensibilizzare il consiglio di amministrazione sulla necessità di prendere sul serio la sicurezza e i suoi pericoli, continua Lasnier. Ora che ci sono riusciti, il focus dovrebbe essere sull’evidenziare agli occhi del management l’importanza della gestione dell’accesso nell’attuazione di una policy di sicurezza molto efficiente che diffidi di ogni accesso. Realizzato ciò, i professionisti della gestione del rischio saranno in grado di adottare un approccio ‘Protect Everywhere – Trust Nobody’ mentre espandono i servizi al cloud.”