Il ruolo, moderno e ottemperante alla legge, del Single Sign-On. Alla ricerca della conformità.
In questo spazio (Techne – Con parole mie) i protagonisti della tecnologia raccontano e si raccontano, portando alla luce la miscela virtuosa di tecnica ed esperienza al servizio delle esigenze dell’utenza. Parlano sulla base della conoscenza, evitando di fare riferimento alla propria produzione, bensì portando il discorso su un piano generale e fruibile da tutti.
Il Testo Unico sulla sicurezza, che dovrebbe entrare in vigore finalmente alla fine di giugno dopo essere stato sottoposto a una serie di rinvii, rende noti i termini di legge a cui le aziende sono sottoposte in ambito di sicurezza dei dati, loro riservatezza in termini di accesso, gestione delle informazioni e dei dati personali.
Entra in scena il concetto di autenticazione informatica, ovvero delle modalità con cui le persone che accedono (regolarmente o saltuariamente) a determinate informazioni devono essere identificate in maniera certa e univoca.
Il Testo Unico prevede che questa identificazione possa avvenire in tre modalità distinte: tramite user Id, attraverso un device di autenticazione o una caratteristica biometria. Quando due di queste modalità di autenticazione vengono abbinate, si parla di autenticazione forte, o di Strong Authentication.
È importante sottolineare come il Testo Unico sia assolutamente orizzontale, valga cioè per tutte le aziende, indipendentemente dal settore nel quale operano. E’ anche l’unica legge di questo genere assolutamente italiana, che va spesso a sommarsi a indicazioni quali ad esempio Basilea II e Sarbanes-Oxley, promulgate dall’Unione Europea per determinati settori verticali.
In settori particolari, in cui ci si trova a trattare dati particolarmente sensibili, il Testo Unico prevede che le password abbiano determinate caratteristiche (una certa lunghezza, l’utilizzo di caratteri speciali, e così via) e soprattutto che debbano essere cambiate con una cadenza fissa, ogni tre o sei mesi, e che debbano essere di volta in vola differenti. La password prescelta, ad esempio, deve essere diversa dalle dieci usate in precedenza.
Tutto questo comporta una difficoltà più elevata nel tenere a mente le password. I dipendenti saranno portati a scegliere password legate alla propria vita, privata o professionale, e quindi potenzialmente rintracciabili indagando sulle persone, oppure, peggio, a scrivere le proprie password su appunti di vario tipo, più o meno facilmente recuperabili. Comportamento questo, ad alto rischio aziendale.
Le tecnologie di Single Sign-On rispondono proprio a questa esigenza, richiedendo all’utente una sola password, ed accedendo in vece sua alle differenti applicazioni, rispettandone di volta in volta le diverse policy.
Dotarsi di una tecnologia di Single Sign-On può rappresentare un aiuto forte in questo senso perché consente di eliminare di fatto le problematiche relative alle password, semplificando significativamente l’intera gestione delle autenticazioni. Nella sostanza è il sistema di single sign-on a cambiare ogni volta le password in automatico, scegliendole delle dimensioni e con le caratteristiche corrette, senza che questo onere ricada sul dipendente. Inoltre consente alle aziende di mettersi in regola con quanto richiesto dal Testo Unico, senza altri pensieri. Infine, offre uno strumento di reportistica completo, grazie alla sua struttura centralizzata, che consente di tenere traccia degli accessi effettuati alle singole applicazioni dalle singole macchine.
Non è solo un problema di conformità, comunque. Alla gestione delle password è associato un costo non indifferente, soprattutto per realtà di dimensioni rilevanti.
Un’azienda di 16mila dipendenti, per esempio, ha un tasso medio di 23 password reset al giorno, che costano all’azienda circa 3 milioni di dollari all’anno. Un investimento in tecnologia di Single Sign-On, quantificabile in mezzo milione di dollari, porterebbe nel giro di tre anni a sette milioni di dollari di risparmio, con un ritorno degli investimenti concreto in soli cinque mesi.
Dotarsi di strumenti di Single Sign-On dunque, oltre a permettere di conformarsi alle norme stringenti imposte oggi dal Testo Unico, può consentire di ottenere un significativo vantaggio di business, cosa quanto mai fondamentale in un ambiente competitivo quale quello in cui le aziende oggi si trovano a operare.
(*)Regional Sales Director Emea di Imprivata
