Proteggere la propria identità digitale sta diventando sempre più fondamentale per evitare che il suo utilizzo improprio e fraudolento possa essere la chiave per accedere a servizi, prodotti, sistemi, dati personali, pubblici o aziendali. Accessi impropri che rischiano molte volte di innescare pericolosi attacchi a dati e informazioni riservate e a volte vitali per l’economia e la credibilità di un’azienda. Il furto di credenziali, infatti, pare essere il nodo cruciale per la buona riuscita di un attacco cyber.
“La gran parte degli attacchi informatici che vanno a buon fine, parte da un furto di credenziali – afferma Roberto Branz, channel account executive di SecurID in Italia, business unit parte di RSA Security focalizzata sulla protezione delle identità digitali -. Pare, infatti, che oltre l’80% degli attacchi informatici inizi proprio da un furto di identità o dalla loro compromissione, con le credenziali illecite che diventano veri e propri denominatori per dare efficacia a ransomware o ad altre forme di attacco, anche le più silenti, al di là delle varie altre forme di protezione adottate”.
Roberto Branz, channel account executive di SecurID in Italia, an RSA Security company
La proliferazione dei servizi digitali aumenta l’affollamento delle identità
E una volta tanto non è unicamente il fattore umano a incidere nella recrudescenza del fenomeno.
La cultura tra gli utenti pare infatti che stia crescendo, ma di pari passo aumentano anche i processi digitali informatici, che stanno crescendo a dismisura, incrementando le attività che si fanno in digitale e, di conseguenza, la quantità di utenze, di identità e relative password che vengono utilizzate per accedere ai servizi, privati, pubblici o aziendali che siano.
Una complessità crescente che fa sì che anche l’utente più accorto possa fare un passo falso e cadere vittima di un furto
Del resto, i processi digitali agevolano la vita delle persone sia nel privato sia sul lavoro, consentendo alle aziende di erogare servizi anche in condizioni di emergenza, quando sono chiuse o bloccate, come si è visto durante il lockdown per il Covid-19. C’è quindi sempre più necessità che gli utenti utilizzino i processi digitali, ma lo devono poter fare in piena sicurezza. E affinché questo avvenga, l’aspetto dell’identità e della sua protezione, diventa fondamentale.
Un problema, quello del furto di credenziali, che si è acuito negli ultimi due anni, complice la pandemia, che nel momento dell’emergenza ha costretto molte aziende a delle scorciatoie in fatto di sicurezza, colte dall’ urgenza di dare continuità d’esercizio da remoto a scapito, però, della protezione.
In una situazione aggravata ulteriormente dall’aumento del perimetro aziendale attraverso l’aumento dell’uso del cloud e, in contemporanea, con un vero e proprio bombardamento di phishing, sfruttando l’onda emotiva e la sete di informazioni riguardo l’emergenza sanitaria.
La sicurezza illusoria di gran parte delle password
“Il problema, essenzialmente, rimane legato alle password – riprende Branz -, le quali, per quanto complesse siano, non sono mai sufficientemente sicure. Possono essere indovinate, sono spesso riutilizzate per più servizi, raramente vengono cambiate e aggiornate. Ma un altro mezzo per arrivare a ottenere credenziali in maniera illecita può essere attraverso attacchi di social engineering o via il sopra citato phishing, che sta assumendo forme sempre più ingannevoli e difficili da riconoscere. E una volta che il cybercrime viene in possesso di identità digitali, è come se avesse le chiavi per arrivare dalla porta principale all’interno delle aziende, minandone i sistemi con ransomware o altre forme di compromissione per appropriazione di dati e informazioni al fine di ottenere guadagni illeciti”.
SecurID ritiene di fondamentale importanza anche governare il processo di creazione e gestione delle identità nell’intero ciclo di vita. Il livello dei diritti e delle autorizzazioni che ogni account possiede, deve essere controllato e controllabile in ogni situazione.
Sono necessarie costanti verifiche per assicurarsi che ogni utente abbia i diritti minimi ma sufficienti per svolgere il lavoro che il suo ruolo prevede, evitando di assegnare diritti superiori al necessario, permettendo l’ accesso a informazioni non coerenti con il ruolo aziendale.
Come e per cosa nasce SecurID, la business unit per l’identity security di RSA
SecurID è una delle aziende parte di RSA nata come business unit all’inizio di quest’anno, in concomitanza con l’uscita di RSA dall’orbita di Dell e della sua conseguente riorganizzazione in quattro divisioni delle sue attività secondo le diverse declinazioni del digital risk.
