Articoli

MFA: l’importanza crescente dell’autenticazione a più fattori

Ogni realtà aziendale, al di là delle dimensioni e del settore in cui opera, si trova a gestire quotidianamente un’enorme quantità di dati, la cui riservatezza deve essere garantita in ogni momento.

La protezione del patrimonio informativo aziendale rappresenta infatti una delle sfide più urgenti e cruciali che il top management deve affrontare in questo periodo, e si concretizza nella capacità di mettere al riparo le risorse critiche da accessi illeciti o non autorizzati.

L’esponenziale accelerazione dei processi di lavoro da remoto ha reso necessaria una riconsiderazione attenta delle modalità di accesso a distanza a dati e risorse, all’interno di una strategia di gestione del rischio che non può essere più confinata alla difesa del perimetro fisico aziendale.

Smart-working: identità digitali in pericolo

Di pari passo con l’aumento degli smart-worker (saliti, solo in Italia, da 570mila a 8 milioni durante il periodo di lockdown (1)), è stato registrato un incremento consistente dei reati informatici a danno degli utenti, ed in particolare delle loro identità. C’è chi parla addirittura di una cyber-war, descrivendo la guerra informatica sviluppatasi negli ultimi mesi, dove phishing e furto di credenziali sono le armi più utilizzate per perpetrare attacchi sempre più sofisticati ed efficaci.

Secondo l’ultimo report pubblicato da Verizon (2), più dell’80% dei data breaches conseguenti un attacco informatico hanno avuto origine dall’utilizzo fraudolento di credenziali perse o rubate.

L’interesse da parte dei cyber-criminali per le informazioni personali d’accesso, specialmente se connesse ad account privilegiati, si è pesantemente accentuato nell’era dello smart-working. Di conseguenza, il furto d’identità rappresenta una minaccia più che mai attuale, andando a configurarsi come un crimine poco rischioso e molto remunerativo agli occhi dei malintenzionati, ma estremamente dannoso per chi ne diviene vittima.

MFA: l’approccio combinato per la sicurezza degli accessi

Alla luce della situazione che stiamo vivendo, diviene di fondamentale importanza agire preventivamente, rafforzando in primo luogo la sicurezza degli accessi ai dati e alle risorse aziendali.

Elemento cardine di un efficace sistema di identity and access management è l’autenticazione multifattore (MFA – multi factor authentication), che consiste nell’aggiungere ulteriori livelli di sicurezza alle procedure di login al fine di ridurre considerevolmente il rischio di accessi non autorizzati. Si richiede pertanto la combinazione di due o più criteri distinti di identificazione prima di autorizzare l’accesso ad un sistema protetto.

Nello specifico, l’autenticazione avviene richiedendo all’utente una combinazione di:

  • Qualcosa che conosce: per esempio una password, un PIN, una domanda di sicurezza;
  • Qualcosa che possiede: per esempio uno smartphone, un badge, una smart card, one-time-password, un token, una security key;
  • Qualcosa che egli è: per esempio la sua impronta digitale, riconoscimento del volto, della retina o della voce.

 

 

I tradizionali metodi di autenticazione, basati perlopiù sulla semplice richiesta di username e password, non sono più sufficienti a garantire un livello di sicurezza adeguato al rischio, essendosi dimostrati altamente vulnerabili ad attacchi e violazioni. Basti pensare che, come emerso da una recente indagine condotta da Kaspersky (3), un utente su due ammette di non ricordare le proprie password e di non essere in grado di verificare se le proprie credenziali siano state compromesse. In aggiunta, i rimedi messi in atto dagli stessi utenti rappresentano comportamenti altrettanto scorretti, come la trascrizione delle password su un’agenda, su un post-it attaccato al computer, su un file conservato nel pc o su una chiavetta Usb.

Metodi di autenticazione obsoleti, sommati a comportamenti disattenti da parte degli utenti, non possono che costituire un rischio rilevante per il patrimonio informativo, sia personale che aziendale.

IAM + MFA: la combinazione vincente per sicurezza e compliance

Come recentemente raccomandato anche da Gartner, una gestione ottimale del rischio aziendale non può più prescindere dall’implementazione di meccanismi di multi factor authentication a sostegno di un sistema robusto di gestione degli accessi e delle identità.

Bisogna infatti tenere presente che qualsiasi altra misura di sicurezza per il monitoraggio della rete, come antivirus, firewalls, sistemi per la rilevazione di malware o vulnerabilità, perde completamente la propria efficacia di fronte ad un accesso effettuato mediante credenziali valide ma rubate. Un login apparentemente autentico rappresenta infatti una via d’accesso indisturbata che può essere sfruttata per molto tempo e per svariati intenti illeciti, dal furto di dati allo spionaggio industriale.

