Data 22-10-2009
di Mario De Ascentiis
A RSA Conference, CA presenta uno studio sulla gestione degli utenti con accesso privilegiato. Senza software e procedure di controllo i rischi sono elevati. Chi controlla i controllori? Le soluzioni software
"Basta l'adozione di uno standard perché i dati dell'azienda siano al sicuro e le policy di sicurezza siano acquisite?" Questo l'interrogativo di partenza della ricerca su base europea commissionata da CA a Quocirca, presentata alla RSA Conference di Londra e intitolata, appunto, "Priviliged User Management - It's time to take control". La ricerca indaga come la gestione degli utenti (e delle relative password), senza soluzioni di controllo e policy precise, rappresenti una minaccia per la sicurezza non solo dei dati aziendali, ma anche di quelli personali protetti.
Tim Dunn, Vice President Security Business Unit Emea per CA
Introduce il lavoro Tim Dunn, Vice President Security Business Unit Emea per CA che focalizza subito l'attenzione su alcuni dei problemi indagati e afferma: "Oltre a malware e hacker ci sono minacce alla sicurezza spesso sottovalutate: sono gli account condivisi tra più amministratori, l'accesso indiscriminato alle risorse senza un reale bisogno, le poche regole (e non sempre chiare) su chi possa revocare cosa, e quindi i tempi di chiusura account lunghi con la relativa possibilità - anche per chi ha perso i diritti - di continuare ad avere accesso alle informazioni.
Uno studio particolarmente articolato quindi: certamente per la problematica complessa, ma anche per la completezza del campione che ha coinvolto le grandi imprese di 14 Paesi (Belgio, Danimarca, Germania, Finlandia, Francia, Irlanda, Israele, Italia, Paesi Bassi, Norvegia, Portogallo, Spagna, Svezia e Regno Unito), La ricerca è basata su 270 interviste telefoniche condotte da Quocirca a Giugno 2009. Tra le grandi aziende meglio rappresentate proprio quelle di Italia (30), Regno Unito (45), Francia (35) e Germania (40), nei settori Finance, Government, Manifacturing e Telcom/Media, con il coinvolgimento diretto prevalentemente di CIO e IT manager.
E il primo dato che emerge è che, a fronte di policy precise, gli amministratori dispongono di diritti di accesso all'infrastruttura molto più ampi di quelli concessi ai normali utenti, ma anche mal distribuiti. Il 41% degli intervistati dichiara di aver adottato lo standard ISO 27001 (in Italia la percentuale sale al 56,7%), ma allo stesso tempo denuncia mancata conformità alle procedure con pratiche tipo la condivisione di password o la cessione di user account (in Italia nel 40% dei casi!), tipiche di situazioni in cui la contingenza e l'urgenza arrivano ad avere un peso maggiore rispetto alla consapevolezza del rischio. Il dato è anche più allarmante considerato che anche il 36% di coloro che hanno ottenuto la certificazione con verifica di terze parti continua questa practise. Così, mentre da un lato i rischi per malware, email, e strumenti di Social Networking sono percepiti come più nefasti del loro impatto reale sulla sicurezza in azienda, il controllo e il monitoraggio delle attività degli utenti con accesso privilegiato non rientrano tra le priorità degli amministratori IT, che pongono questa problematica all'ottavo posto con un modesto punteggio di 2,54 su una scala da 1 a 5.
Questo lo scenario, a cui il 24% delle aziende risponde con una sorta di controllo manuale da parte dei 'super-utenti' (in Italia la percentuale sale al 30%, tra l'altro spesso non conformo al dettato del Garante). Troppo poco. Ma scarso anche il 26% di coloro che dichiarano di avere adottato una soluzione completa (in Italia la stima è del 23%). Per la metà circa delle aziende si tratta di un problema affrontato con la pianificazione di una soluzione, ma in un arco temporale di mesi, oppure senza specifica priorità: crisi, budget limitati sono le giustificazioni, per quanto poi siano gli stessi amministratori IT a sostenere che forse la sicurezza è una delle poche voci su cui i CIO non abbiano agito incisivamente. I settori industriali delle aziende più 'maldestre' sono quello della Pubblica Amministrazione e delle Telco (43% ammette la condivisione degli account). Un dato preoccupante, se si considera il trattamento di dati sensibili proprio in questi ambiti. La percentuale è solo del 29% tra le aziende del settore produzione. Però allo stesso tempo sono proprio le Telco a fare un più ampio uso delle soluzioni di gestione degli utenti con accessi privilegiati (37% ha già un sistema in funzione, solo il 14% invece ce l'ha nell'ambito della produzione).