SecurID, in particolare, permette alle aziende di mitigare il rischio digitale concentrandosi sul tema delle identità partendo dal tema dell’accesso, fornendo degli strumenti alternativi alle password per accedere a reparti, servizi, documenti, cloud, e verificare ciò che l’utente dichiara di essere.
Un processo che viene effettuato attraverso una piattaforma di identity che ha la fiducia di oltre 13.000 organizzaioni nel mondo, e che passa da per sistemi di strong authentication, sempre più multifactor authentication, potendo modulare il grado di verifica in base al livello di sicurezza che l’azienda intende porre sulle varie attività, chiedendo oltre agli elementi classici della password ulteriori verifiche, quali l’impronta digitale o un codice, insomma diversi elementi che, insieme, avvalorino la veridicità delle credenziali mostrate.
“Insieme al cliente vengono definiti i vari livelli di rischio e l’azienda stessa decide quale rischio è in grado di tollerare per ognuna delle attività previste – spiega Branz -. In questo modo riusciamo a rendere fruibile i vai servizi digitali ma in piena sicurezza e nella maniera più semplice possibile in modo da non impattare nel flusso lavorativo dei dipendenti. Ma oltre a questo aspetto, dobbiamo tenere presente anche i processi di approvazione, ossia il separation of duty,il quale definisce i criteri e i gradi di accesso ai vari dipendenti in base al loro ruolo in azienda. Un aspetto la cui regolamentazione è richiesta anche dalla normativa GDPR, che chiede di sapere chi ha accesso a determinati dati o servizi o strumenti, e chi ad altri”.
Un’offerta articolata per un approccio per gradi all’identity security
Aspetti diversi da tenere conto che fanno sì che l’offerta di SecurID sia piuttosto ramificata, consentendo alle aziende di arrivare per gradi e ad avere una protezione completa delle identità, crescendo per fasi.
Inizialmente bisogna affrontare la difficoltà di superare il limite delle password, ad adottare forme di autenticazione a più fattori fino, addirittura, a passare a un sistema passwordless, potendo verificare le identità in modi alternativi alle password.
Una crescita che viene fatta con una granularità con cui si impostano le policy di sicurezza per le identity, iniziando con policy un po’ più statiche, come l’impronta digitale, per poi poterle modulare in ottica single sign on, fino ad arrivare a gestire le identità digitali e il loro grado di sicurezza sulla base dei ruoli dei singoli o gruppi.
Si tratta di un tema che le grandi aziende avevano già da tempo assimilato, essendo l’organizzazione delle mansioni nel loro DNA, per le quali è normale l’accesso a un servizio previa autorizzazione. Ma ora l’esigenza si sta mostrando anche tra aziende meno strutturate, con un singolo IT manager che da solo non ce la può fare a gestire tutto, oltre al fatto che c’è un management che è sempre più accorto, e sempre più cosciente dei pericoli a cui si può andare incontro, chiedendo risposte all’IT.
Un canale IT a valore con piglio consulenziale
Soluzioni articolate che devono essere presentate alle aziende con un buon livello di competenza e per le quali è quindi necessario appoggiarsi a un canale a valore, che diventa la componente fondamentale per erogare questi servizi ai clienti.
Un canale, quello di SecurID , che si compone di realtà di varia natura, alcuni con un’impronta decisamente informatica e altri con una connotazione più consulenziale, e altri, ancora, che stanno fondendo via via questi due aspetti, affrontando la vendita ascoltando i clienti e cercando per loro la soluzione più adatta alle loro esigenze, considerando anche gli aspetti più di business e non solo quelli prettamente tecnici, coinvolgendo nell’ascolto i vari reparti dell’azienda, costruendo insieme il progetto e il percorso per attuarlo.
“Oltre a queste realtà, abbiamo iniziato a prendere contatti anche con dei consultant di tipo finanziario – informa Branz -, che nella loro proposizione prendono in considerazione anche gli investimenti che devono essere fatti per garantire la security e quali vantaggi, anche economici, possono portare”.
Formazione e un webinar per imparare la consulenza tecnologica e finanziaria
Un nuovo modo di approcciare il tema della sicurezza sul quale SecurID sta informando il canale, attraverso iniziative di formazione gratuite rivolte principalmente alle figure di presales.
Una formazione del cui percorso fa parte il webinar dal titolo “La ripresa in sicurezza tecnologica e finanziaria” che il vendor terrà il 25 ottobre con l’obiettivo di aiutare i partner a far capire ai propri clienti come ripagarsi degli investimenti fatti.
Un webinar che vedrà la partecipazione, oltre che degli esperti di identità digitale di SecurID, anche di consulenti che indicheranno come le aziende possono partecipare a dei bandi che permettano di accedere a contributi a fondo perduto per finanziare progetti di innovazione digitale e di sicurezza.