Password Management
IT Security

IT outsourcing: come renderlo sicuro

Molte aziende, esternalizzano in parte o completamente i loro servizi IT a fornitori di terze parti per vari motivi: risparmio sui costi di gestione, maggiori competenze, rapidità nella gestione delle problematiche e altri aspetti critici. Spesso attività come sviluppo software, gestione della rete, assistenza clienti e gestione del data center sono in outsourcing.

Le persone che lavorano con il service provider, dovrebbero avere un accesso remoto privilegiato ai server, database, dispositivi di rete e altre applicazioni per adempiere i propri obblighi contrattuali. In genere, in ambienti IT in outsourcing, i tecnici che lavorano con il service provider sono dislocati in un altro posto e accedono alle risorse IT dell’azienda in remoto tramite VPN.

Accessi Amministrativi non controllati – Una potenziale minaccia alla sicurezza

Con un accesso da remoto privilegiato che garantisce il controllo completo e illimitato di risorse fisiche e virtuali, i tecnici esterni diventano “virtualmente” interni e, in alcuni casi hanno addirittura più poteri di loro. Questi accessi non controllati, sono una potenziale minaccia alla sicurezza e possono mettere a repentaglio la vostra attività.

Un tecnico, potrebbe creare seri problemi sulla rete o rubare le informazioni dei clienti, provocando danni irreparabili al vostro business e alla vostra reputazione. In realtà, l’analisi di molti cyber incidents, ha rivelato che l’uso improprio di un accesso privilegiato è stato la causa principale di problemi. Negli ambienti IT in outsourcing, è fondamentale tenere sotto controllo questi accessi e monitorare le azioni sulle risorse critiche sia per proteggersi sia per prevenire eventuali attacchi.

Misure di sicurezza essenziali per gli ambienti in outsourcing

  • L’inventario di risorse/asset IT accessibili dai tecnici di terze parti deve essere sempre aggiornato
  • I tecnici di terze parti, devono avere l’accesso solo alle risorse strettamente indispensabili al loro lavoro
  • L’accesso deve essere concesso senza rivelare le password. Questo significa che i tecnici dovrebbero accedere alle risorse senza vedere le password in chiaro.
  • Il meccanismo di accesso remoto deve essere veramente sicuro
  • Tutte le attività effettuate dovrebbero essere monitorate e video-registrate. Ogni attività “sospetta” dovrebbe essere bloccata.
  • Deve essere tenuto un registro a prova di manomissione su chi, dove e quando è eseguito un accesso
  • Migliorare la gestione delle password: utilizzo di password complesse, frequente variazione. Queste regole dovrebbero essere applicate rigorosamente.

Questi semplici aspetti inerenti la sicurezza, sono difficili da implementare senza l’aiuto di una soluzione software adeguata. L’approccio manuale al consolidamento, messa in sicurezza, controllo, gestione e monitoraggio degli account privilegiati, non è solo poco agevole e con tempi lunghi di gestione, è anche altamente insicuro.

I prossimi suggerimenti nella prossima puntata, continuate a seguirci!

By
Written by:

Bludis è il distributore ufficiale in Italia delle soluzioni ManageEngine. Da oltre 25 anni si occupa della distribuzione di soluzioni ICT e della fornitura di una vasta gamma di servizi a valore aggiunto per consentire il massimo livello di soddisfazione possibile per Vendor, Reseller e End-User

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

MODIFICA CONSENSI