Come gestire correttamente account e privilegi di accesso in azienda

Il tema degli accessi privilegiati è molto caldo in questi ultimi mesi, per via dei numerosi data breach avvenuti. Quando si parla di PAM (Privileged Access Management), si aprono gli scenari più disparati: tra gli utenti c’è sempre chi deve avere la possibilità di installare gli aggiornamenti del gestionale, chi deve poter installare programmi ma non può accedere a certi file o chi deve avere un account amministratore perché un determinato software non funziona con un account standard, e via dicendo. Gestire i privilegi di accesso in azienda non è una passeggiata, se decidiamo di farlo con leggerezza rischiamo di perdere il controllo e la governance dei dati.

4 best practice da seguire per gestire i privilegi di accesso aziendali

Ecco qualche consiglio utile per gestire correttamente gli accessi:

  • Seguire il principio del minimo privilegio: ogni utente deve avere un account con i privilegi minimi necessari a consentirgli di svolgere il proprio lavoro.
  • Devono esistere account amministratori diversi per ogni specifica mansione, così che un amministratore che deve poter eseguire un aggiornamento del gestionale amministrativo, non abbia al contempo i privilegi per accedere ai dati di un’altra area aziendale a cui non ha bisogno di accedere.
  • Soprattutto gli account di servizio, devono essere limitati ad un singolo obiettivo e devono avere accesso solamente ai dati e ai software necessari per completarlo;
  • Verificare, di tanto in tanto, che ogni utente abbia ancora la necessità di avere determinati privilegi ed intervenire se necessario.

Queste indicazioni sono utili sia ad evitare danni accidentali ai dati, sia ad evitare accessi o danni intenzionali ai dati e alle piattaforme aziendali.

Facile a dirsi, ma gestire correttamente i privilegi è un’attività davvero complessa e time consuming se fatta manualmente.

SbPAM, la soluzione PAM di Netwrix per gestire in maniera automatizzata i privilegi di accesso

E se si potessero creare account di amministrazione temporanei, limitati ad una determinata risorsa o ad una determinata attività, che potessero essere facilmente cancellati al termine dell’attività? Da oggi si può!

Con SbPAM ogni account amministratore esiste solo temporaneamente, non c’è alcun account con privilegi permanenti. Ogni nuovo amministratore temporaneo viene creato in funzione delle necessità, accede solo alle risorse a cui deve accedere e per un tempo limitato al necessario. Un esempio? Potrai concedere un account amministratore temporaneo al responsabile amministrativo, così che possa aggiornare il software di contabilità, e al termine rimuovere completamente questo account amministratore, preservando però una traccia di ciò che è stato fatto. Puoi addirittura scegliere di conservare la registrazione dello schermo.

Ecco alcuni dei motivi per cui dovresti scegliere SbPAM per la gestione degli account aziendali:

  • Mai più account amministratori dimenticati o account di servizio permanenti;
  • Integrato con il domain controller, per automatizzare il provisioning di utenti e sessioni RDP;
  • Log completo di tutto ciò che è stato fatto (puoi anche registrare l’intera sessione!);
  • Ogni account amministratore può essere creato just-in-time o in maniera pianificata;
  • Integrabile con sistemi di autenticazione forte e MFA;
  • Ogni account amministratore non è più legato alla persona, ma all’attività da eseguire: completata l’attività, l’account viene eliminato;
  • Auditing semplificato e completamente automatico;

Ricorda: il 74% dei data breach sono legati ad un abuso degli account di amministrazione. I malintenzionati utilizzano sistemi di ricognizione e analisi della tua rete aziendale, effettuano il dumping delle credenziali tramite phishing o altre tecniche e, una volta ottenuto un accesso admin, entrano all’interno di diverse aree della rete con le tecniche di lateral movement. Se rimuoviamo dall’equazione gli innumerevoli account di amministrazione presenti sul domain controller, abbassiamo drasticamente le probabilità di riuscita di un attacco (anche dall’interno!).

Come implementare la soluzione PAM di Netwrix in azienda

Il sistema va adeguatamente configurato: affidati a noi, siamo Silver Partner di Netwrix. Richiedi una demo gratuita!

Adottare una soluzione PAM è utile anche a dimostrare una governance adeguata dei dati, che ti permetterà di rispondere perfettamente anche alle normative vigenti in materia di protezione dei dati.

Matteo Cecchini
Matteo Cecchini
m.cecchini@t-consulting.it

Una passione smisurata per la tecnologia, l’informatica e la cybersecurity coltivata fin da quando ero bambino si è poi trasformata in professione e questa poi in un progetto: T-Consulting. Negli ultimi 12 anni ho avuto il privilegio di guidare, insieme alla mia socia Vera, una squadra composta da fantastiche persone aiutando tante aziende a lavorare meglio, più in sicurezza ed in modo sempre innovativo. Ex sistemista, oggi mi occupo della direzione dell’azienda e del suo sviluppo commerciale.