Quando la sicurezza è una questione di convergenza

Sicurezza

La gestione del controllo degli accessi, unificando sicurezza fisica e
logica, è una questione annosa che attanaglia le imprese. Vnunet ha raccolto il
punto di vista di Imprivata

Quando si parla di accesso, generalmente il significato del termine varia a seconda della persona. Per i servizi generali di un’azienda ciò significa mettere in sicurezza i punti di accesso fisici e insegnare al personale a chiudere accuratamente tutte le porte e le finestre prima di uscire al termine della giornata lavorativa. Per i servizi informativi si tratta di una problematica mista che comprende sia l’assicurazione degli aggiornamenti con le patch più recenti, sia la gestione degli utenti remoti o mobili e garantire che ogni utente possa accedere unicamente alle applicazioni e ai dati per i quali ha l’autorizzazione. Questa situazione tuttavia sta cambiando: le aziende si interrogano sul modo in cui poter combinare la sicurezza fisica e quella logica per ridefinire la gestione delle identità e il controllo degli accessi. Il consolidamento delle credenziali degli utenti presenti su due sistemi separati, di sicurezza fisica e logica, concorre ad ottenere un miglior controllo degli accessi generando un maggior livello di sicurezza. Di seguito le linee guida che Vnunet ha raccolto da Imprivata.

Background della sicurezza convergente

La teoria della convergenza tra sicurezza fisica e logica è un argomento sul quale si discute da lungo tempo, ma storicamente la sua implementazione è stata virtualmente impossibile.I sistemi di controllo degli accessi It e fisici hanno sempre avuto poco in comune tecnologicamente, così la loro integrazione è sempre stata considerata costosa e complessa. La mancanza di interazione tra gli esperti di sicurezza fisica e i fornitori di information technology ha anch’essa contribuito ad impedire questo processo. Tuttavia la richiesta di sistemi di sicurezza convergenti è in aumento e oggi ciò significa che queste soluzioni possono generare un reale valore aggiunto. Implementare un sistema di sicurezza convergente richiede un approccio olistico tra le strutture di sicurezza fisica e It. La comprensione dei requisiti di entrambe le aree rappresenta la chiave per ottenere un sistema che risponda alle necessità dell’azienda. Uno dei fattori principali in grado di contribuire al raggiungimento di questo risultato è costituito dal fatto che, durante l’ultima decade, l’Ip è divenuto lo standard per i dispositivi dei sistemi di accesso fisico. Adottando questo protocollo comune si riducono le necessità di cablaggio, i tempi di implementazione e i costi, e si rende possibile la gestione e l’amministrazione tramite browser, aumentando nel contempo il dialogo tra l’It e coloro che hanno sotto la loro responsabilità la sicurezza fisica. Questi vantaggi hanno guidato molti fornitori di dispositivi per la sicurezza fisica verso la realizzazione di prodotti IP compatibili. Oggi, l’elenco degli apparati Ip compatibili è aumentato in maniera significativa e comprende le macchine fotografiche, i lettori di schede e gli apparati di controllo degli accessi. I produttori di soluzioni di sicurezza fisica e logica rispondono alla richiesta della clientela e comprendono l’importanza di supportare la convergenza. L’analisi della conformità alle norme di legge sta diventando un necessità per un numero sempre maggiore di aziende e gli auditor, rilevando le lacune presenti nella sicurezza aziendale, allertano i propri clienti affinché provvedano al più presto. Le capacità di monitoraggio e di reporting di un sistema stanno assumendo sempre maggiore importanza proprio per dimostrare la conformità con la legislazione vigente in materia. Normative quali Payment Card Industry Data Security Standard e Sarbanes-Oxley (Sox) richiedono la garanzia che le policy di sicurezza siano state definite ed adottate.

