Ricerca Quocirca: in Europa gli standard Iso che controllano i privilegi degli It manager non mettono al riparo da utilizzi impropri
Godere di diritti d’accesso privilegiati nell’infrastruttura It della propria azienda e farne cattivo uso. Non sono poche le aziende europee che, pur adottando gli standard internazionali Iso 27001 per imporre limiti e controlli rispetto all’assegnazione e all’utilizzo di un accesso privilegiato, riscontrano comportamenti poco conformi alle procedure ottimali da parte degli utenti che hanno pieno accesso all’infrastruttura It aziendale.
A dimostrarlo sono i dati di un recente studio commissionato da Ca alla società di ricerca e analisi inglese Quocirca che, condotto a giugno di quest’anno sulla base di 270 interviste realizzate telefonicamente, ha coinvolto realtà da 2.000 a oltre 10.000 dipendenti nei settori Tlc & Media, Finance, Government e Manufacturing.
In Belgio, Danimarca, Germania, Finlandia, Francia, Irlanda, Israele, Italia, Olanda, Norvegia, Portogallo, Spagna, Svezia e Regno Unito i soggetti destinatari dell’indagine sono stati gli It manager (153), i Cio (76), gli It security head (24) e gli It security manager (17).
Così, se per Bob Tarzey, service director di Quocirca, la buona notizia è che quasi il 60% dei rispondenti afferma di aver implementato o di aver pianificato l’implementazione all’interno della propria organizzazione degli standard Iso di cui sopra, quella meno rassicurante è che «i pericoli realmente percepiti per l’azienda arrivano da attacchi malware, utilizzo improprio di Internet, utenti interni ed esterni e dagli strumenti del Web 2.0 in piena diffusione». Al contrario, il monitoraggio delle attività degli utenti con accesso privilegiato non è fra le priorità degli It manager, nonostante sia chiaro che l’uso improprio o condiviso di nomi e password per accedere a sistemi informativi può generare danni anche di consistente entità.
La realtà che si evince dallo studio “Privileged user management – It’s time to take control” presentato a Londra nel corso dell’Rsa Conference Europe, non lascia spazio a dubbi: il 41% degli intervistati (vale a dire 110 aziende su 270) che, per giunta già Iso 27001, afferma di aver riscontrato diversi episodi di mancata conformità alle procedure. L’allarme cresce se si considera che il 36% di questi stessi rispondenti non si è solo conformato allo standard, ma è ricorso alla certificazione di un auditor esterno. All’atto pratico, poi, pur in presenza di soluzioni tecnologiche disponibili sul mercato (si veda il box a fianco), solo il 26% sul totale delle aziende rispondenti ha affermato di aver adottato un sistema completo, mentre una percentuale di poco inferiore (24%) è corsa ai ripari adottando «qualche forma di monitoraggio manuale» da parte dei super utenti privilegiati. Lo spaccato per comparti indica nel segmento Telco & Media gli utenti più dotati di soluzioni di gestione per questo tipo di problematiche e, per questo, più fiduciose nella propria capacità di monitorare gli account utente con privilegi.
Ancora una volta, a frenare l’adozione di tecnologia è da imputarsi a una disponibilità di budget limitata «anche se – ha concluso Tarzey – la scarsa propensione all’acquisto pare più frutto di una cattiva valutazione dei rischi legati alle attività svolte dagli utenti con accesso privilegiato».
In Italia la scadenza è il 15 dicembre
Anche da noi i tempi per adeguarsi alle normative approvate dal Garante con il Dlgs 196/03 inerente la privacy stanno per scadere. Le modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento è, infatti, slittato dal 25 giugno al prossimo 15 dicembre. Non a caso, secondo il Garante attività tecniche quali backup e recovery dei dati, organizzazione dei flussi di rete, gestione dei supporti di memorizzazione e manutenzione hardware comportano un’effettiva capacità di azione su informazioni che, anche qualora non siano consultate “in chiaro” dall’amministratore di sistema, va considerata alla stregua del trattamento dei dati personali. Tuttavia che i requisiti posti dagli enti normatori vengano spesso ignorati lo confermano anche i dati italiani: il 56,7% degli intervistati di casa nostra afferma un adeguamento agli standard Iso 27001 che, però, nella pratica dei meccanismi di controllo applicati, non corrisponde. Tant’è che oltre il 40% delle aziende intervistate suole condividere tra più utenti le stesse credenziali per poter svolgere le proprie funzioni. A fronte di un 23% che dichiara di utilizzare sistemi automatizzati per monitorare, controllare e tracciare l’operato dei propri responsabili, circa il 50% degli intervistati confessa di non avere in esercizio sistemi per prevenire e fronteggiare i rischi connessi all’esistenza di profili che operano nelle organizzazioni It con accessi privilegiati. Peccato che non ci sia privacy senza sicurezza.
