Buongiorno a tutti,
pongo uno spunto di riflessione in tema sicurezza.
Una regola piuttosto ovvia e, per le p.a., ampiamente sviluppata anche nelle misure minime di sicurezza AgID è che alle postazioni delle organizzazioni si accede con profili di autorizzazione che hanno permessi e privilegi al minimo necessario per condurre le operazioni richieste all’utente che vi accede. Questo sia per limitare i pericoli che vengono dall’interno (dall’utente, non necessariametne per suo dolo) e quelli che vengono dall’esterno (se un esterno si impossessa della sessione o della credenziali dell’utente non puo’ fare troppi danni).
In piu’ poi le postazioni dell’organizzazione, fatto anche questo sviluppato nelle misure minime, sono controllate e protette da virus e minacce varie.
Molte soluzioni SaaS offerte alla p.a. prevedono l’accesso web agli applicativi anche da fuori della rete interna dell’amministrazione. Da un lato cio’ consente di lavorare agilmente in mobilità, dall’altro pero’ si effettua l’accesso da postazioni fuori dal controllo dell’amministrazione e sulla cui sicurezza non si possono avere informazioni (esempio: l’utente ignaro potrebbe essere infettato da qualche malware che gli carpisce le password di accesso). Ciò espone i dati dell’amministrazione a un evidente riscchio.
Estemporaneamente mi sono fatto un paio di idee “naif” per mitigare questi rischi. Ci sono invece indicazioni autorevoli al riguardo? Spunti? Soluzioni? Raccomandazioni?