Controllo degli accessi e analisi dei rischi in sicurezza informatica
Con il termine controllo degli accessi, in sicurezza informatica, s’intende l’insieme di politiche, modelli e meccanismi che definiscono le autorizzazioni di un utente; essendo l’accesso la capacità di agire su una risorsa (come ad esempio leggerla, modificarla, rinominarla o eliminarla), il controllo d’accesso è il modo attraverso il quale questa capacità viene regolata. Il controllo degli accessi assicura che un utente possa utilizzare solo ciò che è a lui strettamente necessario, al fine di impedire la divulgazione e la modifica non autorizzata di informazioni (violazione delle caratteristiche di confidenzialità e integrità) pur mantenendone la disponibilità. I metodi classici di controllo stabiliscono l’accesso degli utenti alle risorse applicando un insieme di regole statico e definito a priori.
Il sistema di gestione del rischio (risk management) è il processo mediante il quale si misura, o si stima, il rischio e, successivamente, si sviluppano le strategie per governarlo. Si distingue in due componenti chiave: l’analisi del rischio (risk analysis o risk assessment) e il controllo del rischio (risk control).
In termini generali, l’analisi del rischio corrisponde alla disciplina che permette di valutare i rischi conseguenti al verificarsi di eventi dannosi per la sicurezza, mettendo in relazione gli impatti attesi con la probabilità del verificarsi di tali eventi. L’analisi del rischio, quindi, rappresenta uno strumento efficace per guidare le scelte per il miglioramento della sicurezza delle informazioni.
Una volta individuati i rischi, bisogna controllarli. Inizia quindi la fase di controllo del rischio, il cui obiettivo è quello di concentrare le risorse in modo efficiente e razionale rispetto ai costi.
Recentemente, è emersa la consapevolezza del rischio nel controllo degli accessi come tema di ricerca importante per ridurre i rischi derivanti dall’uso improprio, da parte degli utenti, dei privilegi di accesso alle risorse in contesti diversi. La consapevolezza dei rischi nel controllo degli accessi è un problema nuovo; diversi autori hanno condotto una ricerca in questo campo tentando, in particolare, di coniugare un approccio alla gestione del rischio con i diversi sistemi di controllo degli accessi. Un sistema di controllo consapevole dei rischi, si differenzia dai sistemi tradizionali, basati su criteri predefiniti che danno sempre gli stessi risultati, in quanto permette /nega le richieste di accesso in modo dinamico sulla base del rischio stimato citeriskRBAC.
L’importanza dello studio del rischio nel controllo degli accessi emerge dal rapporto del CSI Computer Crime e Security Survey relativo agli anni 2010-2011, il quale evidenzia che gli attacchi dall’interno rappresentano il 33% degli incidenti totali rilevati nel 2010. Un attacco inside viene eseguito da persone che sono legittimamente autorizzate ad eseguire determinate attività. Le conseguenze di attacchi dall’interno possono essere devastanti e possono comportare ingenti perdite monetarie, nonché un impatto negativo sull’immagine aziendale con perdita di clienti. Secondo la letteratura scientifica, il danno economico dovuto agli attacchi interni varia da diverse centinaia di dollari fino a decine di milioni di dollari. Circa il 75% delle imprese ha avuto un impatto negativo per le proprie operazioni di business e il 28% ha avuto un impatto negativo per la propria immagine.
