Il luogo fisico da cui operano gli utenti è sempre meno importante nel mondo del lavoro di oggi. Secondo uno studio del 2019 di CyberArk, il 62% delle persone intervistate lavorava da casa almeno una parte del tempo e l’82% di loro ha riferito di voler mantenere o aumentare questo tipo di flessibilità. Inoltre, più della metà (51%) di coloro che non aveva accesso a questa opzione, ha dichiarato che avrebbe voluto approfittarne.
Cifre, quelle citate da CyberArk, che non comprendono i collaboratori da remoto, che operano come dipendenti e svolgendo mansioni essenziali per l’azienda. Si tratta di utenti che spesso hanno bisogno di accedere a sistemi critici proprio come i dipendenti.
Per allargare l'accesso alle piattaforme di lavoro agile, Emilio Tonelli, Sales Engineer di CyberArk Italia, spiega l'utilità di individuare diverse tipologie di utenti, così da assicurare e offrire al meglio l'ambiente produttivo.
«I privilegi di chi opera in remoto non sono creati tutti allo stesso modo. Alcuni possono richiedere l’accesso alla sola posta elettronica e ad alcune applicazioni, mentre altri hanno la necessità di accedere ad applicazioni critiche per svolgere il loro lavoro».
Per Tonelli, le principali tipologie di utenti remoti che spesso richiedono elevati privilegi di accesso ai sistemi possono essere classificate in cinque gruppi. Al primo abbiamo i dipendenti di aziende che operano nel settore IT o della sicurezza da remoto, che svolgono ruoli come amministratori di dominio, di rete e altri che tipicamente accedono ai sistemi interni critici dall’ufficio.
«Identificare i livelli di accesso necessari e implementare i privilegi per garantire che accedano solo a ciò di cui hanno bisogno è fondamentale. Le soluzioni tradizionali come le VPN non sono in grado di fornire il livello di accesso granulare necessario per operare in modo efficace».
Poi i fornitori di hardware e software di terze parti, compresi quelli di servizi IT e il supporto help desk esternalizzato, che spesso offrono servizi e manutenzione a distanza che richiedono privilegi elevati.
«Ognuno di essi agisce essenzialmente come amministratore a livello di dominio e, quindi, può creare scompiglio nell’ambiente se non viene monitorato e supportato in modo adeguato. È importante assicurarsi che tutti gli utenti siano identificati e che il provisioning dell’accesso sia corretto».
Il terzo tipo rappresenta i fornitori della supply chain, che spesso hanno accesso alla rete per agire e fare supervisione di ambiti quali logistica e magazzino. Questi hanno visibilità anche su dati sensibili relativi alla produzione, al controllo della qualità e ad altri sistemi critici che potrebbero essere collegati ai sistemi di controllo industriale e di impianto (ICS/OT) o ai processi della catena di fornitura locale.
«Utenti che potrebbero non venire in mente per primi perché non sono qualificati come amministratori di sistema tradizionalmente intesi, ma comunque con un accesso a dati che potrebbero essere sfruttati in modo pericoloso dagli attaccanti o diventare un problema serio in caso di un uso improprio involontario».
Le società di servizi che svolgono attività legate a funzioni specifiche come ad esempio l’ufficio legale, le pubbliche relazioni e le risorse umane, possono richiedere l’accesso a particolari applicazioni critiche aziendali. «È importante identificare questi utenti e applicare il principio dei privilegi minimi per assicurarsi che non abbiano accesso a nulla più di quanto strettamente attinente alla loro sfera di competenza».
Infine, i consulenti aziendali e IT, che a volte hanno bisogno di un accesso privilegiato per poter essere produttivi sui progetti per i quali sono stati ingaggiati. «Ricoprono un ruolo temporaneo per natura e spesso richiederanno l’accesso solo per giorni, altre volte settimane o addirittura mesi mentre svolgono le loro mansioni».
Identificare preventivamente i consulenti e il tipo di accesso richiesto (e a quali elementi, per quanto tempo) aiuta a ridurre i rischi. «Inoltre, l’accesso di un consulente esterno dovrebbe essere attentamente monitorato e protetto mentre è attivo ed eliminato in modo automatico non appena il lavoro si conclude».