Dimostrare la conformità

Rispondere alle esigenze di conformità alle legge costituisce la prima parte del problema, dimostrare che sono state effettivamente messe in atto rappresenta la seconda, ma non per questo è ritenuta meno importante. Di conseguenza, il principale focus per la sicurezza fisica e la sicurezza logica è orientato ad assicurare che i dipendenti effettivamente osservino le norme di sicurezza aziendali. L’adozione di queste policy può rappresentare una sfida, specialmente se modificano il modo in cui i dipendenti sono abituati a lavorare. Con la convergenza di queste due discipline separate, l’applicazione delle policy ora è possibile in entrambi gli ambiti. Dal punto di vista della sicurezza fisica, le politiche possono assumere diverse forme: per un’azienda che abbia installato sistemi di sicurezza degli accessi alle porte, l’ingresso nell’edificio dovrebbe essere associato all’accesso al sistema degli accessi fisici. Mentre questa operazione può essere considerata obbligatoria per tutto il personale, provare effettivamente che chiunque si trova all’interno dell’edificio si sia registrato con un badge può rivelarsi problematico; un dipendente può evitare di registrarsi semplicemente accedendo contemporaneamente ad un’altra persona che effettua la registrazione per sé stessa. Questo processo viene definito ?tailgating? e ha come conseguenza il fatto che non esisterà nessuna registrazione dell’individuo che è entrato nell’edificio. Questo meccanismo non solo viola le regole di sicurezza dell’azienda relative agli accessi fisici, ma significa anche che risulterà più difficoltoso stilare una lista completa delle persone presenti nell’edificio in caso di incendio o di minaccia alla sicurezza. Collegare il sistema di accessi fisici all’infrastruttura It significa controllare in modo più severo i modelli di comportamento. Per esempio, in presenza di tailgating, a colui che non ha effettuato la registrazione con il badge può essere interdetto l’accesso agli asset It. Quando l’utente prova ad effettuare il log in, la rete It può automaticamente richiedere al sistema di accesso all’edificio di verificare se la persona si sia registrata. Se così non fosse, l’accesso può essere negato fino al passaggio del badge negli appositi lettori. Questo approccio rafforza la conformità alle policy, assicurando contemporaneamente una maggiore sicurezza dei sistemi interni. In quali altri modi può essere utilizzato questo sistema? Una carta di abilitazione all’accesso ad un edificio può essere utilizzata anche per consentire l’accesso al sistema It. Collegare una password utente alla carta di accesso può consentire all’azienda di applicare l’autenticazione forte sullo staff senza dover investire in token, schede o lettori biometrici. Dato che la maggior parte delle tessere di accesso agli edifici sono di fatto dispositivi RFID a corto raggio, un lettore Usb collegato ad un Pc può essere utilizzato per l’autenticazione sicura alla rete aziendale. Questo fattore addizionale può tranquillamente affiancare le password di accesso standard e garantire una maggiore sicurezza. Un approccio meno sofisticato alla convergenza, con il solo utilizzo delle tessere di accesso all’edificio, non integra tra loro i due sistemi. Invece di consentire al sistema di accesso It di interrogare il server dedicato agli accessi all’edificio, guidato da una policy di sicurezza, l’utente si registra all’interno di due sistemi completamente separati che però utilizzano la stessa smart card. Questa soluzione non permette una vera convergenza della sicurezza It e fisica a livello di sistema che consentirebbe invece di gestire e applicare le policy di sicurezza a livello fisico e di rete.

Controllo degli accessi convergente

Le aziende devono porre un’attenzione particolare anche al loro approccio per la gestione di queste aree. Storicamente i servizi generali si occuperebbero dell’aspetto fisico, mentre la parte It verrebbe gestita dall’It manager e dal suo team. Siccome queste due divisioni normalmente gestiscono budget completamente separati ed hanno obiettivi diversi, non ci sarebbero buone ragioni di collaborazione al medesimo progetto. In ogni caso, anche questa situazione sta cambiando: dato che molti sistemi di sicurezza fisica stanno diventando Ip compatibili, i servizi informativi vengono chiamati a partecipare alla gestione dei sistemi di sicurezza fisica. Un approccio di convergenza consente a entrambi i dipartimenti di ottenere le informazioni di cui necessitano a costi più contenuti di quanto sarebbe possibile con l’utilizzo di sistemi separati. Ciò consente inoltre il riutilizzo e l’eliminazione di sovrapposizione delle risorse dedicate alla gestione della sicurezza, per esempio per le attività di emissione di carte e la loro gestione. Contemporaneamente, la convergenza degli accessi fisici e logici viene collegata anche ad altre misure di sicurezza It. Un ottimo esempio in questo senso è il single sign-on. Le aziende stanno implementando soluzioni di single sign-on per permettere agli utenti di effettuare il login per tutte le applicazioni alle quali sono autorizzati tramite una password singola e complessa o tramite sofisticati meccanismi di autenticazione. Il single sign-on riduce le problematiche di gestione delle password che incidono sui costi di helpdesk per un 40%, aumentando al tempo stesso la produttività del personale. La capacità di integrare un sistema di sicurezza fisica in una soluzione di single sign-on soddisfa la necessità di strong authentication e concorre a realizzare un ritorno degli investimenti sull’intero progetto. Il termine ?convergenza? ha incominciato ad apparire in diverse aree del panorama della sicurezza fisica e logica. In questo caso, l’utilizzo congiunto di sistemi di accesso agli edifici e di sicurezza IT può dare luogo a un’infrastruttura molto più sicura sotto tutti gli aspetti, mentre saranno evidenti i benefici legati ai costi rispetto a quelli da sostenere per le tradizionali soluzioni separate. L’auditing e il reporting all’interno di un ambiente convergente sono più semplici: un unico punto di osservazione sulla sicurezza, sia degli edifici che sugli asset IT, facilita considerevolmente l’onere di verificare che il personale rispetti le regole aziendali. Un sistema di sicurezza convergente per gli accessi fisici e It crea un infrastruttura nella quale il beneficio d’insieme è maggiore rispetto alla somma delle singole parti che la compongono.

Conclusioni

I tempi della sicurezza stanno cambiando. Un tempo il problema della gestione degli accessi fisici all’azienda era un problema del responsabile dei servizi generali, mentre quello degli accessi ai sistemi informativi era gestito direttamente dal responsabile It. Oggi il problema degli accessi, delle identità e della sicurezza in generale è un problema che coinvolge l’intera azienda.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore