Vulnerabilità delle credenziali: best practice per la gestione di identità e accessi. Quando si tratta di password, la presenza online delle aziende offre un'ampia superficie di attacco digitale che gli aggressori informatici possono violare in vari modi.
Se riescono a rubare dati di accesso validi per un account, possono utilizzare l'identità dirottata per rubare dati preziosi o causare ulteriori danni negli ambienti aziendali. In un mondo del lavoro sempre più caratterizzato dal lavoro a distanza, la sicurezza e la credibilità delle identità digitali stanno acquisendo nuova rilevanza. Analogamente alle forme fisiche di identificazione, anche quelle digitali devono essere protette in modo affidabile da abusi, furti e frodi. Tuttavia, l'impronta digitale e tutte le tracce che gli utenti e le organizzazioni lasciano su Internet sono altamente individuali ed estremamente diverse. Ciò rende estremamente complessa la protezione delle identità e la protezione delle risorse digitali aziendali da accessi non autorizzati.
Le credenziali sono sempre a rischio
Per le aziende che raccolgono e archiviano grandi quantità di dati dei clienti, la sicurezza dei dati e la reputazione del marchio sono strettamente collegate. Un rapporto di fiducia è una parte essenziale delle relazioni commerciali. Questa proprietà è rafforzata anche nel contesto digitale dalle norme sulla protezione dei dati. Il regolamento generale sulla protezione dei dati (GDPR) stabilisce per le aziende un quadro rigoroso per la gestione dei dati personali e tutela i diritti dei privati con obblighi di informazione e notifica per le società di elaborazione. Le violazioni dell'obbligo di diligenza nei confronti dei dati dei clienti o la perdita degli stessi sono punibili con sanzioni per le aziende. Un'esperienza che la catena alberghiera Marriott ha dovuto fare: i criminali informatici avevano violato gli account di due dipendenti ed erano così riusciti ad accedere agli account degli ospiti dell'hotel. Poiché questa violazione della sicurezza non è stata rilevata per anni, il numero di consumatori danneggiati ammonta a oltre 300 milioni. Il British Information Commissioner's Office (ICO) ha originariamente imposto una sanzione di oltre 110 milioni di euro, che è stata ridotta a 20 milioni a causa della disponibilità globale di Marriott a collaborare e tenendo conto di altre sentenze.
Infatti, una parte significativa degli incidenti di hacking è dovuta a credenziali smarrite o rubate. Sfortunatamente, la strategia di cambiare le password a intervalli regolari di solito ha solo un effetto limitato, perché molti utenti usano la stessa password per più account. Il riutilizzo delle password è diventato un comportamento scorretto comune a causa della difficoltà e dell'inconveniente di ricordare password numerose e complesse. Tuttavia, ciò aumenta notevolmente il rischio di danni in caso di hacking.
Gestione dell'identità e degli accessi contro i rischi di password
Le password sono sempre un rischio, indipendentemente dalla loro dimensione, complessità o unicità. Le aziende devono tenere conto di questo fatto nelle loro strategie di sicurezza IT. Lo sviluppo di dipendenti che trasferiscono le proprie abitudini di password private al proprio ambiente di lavoro può essere contrastato con controlli di autenticazione più rigorosi. Per mitigare in modo efficiente le minacce e rispettare le normative sulla protezione dei dati, il processo di accesso deve essere reso più sicuro attraverso la gestione dell'identità e degli accessi (IAM). Questo dovrebbe avere i seguenti elementi:
Abilitazione di Multi-Factor Authentication (MFA) e Single Sign-On (SSO)
Queste funzionalità aiutano a ridurre il rischio di compromissione dell'account fornendo allo stesso tempo un'esperienza di accesso utente senza problemi. MFA crea un ulteriore livello di sicurezza, ad esempio tramite un token SMS inviato tramite messaggio di testo o tramite un'app di terze parti come Google Authenticator. Senza una seconda forma di autenticazione, l'utente non sarà verificato e non avrà accesso all'account. SSO consente agli utenti di accedere a una varietà di risorse cloud indipendenti accedendo a un unico portale. La comodità di dover ricordare solo una password può essere offerta agli utenti in modo sicuro. La password deve essere sostituita con una nuova a intervalli regolari, se necessario richiedendola automaticamente all'utente.
Determinazione del contesto attraverso attività di rete
Per determinare se un utente è davvero chi dice di essere online, è importante che le aziende monitorino continuamente l'attività di rete e il comportamento dei propri dipendenti per rilevare anomalie. Ad esempio, se un dipendente accede dal proprio indirizzo IP di casa alle 9:22 dal lunedì al venerdì, ma improvvisamente accede da una posizione diversa il sabato sera alle XNUMX:XNUMX, questo comportamento viene considerato sospetto. L'autenticazione a più livelli basata sul contesto consente alle organizzazioni di confermare l'identità degli utenti in base alla posizione, al dispositivo e alle attività quotidiane. Ciò offre inoltre alle aziende una maggiore sicurezza per l'accesso ai dati, indipendentemente da dove avvenga.
sensibilizzare
Nonostante soluzioni tecniche adeguate, una strategia di sicurezza è incompleta senza educazione e sensibilizzazione. Le aziende devono spiegare ai propri dipendenti quale valore possono avere per i criminali informatici anche dati di accesso apparentemente irrilevanti, quali tattiche di attacco utilizzano e quali irregolarità sono motivo di sospetto. In questo modo è più semplice per i dipendenti poter proteggere i propri dati di accesso e le proprie identità digitali - e quindi, in senso più ampio, quelle dei propri clienti.
Nell'ambiente aziendale, la gestione incauta dei dati di accesso digitale può avere gravi conseguenze. Con queste semplici misure tecniche, le aziende possono ridurre i rischi associati. Allo stesso tempo, possono rispettare il desiderio di praticità dei propri dipendenti: non è più necessario ricordare decine di password complesse. Tuttavia, proteggere i dati sensibili dall'accesso non autorizzato rimane un compito comune: le aziende e la loro forza lavoro dovrebbero essere sempre aggiornate sulle minacce alle identità digitali e sviluppare congiuntamente il loro comportamento di conseguenza.
Altro su Bitglass.com[stellaboxid=4]