Rafforzando i meccanismi di autenticazione attraverso la richiesta di più fattori, il furto d’identità diventa una via estremamente difficile da percorrere: anche riuscendo ad intercettare la prima informazione (es. una password), la mancanza del secondo fattore di autenticazione (es. un token in possesso del solo utente, oppure la sua impronta digitale) renderà l’attacco molto più difficile da conseguire.

Ad oggi, in Italia, soltanto il 38% delle aziende dichiara di utilizzare l’autenticazione a più fattori nella gestione degli accessi (4), una percentuale più alta della media globale (27%) riportata nel CISO Benchmark Report 2020, ma ancora piuttosto bassa per una tecnologia in grado di portare rilevanti benefici nell’ottica della sicurezza aziendale. Il dato italiano si attesta comunque come il più alto a livello EMEAR.

L’adozione di sistemi IAM integrati con meccanismi di MFA permette altresì di coniugare le esigenze di sicurezza con quelle di compliance, poiché la protezione degli accessi e i meccanismi di strong authentication stanno gradualmente assumendo le caratteristiche di requisiti normativi. GDPR, standard NIST, PSD2 sono esempi di realtà giuridiche che si stanno dirigendo verso l’integrazione, diretta o indiretta, della MFA all’interno dei propri requisiti, avendo ben chiaro come la protezione degli accessi sia il primo elemento necessario per la protezione delle identità e la sicurezza delle transazioni online.

Agire in ottica preventiva sulla sicurezza degli accessi, specialmente in un periodo in cui i rischi sono accentuati dalla gestione di una forza lavoro distribuita, non può più essere considerata un’opzione facoltativa. All’opposto, l’implementazione di meccanismi di strong authentication all’interno di sistemi di identity and access management deve essere considerata una misura di sicurezza sistematicamente necessaria, da contemplare all’interno dei piani aziendali di business continuity e crisis management.
Solo in quest’ottica le procedure di cyber-security potranno tradursi in una strategia più ampia di cyber-resilience, in cui la protezione dei dati, attraverso la gestione degli accessi, diviene il primo fondamentale tassello per la sicurezza aziendale.

Contattaci per scoprire come le funzionalità MFA di Monokee possono aiutarti a garantire la riservatezza dei tuoi dati, riducendo rischi, tempi e costi connessi alla gestione degli accessi alle risorse aziendali.

____

(1) Dati Osservatorio Smart Working del Politecnico di Milano.

(2) 2020 Data Breach Investigations Report – Verizon.

(3) Defending digital privacy: taking personal protection to the next level – Kaspersky/Toluna 2020.

(4) CISO Benchmark Report 2020 – Cisco 2020.

 

CYBER (IN)SECURITY: percezione e contenimento di una minaccia globale

Trattandosi di un bene intangibile, la sicurezza dei dati e degli ambienti informatici ha occupato per molto tempo una posizione marginale all’interno delle aziende.

L’evoluzione incessante che da sempre ha caratterizzato il mondo tecnologico non viaggiava infatti di pari passo con l’evoluzione della consapevolezza dei rischi e della necessità di adottare appropriate contromisure in materia di cyber security.

Tuttavia, la minaccia ha gradualmente assunto proporzioni mai viste, ed anche chi valutava la sicurezza informatica una questione poco rilevante ha iniziato a prendere in considerazione il rischio di poter diventare egli stesso vittima degli attacchi, sempre più numerosi e difficili da arginare.

CYBER SECURITY: tra sicurezza oggettiva e soggettiva

Attacchi in continua crescita

Lo scenario che emerge dall’ultimo Rapporto Clusit in materia di sicurezza informatica, a livello nazionale ed internazionale, è tutt’altro che rassicurante.

Ci si rivolge al 2019 definendolo come “l’anno peggiore di sempre” in cui “si è oltrepassato un punto di non ritorno” nell’ambito della cyber security. Questo perché stiamo assistendo ad una mutazione rapidissima delle minacce, degli attori e delle modalità di attacco, in grado di provocare impatti sempre più gravi ed efficaci nei confronti dei target designati.

I dati delineano infatti un trend in continua crescita: a livello mondiale, il numero di attacchi gravi registrati nel 2019 riporta una differenza di +37.5% rispetto alla media del numero di attacchi per anno rilevati negli ultimi 6 anni. A parità di criteri di classificazione, il numero di attacchi di pubblico dominio avvenuti nel 2019 ha visto un incremento del +91.2% rispetto allo stesso dato del 2014.

Nella maggior parte dei casi (83%) la causa dell’attacco ad oggi è il Cybercrime, in aumento del +12.3% rispetto al 2018 e del +163% rispetto al 2014.

Tuttavia, il Rapporto Clusit sottolinea come tali cifre rappresentino solamente una parte del dato reale, nella misura in cui comprendono solamente gli attacchi andati a “buon fine”, o perlomeno quelli di cui le vittime hanno preso coscienza.

Rischio Cyber: al primo posto tra le preoccupazioni dei business leaders

Ciò che si inizia a rilevare, come mai prima d’ora, è un’evoluzione nella percezione che si ha riguardo il pericolo di poter essere vittima di un attacco informatico. La percezione del cyber-risk, specialmente dal punto di vista aziendale, sta divenendo infatti sempre più diffusa e manifesta.