Pagina 1 di 2Pagina segue
di Mario De Ascentiis
A RSA Conference, CA presenta uno studio sulla gestione degli utenti con accesso privilegiato. Senza software e procedure di controllo i rischi sono elevati. Chi controlla i controllori? Le soluzioni software
"Basta l'adozione di uno standard perché i dati dell'azienda siano al sicuro e le policy di sicurezza siano acquisite?" Questo l'interrogativo di partenza della ricerca su base europea commissionata da CA a Quocirca, presentata alla RSA Conference di Londra e intitolata, appunto, "Priviliged User Management - It's time to take control". La ricerca indaga come la gestione degli utenti (e delle relative password), senza soluzioni di controllo e policy precise, rappresenti una minaccia per la sicurezza non solo dei dati aziendali, ma anche di quelli personali protetti.
Tim Dunn, Vice President Security Business Unit Emea per CA
Introduce il lavoro Tim Dunn, Vice President Security Business Unit Emea per CA che focalizza subito l'attenzione su alcuni dei problemi indagati e afferma: "Oltre a malware e hacker ci sono minacce alla sicurezza spesso sottovalutate: sono gli account condivisi tra più amministratori, l'accesso indiscriminato alle risorse senza un reale bisogno, le poche regole (e non sempre chiare) su chi possa revocare cosa, e quindi i tempi di chiusura account lunghi con la relativa possibilità - anche per chi ha perso i diritti - di continuare ad avere accesso alle informazioni.
Uno studio particolarmente articolato quindi: certamente per la problematica complessa, ma anche per la completezza del campione che ha coinvolto le grandi imprese di 14 Paesi (Belgio, Danimarca, Germania, Finlandia, Francia, Irlanda, Israele, Italia, Paesi Bassi, Norvegia, Portogallo, Spagna, Svezia e Regno Unito), La ricerca è basata su 270 interviste telefoniche condotte da Quocirca a Giugno 2009. Tra le grandi aziende meglio rappresentate proprio quelle di Italia (30), Regno Unito (45), Francia (35) e Germania (40), nei settori Finance, Government, Manifacturing e Telcom/Media, con il coinvolgimento diretto prevalentemente di CIO e IT manager.
E il primo dato che emerge è che, a fronte di policy precise, gli amministratori dispongono di diritti di accesso all'infrastruttura molto più ampi di quelli concessi ai normali utenti, ma anche mal distribuiti. Il 41% degli intervistati dichiara di aver adottato lo standard ISO 27001 (in Italia la percentuale sale al 56,7%), ma allo stesso tempo denuncia mancata conformità alle procedure con pratiche tipo la condivisione di password o la cessione di user account (in Italia nel 40% dei casi!), tipiche di situazioni in cui la contingenza e l'urgenza arrivano ad avere un peso maggiore rispetto alla consapevolezza del rischio. Il dato è anche più allarmante considerato che anche il 36% di coloro che hanno ottenuto la certificazione con verifica di terze parti continua questa practise. Così, mentre da un lato i rischi per malware, email, e strumenti di Social Networking sono percepiti come più nefasti del loro impatto reale sulla sicurezza in azienda, il controllo e il monitoraggio delle attività degli utenti con accesso privilegiato non rientrano tra le priorità degli amministratori IT, che pongono questa problematica all'ottavo posto con un modesto punteggio di 2,54 su una scala da 1 a 5.
Questo lo scenario, a cui il 24% delle aziende risponde con una sorta di controllo manuale da parte dei 'super-utenti' (in Italia la percentuale sale al 30%, tra l'altro spesso non conformo al dettato del Garante). Troppo poco. Ma scarso anche il 26% di coloro che dichiarano di avere adottato una soluzione completa (in Italia la stima è del 23%). Per la metà circa delle aziende si tratta di un problema affrontato con la pianificazione di una soluzione, ma in un arco temporale di mesi, oppure senza specifica priorità: crisi, budget limitati sono le giustificazioni, per quanto poi siano gli stessi amministratori IT a sostenere che forse la sicurezza è una delle poche voci su cui i CIO non abbiano agito incisivamente. I settori industriali delle aziende più 'maldestre' sono quello della Pubblica Amministrazione e delle Telco (43% ammette la condivisione degli account). Un dato preoccupante, se si considera il trattamento di dati sensibili proprio in questi ambiti. La percentuale è solo del 29% tra le aziende del settore produzione. Però allo stesso tempo sono proprio le Telco a fare un più ampio uso delle soluzioni di gestione degli utenti con accessi privilegiati (37% ha già un sistema in funzione, solo il 14% invece ce l'ha nell'ambito della produzione).
Pagina 1 di 2Pagina segue
Nessun commento:
Posta un commento