Non pensi anche tu che i sistemi informatici che oggi troviamo in un’azienda media siano numerosi e diversificati?
In genere troviamo il dominio e Windows, la posta elettronica, il CRM e altri gestionali, svariate interfacce Web o anche applicazioni specifiche a cui hanno accesso solamente alcuni reparti aziendali. Moltiplichiamoli per il numero degli utenti e avremo l’entità del parco di password che dobbiamo gestire.
La riservatezza delle informazioni che risiedono sui sistemi informativi e le normative sulla privacy non solo impongono l’utilizzo delle credenziali di accesso ma anche un’attenzione fondamentale a come queste vengono a loro volta trattate, perché costituiscono il mezzo per accedere a tutti i dati, più o meno importanti personali o sensibili.
Penso che tutti noi possiamo riconoscerci in questo scenario, arriviamo in ufficio accediamo a Windows e alla posta mentre beviamo un caffè scambiamo due parole con il collega e via che si parte ad utilizzare tutti gli strumenti che ci servono per lavorare, quindi ad inserire le nostre credenziali ogni volta che ci viene richiesto.
Che ci piaccia oppure no dobbiamo ammettere che la natura umana tende a ricercare sempre la massima comodità in ogni cosa che facciamo e non è di certo un delitto, tuttavia stiamo parlando di un contesto delicato che dovrebbe essere gestito con cura.
Ci sono casi in cui certe leggerezze possono avere dei risvolti negativi anche gravi e la gestione delle password è proprio uno di questi, per ovvie ragioni sono informazioni da trattare con attenzione, spero non ci sia alcun dubbio in questo.
Dobbiamo ammettere che gran parte dei grattacapi che ogni giorno un tecnico IT si trova a gestire nasce dall’attenzione superficiale che gli utenti hanno nell’ utilizzo dei sistemi informativi e la gestione molto blanda delle proprie credenziali di accesso rappresenta uno di quelli più comuni.
Ma è naturale che sia così, io non ci trovo nulla di strano!
Per noi la sicurezza è il pane quotidiano e ci viene naturale trattare l’argomento con sensibilità ma l’utente che ha altro da fare si comporta secondo le sue priorità, per lui una gestione certosina della password è solamente un intralcio.
Gli utenti trattano queste informazioni concedendosi alcune “comodità” mnemoniche e pratiche per noi discutibili, quali?
Ne consegue:
Lo so che per te non è una novità ma allora qual è il nesso?
Da un lato i sistemi non possono essere ridotti e le password saranno sempre tante, al contempo i requisiti da soddisfare sono ben chiari e gli utenti tratteranno sempre così queste informazioni perché vogliono essere comodi.
Dall’altro però il nostro dovere è arrivare qui:
Come?
Basta fare in modo che non sia l’utente a gestirsele!!! Te lo aspettavi?
Pensa se si potesse fare in modo che:
Lo avrete già capito, la gestione password è l' SSO (Single-Sign-On) ed è bene tenere sempre presente che a questo termine si possono riferire soluzioni anche molto diverse tra loro, da quelle che per esempio possono gestire i login solamente sulle pagine Web a quelle più evolute basate su script, che possono lavorare con le credenziali di qualsiasi tipo di applicazione.
La criticità più lampante è che se qualcuno venisse a conoscenza della password di dominio di un utente potrebbe accedere a tutti i sistemi aziendali a suo nome con tutto ciò che può derivarne. Dobbiamo considerare che con questo sistema non ci saranno più foglietti nascosti attaccati sotto la scrivania o agende che escono fuori dall’azienda, perché ogni utente sarà nelle condizioni di poter ricordare la propria password senza la necessità di scriverla e nasconderla in qualche posto potenzialmente accessibile da altre persone.
Per questo nessuno potrà venirne a conoscenza, torture a parte.
Ecco come l’SSO permette di avere password complesse su tutti i sistemi e di mantenerle aggiornate senza che questa attività sollevi lamentele dagli utenti e come può scaricare i reparti IT di una serie di richieste che fanno sprecare molto tempo.
La sicurezza può anche essere aumentata con soluzioni di strong authentication che permettono di verificare l’identità della persona fisica che effettua l’accesso tramite lettori di impronte digitali, token, app e anche sistemi di riconoscimento ottico.
Spero di esserti stato utile, ma tu non perdere l'occasione di seguire il nostro blog, ogni settimana pubblicheremo nuovi articoli per aiutarti ad affrontare le sfide sulla sicurezza informatica.
In questa guida abbiamo dedicato un intero capitolo proprio all’SSO, oltretutto, puoi trovare le opinioni di oltre 3.000 IT Manager, che abbiamo raccolto per costruire la classifica dei "Top 10 rischi sulla sicurezza informatica per il 2016" e completate con molti consigli utili sulle contromisure da attuare.