Non è una questione di lavoro. O meglio, non lo è solo. Quasi fosse un triste effetto collaterale, il profilarsi minaccioso di esuberi conseguenti alla recessione ha evidenziato un aumento di furti di dati di alto profilo. In particolare nel Regno Unito e negli USA, i media riportano regolarmente casi di accessi non autorizzati a dati aziendali sensibili. Un esempio su tutti, proveniente dagli Stati Uniti: al California Water Services Company, un revisore dei conti – dopo essersi dimesso – è entrato illegalmente nel sistema informatico e ha sottratto oltre 9 milioni di dollari prima di lasciare la società. Oltre ad essere eticamente deprecabili, questi casi mettono in luce preoccupazioni legate alla protezione dei dati. Se le aziende non hanno visibilità su chi accede ai dati riservati, si espongono al rischio di perdere molto di più dei soli dati critici, ma anche la propria reputazione e, di conseguenza, i propri clienti. Sfortunatamente, questo è solo l’ultimo episodio di una lunga epopea di falle alla sicurezza di cui siamo venuti a conoscenza. Una ricerca condotta per Symantec dal Ponemon Institute ha indicato come il 59% degli ex dipendenti abbia ammesso di aver sottratto informazioni aziendali confidenziali, come ad esempio la lista dei clienti. E’ un numero straordinariamente alto, che ci incoraggia a considerare come questi furti possano essere prevenuti agendo d’anticipo. Davvero tutti questi dipendenti avevano necessità di accedere a dati così importanti? Se la risposta è no, probabilmente i senior executive dovrebbero ripensare le proprie policy di access management e garantirsi visibilità su quali dati possono essere condivisi, da chi e perché. Senza questo controllo, le aziende si espongono a potenziali rischi provenienti dal personale attuale, dal personale che potrebbe risultare presto in esubero, o da persone che hanno fatto parte dell’azienda in passato. Per proteggersi, le organizzazioni possono affidarsi a strumenti di sicurezza, come ad esempio associare Strong Authentication e Single Sign-On (SSO), per autenticare e tenere traccia di ogni accesso. Questo approccio permette al management di poter controllare l’intera organizzazione, evitando che si verifichino accessi indebiti. Incredibilmente, non è affatto raro che un dipendente continui ad aver accesso alle applicazioni aziendali anche dopo che si sia chiuso il suo periodo lavorativo. Diverse aziende semplicemente non si preoccupano di sospendere gli accessi, e quindi le identità degli utenti rimangono aperte e vulnerabili per un periodo di tempo irragionevolmente lungo. Dato che le organizzazioni ospitano sempre più spesso le loro applicazioni su sistemi web-based, potrebbero addirittura non sapere che un determinato dipendente abbia ancora accesso a determinate applicazioni. Per tutto questo tempo, l’ex dipendente sarà in grado di accedere a informazioni importanti, potenzialmente di grande valore per la concorrenza. Questo inutile rischio espone le imprese a danni concreti, che potrebbero essere facilmente evitati con una veloce disattivazione dell’accesso. Proprio per evitare questi errori, le aziende dovrebbero assicurarsi completa visibilità sui registri degli accessi, sui diritti di accesso del personale, e sugli account che devono essere rimossi. Disattivare un account che non ha più un legittimo titolare è un primo e importante passo verso la completa sicurezza dell’azienda. È fondamentale che le imprese possano verificare a quali sistemi hanno accesso i diversi dipendenti, e possano revocare questo accesso a chi lascia l’azienda. Senza questo livello fondamentale di access management, le aziende non sono in grado di mantenere nemmeno un controllo di base sulle risorse più preziose di cui dispongono: i loro dati. Se chiudere gli account è un passo fondamentale da compiere alla conclusione di un contratto lavorativo, è altrettanto importante che gli accessi vengano gestiti in modo efficiente durante il periodo lavorativo. Quando si definiscono i livelli di accesso per i dipendenti, è molto importante permettere loro di accedere alle informazioni di cui necessitano per eseguire il proprio lavoro, ma al minimo livello possibile. Tenendo traccia in modo completo di questi privilegi di accesso con strumenti quali il Single Sign-On, i senior executive possono garantirsi che i problemi di accesso non restino inosservati, ed avere in ogni momento il controllo su chi ha accesso a che cosa e per quanto tempo. Impostare un controllo di base degli accessi è semplice. È consigliabile iniziare con una riflessione su quali utenti hanno l’esigenza di accedere a quali informazioni. Analizzando in primo luogo quali sono necessari al personale per svolgere il proprio lavoro, è possibile individuare limiti ragionevoli per l’accesso al di fuori di quelle determinate mansioni. Tradurre in pratica questi diritti di accesso non è così complesso come si potrebbe pensare. Una tecnologia come il Single Sign-On rende semplice e veloce l’abilitazione degli utenti e l’assegnazione dei diritti, mentre l’utilizzo della strong authentication, come ad esempio quella offerta dalle tecniche biometriche, può garantire che sia la persona giusta ad accedere ai dati che è autorizzata a consultare, proteggendo quindi i dati sensibili. Nel mercato attuale, la capacità di mantenere questo tipo di informazioni è più importante che mai, non solo per la conformità alle norme e la serenità aziendale, ma anche per proteggere le due “R” più importanti: i ricavi e la reputazione.
