Tornate al glossario

Cos’è il controllo degli accessi?

Il controllo degli accessi è un componente fondamentale della sicurezza dei dati che stabilisce chi ha il permesso di accedere alle informazioni e alle risorse aziendali e di utilizzarle. Attraverso l’autenticazione e l’autorizzazione, le policy di controllo degli accessi verificano l’identità degli utenti e garantiscono l’accesso appropriato ai dati aziendali. Il controllo degli accessi può anche essere applicato per limitare l’accesso fisico a campus, a edifici, a stanze e a datacenter.

Come funziona il controllo degli accessi?

Il controllo degli accessi identifica gli utenti verificando varie credenziali di accesso, che possono includere nome utente e password, PIN, scansioni biometriche e token di sicurezza. Molti sistemi di controllo degli accessi includono anche l’autenticazione multi-fattore, un procedimento che richiede più metodi di autenticazione per verificare l’identità di un utente.

Una volta che l’utente è stato autenticato, il controllo degli accessi autorizza il livello di accesso appropriato e determinate azioni consentite associati alle credenziali dell’utente e all’indirizzo IP.

Esistono quattro tipi principali di controllo degli accessi. In genere le organizzazioni scelgono il metodo più adatto ai loro requisiti di sicurezza e conformità specifici. Di seguito, i quattro modelli di controllo degli accessi:

Controllo degli accessi discrezionale (Discretionary access control, DAC) 

In questo metodo, il proprietario o l’amministratore del sistema, delle risorse o dei dati protetti imposta le policy per gli utenti a cui è consentito l’accesso. 

Controllo degli accessi vincolato (Mandatory access control, MAC) 

In questo modello non discrezionale, alle persone viene concesso l’accesso sulla base di un esame degli attributi di sicurezza. Un’autorità centrale determina i diritti di accesso in base a diversi livelli di sicurezza. Questo modello è comune negli ambienti governativi e militari. 

Controllo degli accessi basato sui ruoli (Role-based access control, RBAC) 

L’RBAC concede l’accesso in base a funzioni aziendali definite piuttosto che all’identità dell’utente individuale. L’obiettivo è fornire agli utenti un accesso solo ai dati ritenuti necessari per il loro ruolo all’interno delle organizzazioni. Questo metodo ampiamente utilizzato si basa su una complessa combinazione di assegnazioni di ruolo, autorizzazioni e permessi. 

Controllo degli accessi basato sugli attributi (Attribute-based access control, ABAC)

In questo metodo dinamico, l’accesso è basato su un insieme di attributi e condizioni ambientali, come l’ora del giorno e la posizione, assegnati sia agli utenti sia alle risorse. 

Perché il controllo degli accessi è importante? 

Il controllo dell’accesso impedisce che le informazioni riservate, inclusi i dati dei clienti, le informazioni personali identificabili e la proprietà intellettuale, cadano nelle mani sbagliate. In assenza di policy affidabili per il controllo degli accessi, le organizzazioni rischiano che si verifichino perdite di dati, sia dall’interno sia dall’esterno.

Questo aspetto è particolarmente importante per le organizzazioni con ambienti cloud ibridi e multi-cloud, dove le risorse, le applicazioni e i dati risiedono sia in locale sia sul cloud. Il controllo degli accessi può conferire a questi ambienti un livello di sicurezza degli accessi più affidabile, oltre il Single Sign-On (SSO). 

Risorse aggiuntive