• Emilio Sacchi

La cybersecurity e il principio del Least Privilege (POLP)

Quando si parla, o più spesso si scrive, di cybercrime e di cybersecurity, ci si focalizza spesso sugli aspetti e sui problemi informatici e sociali che queste tematiche suscitano.

È comune trattare l’argomento dei firewall, delle password e della crittografia, da un lato, e della selezione del personale, della affidabilità del dipendente e del fine rapporto con lo stesso, dall’altro.


Senza voler nulla togliere a questi imprescindibili capisaldi di una corretta policy di cybersecurity che, lo ricordiamo, ha quale scopo ultimo, se non principe, quello di preservare i dati dell’azienda e di evitare che la stessa possa essere destinataria di attacchi informatici, è bene porre l’attenzione su un concetto che, in qualche modo, può essere collocato a cavallo tra l’informatica e la componente umana, ovvero il principio del Least Privilege.


Questo principio si traduce, da un punto di vista operativo, nel concedere a ciascun utente/dipendente di accedere a dati e/o sistemi e di compiere operazioni sugli stessi nella misura minima tale da consentirgli di poter svolgere la propria attività lavorativa.


Si comprende facilmente come, applicando tale concetto a qualsiasi realtà, si otterrebbe una concreta riduzione di rischi in tema di sicurezza informatica in senso stretto ed in tema di rapporti con gli utenti.

A titolo esemplificativo, se un dipendente, per svolgere le proprie funzioni, non dovesse avere bisogno di un accesso remoto al server aziendale e quindi non gli fossero fornite le relative credenziali, è evidente che non sarebbe necessario predisporre le corrispondenti protezioni volte a mantenere la connessione sicura da attacchi esterni e non ci si dovrebbe neppure preoccupare di adottare contromisure idonee ad impedire un uso scorretto di tale accesso da parte dell’utente medesimo.


È quindi chiaro che l’adozione di tale procedura fornirebbe maggiore tutela al sistema informatico da pericoli/attacchi sia endogeni che esogeni.

Ritornando al nostro esempio, in generale non servono particolari conoscenze tecniche per comprendere che limitare i soggetti che possono accedere da remoto al server aziendale consente di ridurre sia le possibilità che il soggetto noto/dipendente possa sottrarre dati o informazioni, sia che l’eventuale soggetto ignoto/esterno all'azienda possa attaccare i flussi di dati da e per l’azienda o sfruttare la connessione esistente per accedere al server aziendale.


Implementare questo principio in una realtà aziendale, tuttavia, non è semplice né immediato, in quanto le aziende, a digiuno di qualsiasi cultura di cybersecurity, generalmente sono propense a concedere ai singoli utenti più privilegi di quelli che sarebbero necessari nell'erronea convinzione di consentire in questo modo al dipendente di poter svolgere la propria attività al meglio, evitando altresì l’insorgere di problemi relativi alla fruibilità di dati e/o contenuti. Per non parlare del fatto che, in questo modo, ritengono vi sia altresì un risparmio di spesa dovuto al minore attività demandata al reparto IT.


Nulla di più sbagliato.

Questa politica, infatti, espone l’azienda al concreto rischio che i propri dati e sistemi possano essere destinatari di attacchi informatici sia ad opera di utenti legittimamente autorizzati ad accedervi che, volontariamente o per errore, possano sottrarre o danneggiare sistemi o dati, sia che, un terzo malintenzionato, possa sfruttare a proprio favore questo proliferare indiscriminato di autorizzazioni ed ampliare il novero di possibili condotte illecite.

Non solo, anche da un punto di vista economico ignorare il principio in parola non porta all'azienda alcun risparmio di spesa.

E' noto, infatti, che, in caso di data breach, ci potrà essere un danno patrimoniale dato sia dalla diffusione del know how dell’azienda che dalla necessità di procedere a costose operazioni di data recovery e di implementazioni di nuove misure di sicurezza.


Ciò premesso, la corretta procedura da seguire, quindi, sarebbe quella di cercare un equilibrio tra la sicurezza dei dati e dei sistemi informatici e l’interesse/necessità di ciascun utente ad accedervi nella misura tale da essere efficiente nel raggiungimenti dei propri obbiettivi.

Per raggiungere tale scopo, quindi, è necessario in un primo momento compiere una puntuale analisi delle attività di ciascun utente e, successivamente, concedere allo stesso le relative autorizzazioni. Questa procedura dovrebbe essere, altresì, soggetta a revisione ogni qualvolta il soggetto dovesse cambiare mansioni, target o compiti.


Sicuramente ci sarebbe un iniziale carico di lavoro molto importante per il compartimento IT, che dovrebbe procedere a creare profili personalizzati per ciascun utente (o gruppo di utenti), ma questo sforzo iniziale consentirebbe di rendere l'azienda più sicura e gli utenti più tranquilli, poichè avrebbero la responsabilità solo per quel frammento di sistema o dati loro assegnato.


L’auspicio è che il proliferare di attacchi informatici, da un lato, e l’esponenziale implementazione dei sistemi informatici in qualsiasi attività produttiva, dall'altro, possano convincere l’utente medio a riconoscere il valore e l’importanza della sicurezza informatica consentendo così la diffusione di una cultura di sicurezza informatica, attualmente riservata agli addetti ai lavori ed a pochi “illuminati”.


Per altro verso, non si può non rammentare come il principio in parola trovi perfetta armonia con due principi enunciati all’art. 5 del GDPR, ovverosia quello della minimizzazione dei dati, di cui alla lett. c del citato articolo, e quello della riservatezza di cui alla lett. f.

Senza entrare troppo nello specifico, appare evidente ad un lettore attento che ridurre drasticamente il novero di dati a cui un utente possa accedere consenta sia di minimizzare i dati cui lo stesso possa venire a conoscenza (limitandoli all'essenziale, art. 5 lett. c), sia di ridurre il rischio che gli stessi possano essere trattati o diffusi impropriamente (art. 5 lett. f).



Via Alfonso Lamarmora 4, 20122 Milano
+39 02 67382892

© Networklex Studio Legale | Alessandro d'Arminio Monforte - P.I. 08082970966 | Matteo Rocchi - P.I. 06475740962 | Privacy