menu di navigazione del network

Sicurezza, misure minime e SaaS

Buongiorno a tutti,
pongo uno spunto di riflessione in tema sicurezza.
Una regola piuttosto ovvia e, per le p.a., ampiamente sviluppata anche nelle misure minime di sicurezza AgID è che alle postazioni delle organizzazioni si accede con profili di autorizzazione che hanno permessi e privilegi al minimo necessario per condurre le operazioni richieste all’utente che vi accede. Questo sia per limitare i pericoli che vengono dall’interno (dall’utente, non necessariametne per suo dolo) e quelli che vengono dall’esterno (se un esterno si impossessa della sessione o della credenziali dell’utente non puo’ fare troppi danni).
In piu’ poi le postazioni dell’organizzazione, fatto anche questo sviluppato nelle misure minime, sono controllate e protette da virus e minacce varie.

Molte soluzioni SaaS offerte alla p.a. prevedono l’accesso web agli applicativi anche da fuori della rete interna dell’amministrazione. Da un lato cio’ consente di lavorare agilmente in mobilità, dall’altro pero’ si effettua l’accesso da postazioni fuori dal controllo dell’amministrazione e sulla cui sicurezza non si possono avere informazioni (esempio: l’utente ignaro potrebbe essere infettato da qualche malware che gli carpisce le password di accesso). Ciò espone i dati dell’amministrazione a un evidente riscchio.

Estemporaneamente mi sono fatto un paio di idee “naif” per mitigare questi rischi. Ci sono invece indicazioni autorevoli al riguardo? Spunti? Soluzioni? Raccomandazioni?

2 Mi Piace

Mi uppo, scusate.
Sperando che l’attuale emergenza sanitaria non sia il colpo di grazia a ogin veleità di applicare qualche principio base della sicurezza informatica all’imperante paradigma cloud…
… passato tutto tutto qualcuno si impegna a fare un po’ d’ordine e mettere qualche paletto?

Accedere alle gare in corso da ogni dove e’ bellissimo. Farlo mettendo user e password un po’ meno. Lo stesso per il gestionale delle pratiche edilizie o dei tributi…
In questi giorni di scelte da adottare velocemente ne passano davanti agli occhi di ogni tipo, speriamo di non doversi turare il naso troppo.

Correttivi ce ne sono tanti:

  • notifica di accesso da fuori rete locale;
  • aggiunta di un fattore di autenticazione;
  • SPID livello 2;
  • soluzioni google-like che annusano il collegamento da postazioni insolite…
  • certificati di postazione…

Poi qualche indicazione: mi collego a AD/LDAP oppure no? se si’ con quali accorgimenti? prevedo metodi diversi per accessi da rete locale o da fuori? ecc.