Secondo il Regional Risk for Doing Business Report 2019 realizzato dal World Economic Forum, la preoccupazione legata al rischio cyber a livello globale è in netto aumento, salita al secondo posto fra i timori maggiormente sentiti dai business leaders, rispetto al quinto posto registrato nel 2018. In Italia ed in Europa questa paura si classifica addirittura al primo posto.

Similmente, il rischio di frodi o furto di dati rientra nella top 5 in Italia, mentre a livello europeo e globale si colloca rispettivamente al sesto e settimo posto. Si tenga presente che, fino al 2012, gli attacchi informatici non erano nemmeno classificati all’interno del Report, ma solo menzionati marginalmente come “nuovi rischi da considerare”.

Sulla stessa linea, secondo il BCI Horizon Scan Report 2019 pubblicato dal Business Continuity Institute, le preoccupazioni connesse agli attacchi informatici e alla violazione dei dati sono rispettivamente al primo e al secondo posto, a livello globale, tra le minacce maggiormente temute dalle organizzazioni. Il dato, confermato anche per il 2020 (BCI Horizon Scan Report 2020), non era mai stato in posizione apicale negli anni precedenti.

Se pur in un approccio differente, lo stesso concetto traspare dallo studio condotto nell’ottobre 2019 da Netwrix, incentrato sulle priorità verso cui i professionisti IT si sarebbero focalizzati nell’anno successivo. Sia a livello italiano che a livello globale, il primo posto è occupato dalla sicurezza dei dati, riflesso della crescente preoccupazione che si registra in merito ai rischi, percepiti e reali, in materia di cyber-security. Interessante notare che, nel caso italiano, la seconda priorità in classifica è la privacy dei dati, che invece occupa il quarto posto a livello globale (anticipata dall’automazione delle operazioni manuali e dalla consapevolezza della cyber security tra i dipendenti).


Le motivazioni alla base del cambio di rotta al quale stiamo assistendo possono essere molteplici.

Innanzitutto, dal punto di vista finanziario, l’impatto di un attacco informatico a livello aziendale porterebbe pesanti ripercussioni in ambito economico. Oltre al danno diretto provocato da un’interruzione del servizio, si somma l’aspetto sanzionatorio previsto dal GDPR in caso di data breach o diffusione di dati personali, che può raggiungere i 20 milioni di euro o fino al 4% del fatturato globale dell’organizzazione.

Impattanti, sia a livello di tempo che di risorse, sono inoltre i costi di arginamento di un possibile attacco, specialmente se derivanti da carenze pregresse in termini di struttura, strumenti e coscienza aziendale dei rischi.

È da considerare inoltre il danno reputazionale, non quantificabile ma in grado di intaccare sensibilmente l’immagine aziendale, la fidelizzazione dei clienti e la credibilità costruita nel tempo.

MFA: l’importanza di un approccio basato sul rischio

Dopo il primo traguardo raggiunto a livello di consapevolezza globale del rischio, diviene ora indispensabile agire in vista dell’implementazione di adeguate strategie per mitigare la propria esposizione alle minacce, facendo convergere sicurezza soggettiva ed oggettiva.

Consapevolezza e formazione aziendale devono infatti essere accompagnate da appropriate procedure di governance, event e incident management, al fine di rilevare tempestivamente eventuali attacchi, adottando efficaci strategie di contenimento e recupero.

In questo senso, l’ultimo Rapporto Clusit pone l’attenzione sull’importanza di normare e proteggere l’accesso ai dati e alle risorse critiche aziendali, attraverso tecniche il più efficaci possibile.

Il riferimento è alla Multi-Factor Authentication (MFA) descritta come “la strada più promettente”, più robusta e più difficile da aggirare ad oggi disponibile sul mercato. La possibilità di combinare più metodi di autenticazione, aggiungendo ulteriori livelli di sicurezza agli accessi ed alle transazioni, rende la compromissione del sistema molto più complessa e difficile da conseguire, mantenendo al sicuro i dati aziendali.

Tra le diverse urgenze del momento, non va quindi trascurata l’importanza di rafforzare la protezione delle risorse aziendali da accessi illeciti o non autorizzati, incentivando il cosiddetto risk-based approach.

Una protezione, quindi, che va oltre la difesa fisica del perimetro aziendale, per incentrarsi sulla tutela del patrimonio informativo, bene intangibile ma non per questo secondario.

Pertanto, la sedimentazione di una cultura del rischio, opportunamente supportata da misure tecniche ed organizzative preventive, è la strategia auspicabile in questo panorama di incertezza, in grado di trasformare le sfide aziendali in opportunità.

 

Scopri come le funzionalità MFA di Monokee ti possono aiutare a scongiurare accessi non autorizzati ai tuoi dati aziendali.