Governance

Come condurre una revisione periodica degli accessi utente

La revisioni degli accessi per l’enterprise identity and access management (IAM) è un’attività fondamentale da effettuare con regolarità per garantire il corretto accesso alle risorse aziendali. Ecco i passaggi importanti da tenere a mente

Pubblicato il 03 Lug 2015

cybersecurity-security-sicurezza-130624173146

Il controllo dei privilegi di accesso è un’attività fondamentale per garantire la sicurezza in azienda. Ed è importante che questo controllo venga effettuato con regolarità.

Da dove partire? E’ possibile stilare una sorta di guida per i responsabili di sicurezza, i revisori interni, i responsabili delle applicazioni, i responsabili del trattamento dei dati e gli amministratori incaricati, per garantire che tutti lavorino a partire dallo stesso insieme di indicazioni e aspettative?

Di seguito elenchiamo i passi principali per stilare questo promemoria da rivedere con regolarità:

  1. Identificare i responsabili di ciascuna applicazione
  2. Incaricare i responsabili di business di classificare i dati nelle loro applicazioni. La policy aziendale dovrebbe definire le differenti classificazioni
  3. Se non c’è una policy sulla periodicità delle revisioni degli accessi basata sulla classificazione dei dati, crearne una. Consiglio: l’accesso alle applicazioni “critiche” dovrebbe essere revisionato trimestralmente, e ogni applicazione dovrebbe avere una revisione condotta almeno su base annuale
  4. Il responsabile di business dovrebbe individuare chi utilizza l’applicazione (e approvarne o meno l’utilizzo). Si raccomanda questo approccio perché il responsabile di business potrebbe non conoscere quali individui dovrebbero avere accesso all’applicazione (essendo questa una decisone solitamente demandata ai responabili di area che riportano al responsabile di business), ma questi ultimi dovrebbero sapere quali sono i reparti e quale livello di accesso è appropriato. Alla fine di questa fase ci dovrebbero essere due liste: i reparti approvati e quelli non accettati
  5. Notificare ai responsabili dei reparti “rifiutati” che le persone nel loro reparto avranno il proprio accesso rimosso dall’applicazione. Prevedere un adeguato periodo di tempo (un paio di settimane) per la negoziazione fra il responsabile di reparto e del business
  6. Inoltrare ai responsabili dei reparti approvati una lista di tutti i loro collaboratori con accesso alle applicazioni e dar loro un paio di settimane per approvare ciascun soggetto. Ci dovrebbero essere due nuove liste alla fine di questo passaggio: gli utenti approvati e quelli non accettati
  7. Rimuovere l’accesso degli utenti rifiutati
  8. Assicurarsi che tutte le transazioni di approvazione siano registrate in una maniera verificabile


Inoltre, una best practice indipendente ma importante è assicurarsi che la separazione dei compiti fra sviluppatori, responsabili del trattamento dei dati e amministrazione IT sia ben definita e documentata.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2