Controllo 9:
Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza, secondo il principio del privilegio minimo.
Non tutti i dipendenti di un’azienda hanno le stesse responsabilità e non tutti devono necessariamente avere accesso a tutte le informazioni aziendali (vedi anche il #controllo3). Il “least privilege” ossia il principio del privilegio minimo prevede che ad un utente debbano essere concessi i permessi di accesso minimi dei quali ha bisogno per svolgere le proprie mansioni. Con questo tipo di controllo si cerca di evitare oltreché un accesso non autorizzato da parte di personale interno ai dati dell’azienda (siano essi informazioni aziendali o dati personali), anche l’escalation di privilegi nel caso in cui un account fosse stato compromesso. L’escalation dei privilegi è un vettore di attacco che causa l’eliminazione dei livelli di autorizzazione interni e si verifica quando un’organizzazione criminale ottiene l’accesso all’account di un dipendente e ad informazioni e dati correlati.
Per dotare gli utenti di accessi personalizzati è importante configurare la propria rete con accesso ai servizi tramite dominio. Il dominio rappresenta una rete di computer ove si configura un rapporto tra il server aziendale e i vari PC (client) su cui ognuno lavora. Il client sul quale ha accesso l’utente deve quindi sottostare a procedure di autenticazione specifiche, che solitamente sottendono ad una gerarchia di profili e di accessi alle risorse, ossia alle informazioni memorizzate sul server. La regola molto semplice è chi vede cosa.
Con questo si può limitare il problema evidenziato al controllo precedente (#controllo8) legato al dipendente infedele, in modo che dal suo account può operare solo sui dati a cui era stato autorizzato, più elevato è il rango del dipendente maggiori controlli devono essere attivati.
Ognuno nella propria impresa può valutare in base alla complessità della struttura organizzativa, la necessità o meno di attivare una rete sotto dominio e controlli ulteriori, ad esempio, della quantità di traffico dati per ogni account.
CRYSIS ransomware
Comparso per la prima volta nel 2016, il ransomware CRYSIS utilizzava le cartelle condivise delle vittime per tentare di accedere ai sistemi. Quando vengono richieste le credenziali per l’accesso a tali cartelle l’attaccante utilizza dei software che mettono in atto la tecnica dell’attacco a forza bruta per identificare le relative password.
In questo caso l’utilizzo di password di adeguata complessità aumenta notevolmente il tempo richiesto all’attaccante per compromettere l’utenza, riducendo il rischio che l’attacco vada a buon fine.
Ognuno vede ciò che deve vedere.
Lo abbiamo affermato anche nel #controllo3, non è bene che tutti sappiano tutto. Anche nelle migliori famiglie esistono informazioni che sanno solo le persone con maggiore responsabilità. Non è bene caricare di troppa responsabilità chi non sa fare buon uso delle informazioni (o semplicemente non sa ancora che quelle sono informazioni riservate). Ancor di più vale questo ragionamento quando abbiamo identificato in azienda ruoli e responsabilità, in modo tale che ognuno sappia esattamente quale è il suo posto e quale è il suo contributo all’interno dell’organizzazione.
Controlli correlati
#1 – Inventario dispositivi e software
Controllo 1 - Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. Non conoscere quali e quanti dispositivi aziendali ci sono in giro e da chi vengono...
#3- Inventario dispositivi e software
Controllo 3 - Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti. Non tutte le informazioni che manipoliamo quotidianamente in azienda hanno la stessa importanza, così i dispositivi informatici utilizzati....
#7 – Gestione password e account
Controllo 7 - Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori). L'uso di password deboli La scelta delle...
#8 – Gestione password e account
Controllo 8: Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati. Dotare ogni utente di un accesso...
#10 – Formazione e consapevolezza
Controllo 10: Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, etc...). I vertici...
Rimani aggiornato
Mentibus Training Academy
Mantieni la tua organizzazione aggiornata e conforme ai principali regolamenti e norme in materia di Cybersecurity e data protection.