Cos'è il deprovisioning?

Il deprovisioning è il processo di rimozione dei diritti di accesso di un dipendente dai sistemi, dalle app e dalle risorse di rete di un'organizzazione quando non sono più necessari. Il deprovisioning non avviene solo quando i dipendenti lasciano un'organizzazione, ma anche quando i ruoli cambiano o quando l'accesso temporaneo scade. Il deprovisioning è un componente chiave dell'Identity and Access Management (IAM), che garantisce che gli utenti dispongano solo delle autorizzazioni necessarie per svolgere il proprio lavoro. Un deprovisioning non eseguito correttamente può creare pericolose lacune nella sicurezza.

Provisioning vs deprovisioning: qual è la differenza?

Il provisioning è il processo opposto al deprovisioning. Consiste nel creare l'identità digitale di un utente e nel garantire l'accesso di dipendenti e collaboratori ai dati, ai sistemi e alle applicazioni di un'organizzazione. Il provisioning avviene quando un dipendente viene assunto, cambia ruolo lavorativo o viene promosso.

Ad esempio, se nella tua organizzazione viene assunto un nuovo direttore marketing, il provisioning viene effettuato durante il suo onboarding. Il reparto IT crea i suoi account utente e gli concede l'accesso ai database di marketing necessari. Una volta completata questa fase, il direttore sarà in grado di inserirsi efficacemente nel suo ruolo.

Come funziona il deprovisioning

Quando un utente lascia l'organizzazione o cambia ruolo, il team delle risorse umane in genere trasmette l'informazione al reparto IT, che a sua volta informa gli amministratori di sistema affinché limitino o revochino l'accesso. Gli amministratori di sistema esaminano i permessi dell'utente su tutti i sistemi, applicazioni e risorse di rete per assicurarsi che tutto sia disabilitato. Tuttavia, grazie alle soluzioni IAM, l'uso del provisioning e deprovisioning automatizzati è diventato uno standard in molte organizzazioni. Le moderne soluzioni IAM hanno reso il processo più automatizzato, centralizzato e completo.

Che cos'è il deprovisioning automatico?

Il deprovisioning automatizzato garantisce che l'account utente e i privilegi di accesso di un dipendente vengano revocati automaticamente al momento dell'offboarding. In un'organizzazione, un singolo account utente può essere collegato a centinaia di sistemi, rendendo la gestione manuale complessa e onerosa per gli amministratori. L'utilizzo di una tecnologia automatizzata riduce questo carico di lavoro rendendo al contempo più snello questo processo noioso.

Best practice per il deprovisioning

Di seguito sono riportate sette best practice da seguire per il deprovisioning.

Applicare il principio del privilegio minimo

Il Principio del privilegio minimo (PoLP) è un concetto di cybersecurity in base al quale vengono concessi solo i diritti di accesso necessari per svolgere le proprie funzioni lavorative. Limitare l'accesso aiuta a ridurre il rischio di minacce interne, protegge i dati sensibili e minimizza il rischio di movimento laterale in caso di compromissione di un account.

Utilizzare una soluzione IAM

L'adozione di una soluzione IAM può semplificare il processo di deprovisioning poiché automatizza la limitazione o la rimozione dell'accesso degli utenti. Gestire manualmente i singoli account utente può richiedere molto tempo ed è soggetto a errori umani, aumentando il rischio di violazioni della sicurezza. Una soluzione automatizzata aiuta a minimizzare i potenziali errori e a rafforzare la sicurezza generale.

Adotta un modello zero-trust

Un framework zero-trust richiede a tutti gli utenti di verificare la propria identità prima di accedere a qualsiasi sistema o dato di rete. Concentrandosi sull'autenticazione continua, il modello zero trust offre una maggiore visibilità su tutti gli utenti e i sistemi nell'intero ambiente, consentendo agli amministratori di identificare qualsiasi attività insolita e di reagire in modo più efficace.

Rafforzare i metodi di autenticazione

L'autenticazione è il processo di verifica dell'identità a cui un utente, un'applicazione o un sistema si sottopone prima di accedere a qualsiasi risorsa dell'organizzazione. Garantire che la propria organizzazione disponga di metodi di autenticazione sicuri consente il monitoraggio continuo degli accessi degli utenti, contribuendo a ridurre il rischio di minacce interne.

Avere una checklist di uscita

Una checklist di uscita è un elenco dettagliato di attività utilizzato per guidare il processo di offboarding quando un dipendente lascia un'organizzazione. Include tutte le azioni che un'organizzazione deve intraprendere per garantire che il processo di uscita sia organizzato e che nessuna attività critica venga trascurata. Sebbene le checklist possano variare a seconda dell'organizzazione, di solito includono azioni come revocare l'accesso ai sistemi, recuperare i dispositivi aziendali, facilitare il trasferimento delle conoscenze e effettuare il backup dei dati.

Monitorare la conformità

Il monitoraggio della conformità consiste nel garantire che un'organizzazione soddisfi tutti i requisiti legali e normativi, identificando e gestendo eventuali rischi di non conformità. È fondamentale che tutte le azioni, come la revoca dell'accesso ai sistemi e la protezione dei dati aziendali, siano eseguite correttamente. Monitorando attentamente la conformità, le organizzazioni possono ridurre il rischio di accessi non autorizzati, violazioni dei dati o violazioni di requisiti normativi come l'Health Insurance Portability and Accountability Act (HIPAA) o il Regolamento generale sulla protezione dei dati (GDPR).

Esegui i backup

È fondamentale proteggere i dati critici di un dipendente mediante un backup prima di revocarne l'accesso. Questa precauzione protegge le organizzazioni da eventuali perdite di dati durante il processo di offboarding, assicurando che tutte le informazioni critiche vengano conservate quando un dipendente lascia l'azienda.