Eliminare le password con un approccio Zero Trust

Tutti odiano le password. Anche tu, ammettilo!

Sono una perdita di tempo: difficili da ricordare (soprattutto quelle consigliate, composte da una combinazione di lettere, numeri, maiuscole e simboli), lunghe da inserire e fastidiose da reimpostare. Ma, soprattutto, sono una delle principali fonti di violazione dei dati aziendali sul cloud.

Da quando i dipendenti hanno cominciato a lavorare in mobilità, e quindi al di fuori del perimetro IT aziendale, la sicurezza basata sulla password non è più sufficiente. L’accesso alle informazioni avviene da una varietà di dispositivi, applicazioni, reti, luoghi e servizi non attendibili. Basta pensare che solo il 75% degli utenti usa la VPN aziendale, molti si collegano da reti non sicure come wi-fi pubblico nei caffè o nelle piazze.

La verifica avviene sull’utente, non sul contesto (dispositivo, app o rete utilizzata). Una volta rubata o compromessa la password, non ci sono altre “barriere” all’ingresso delle minacce.

La cosa assurda è che le aziende stanno effettuando grandi investimenti e spendendo tanto per la sicurezza (120 miliardi all’anno, secondo Forrester), eppure due terzi di esse subiscono lo stesso delle violazioni durante l’anno (data breach). Il motivo è da individuarsi proprio nelle password. Secondo Verizon Data Breaches Investigations, l’81% delle violazioni riguarda password deboli o rubate.

Vivere in un mondo password-less

La stragrande maggioranza delle aziende, infatti, per autenticare gli utenti usa ancora tecnologie tradizionali come le password. Anche metodi di autenticazione più avanzati come il Single-Sign On comunque richiedono ancora la password.

Se non si vuole essere esposti a rischi, non si può fare affidamento solo su password e identità. Ecco perché la sicurezza va ripensata con l’approccio “zero trust”. Questo framework, introdotto da Forrester più di qualche anno fa, presuppone che i fattori di rischio siano già presenti sulla rete e l’accesso sicuro è determinato da un approccio “never trust, always verify”.

Controllare sempre. Mai fidarsi. Prima di prendere una decisione di accesso, il sistema deve verificare una serie di attributi dell’ambiente come l’utente, il dispositivo, l’app, la rete e lo stato delle minacce. Una delle tecnologie che rientrano in questo framework è lo Zero Sign On (ZSO), in grado di “uccidere” le password.

Parliamo di una tecnologia mobile-centric, perché rende il dispositivo mobile il fattore primario per l’autenticazione degli utenti. Prima di abilitare l’accesso, verifica il certificato d’identità sul dispositivo e tutto il contesto di background. La sicurezza viene, quindi, applicata a livello di dispositivo e app, ovvero da dove vengono consumati e fruiti i dati.

L’utente, allo stesso tempo, può accedere alle risorse aziendali senza dover inserire una password. Può farlo da qualsiasi dispositivo (anche non aziendale), sistema operativo, luogo o app… la sicurezza è sempre verificata prima dell’accesso!

Tutti i vantaggi di una tecnologia password-less

Una tale tecnologia offre vantaggi innegabili:

● riduce il rischio di data breach

Eliminando le password, si riduce il rischio di violazioni. Tra l’altro sappiamo benissimo che queste ultime hanno un costo altissimo, tra dati rubati e danni di reputazione: che si aggira, secondo una ricerca di IBM, su 3.86 milioni di dollari americani. Con lo Zero Sign On, l’azienda può fornire un accesso senza password sicuro a qualsiasi app aziendale o servizio cloud, come Microsoft Office 365 o Salesforce.

● riduce tempo e costi di help desk

Dimenticata la password? No problem, non serve più scrivere all’help desk. Senza password, utenti e azienda risparmiano il tempo speso a seguire e impostare procedure in risoluzione di questo problema.

● migliora l’esperienza utente

L’accesso alle risorse aziendali avviene senza frizioni. Non serve più memorizzare, inserire o resettare password. Oltre a velocizzare l’accesso alle risorse aziendali, rende anche più attrattivo il lavoro per i dipendenti.

Sapere che si può accedere in sicurezza da qualsiasi posto e da qualsiasi dispositivo (anche quelli personali) è un fattore discriminante nella scelta di un lavoro, perché c’è la possibilità di lavorare in full-remote senza problemi. Per di più oggi molti talenti lo richiedono a chi li assume.

Il ruolo dell’IT e del business

I team che si occupano di gestire l’infrastruttura aziendale hanno anche il compito di predisporre i dispositivi per gli utenti, in modo che siano già configurati con le risorse e le applicazioni aziendali che servono per lavorare.

Per velocizzare questo processo, spesso l’IT usa strumenti UEM (Unified Endpoint Management) che mediante una console unica permettono di gestire, proteggere e distribuire gli applicativi su qualsiasi dispositivo. Non tutti gli strumenti presenti sul mercato però permettono di gestire in maniera unica i sistemi operativi tipici della mobilità (iOS, Android) e sono richiesti altri tool aggiuntivi, come i MDM (Mobile Device Management).

Nella scelta, vanno considerati due elementi: il fatto che sia una piattaforma UEM mobile centrica, ovvero che permetta di gestire in maniera ottimale qualsiasi dispositivo aziendale e che adotti un approccio Zero Trust.

Anche le linee di business devono avere voce in capitolo: un solo strumento per garantire l’accesso sicuro, la protezione totale dei dati aziendali e un’UX eccezionale per l’utente finale. I vantaggi ricadono in primis sul business, per cui è indispensabile conoscere queste tematiche così importanti.

Con sistemi Zero Sign On e livelli di sicurezza aggiuntivi come autenticazione multifattore, applicazioni integrate di identificazione e risoluzione delle minacce, QR Code per autenticare con la biometria i dispositivi non gestiti, dimenticarsi la password è d’obbligo!