Autenticazione: Come le PMI proteggono la loro rete e i loro dati con 2FA e MFA

L’accesso remoto dall’esterno è una lacuna nel dispositivo di sicurezza di molte PMI in Svizzera. Sempre più collaboratori e collaboratrici che lavorano da casa, freelance, fornitori di servizi IT e altri fornitori accedono alla rete aziendale, alle applicazioni web, a programmi critici per l’attività e ai dati sensibili. La sola password non è più sufficiente per proteggere e controllare l’accesso in modo sicuro. Nemmeno se è un’ottima password. Con un’autenticazione a due fattori (2FA) o a più fattori (MFA), le piccole e medie imprese possono migliorare notevolmente la sicurezza dei loro dati e sistemi con uno sforzo relativamente ridotto.

Ogni processo di login può essere suddiviso in tre fasi: 

1. Login: l’utente si identifica con il suo nome utente e la sua password ed effettua il login, l’autenticazione.
   
2. Verifica: il sistema controlla tutti i dati dell’utente e li confronta con le voci della banca dati, l’autentificazione.
   
3. Autorizzazione: il sistema consente l’accesso se le informazioni corrispondono e concede all’utente diritti basati sul ruolo, l’autorizzazione.

Con l’autenticazione a due fattori, l’utente deve autenticarsi con due fattori. Di solito con la sua password e un altro fattore. Può trattarsi di un codice, ad esempio, che il sistema invia allo smartphone registrato tramite messaggio di testo dopo che la password è stata inserita correttamente. Altri fattori possono essere ad esempio un’app di autenticazione, l’impronta digitale, un token USB, una smartcard o un certificato client sul laptop.

Con l’autentificazione a più fattori, l’utente deve autentificarsi con almeno due fattori secondo questo principio:

• qualcosa che solo l’utente conosce, ad esempio la sua password personale
• qualcosa che possiede solo l’utente, come lo smartphone o il token USB
• qualcosa che solo l’utente possiede o è, ad esempio la sua impronta digitale (Touch ID) o il suo volto (Face ID)

Indipendentemente dal fatto che l’accesso sia protetto con 2FA o MFA: il sistema autorizza l’accesso solo dopo che tutti i fattori sono stati correttamente autentificati.

• Sicurezza: la 2FA e la MFA riducono in modo significativo il rischio di accesso non autorizzato e di violazione dei dati, poiché i criminali informatici devono forzare almeno due serrature. Anche se scoprono la password tramite phishing, non possono accedere al sistema o ai dati perché non hanno lo smartphone o l’impronta digitale, ad esempio.
• Compliance: sempre più settori devono rispettare standard di sicurezza rigorosi, come ad esempio misure di autentificazione forti. Le aziende che soddisfano questi requisiti evitano conseguenze legali e allo stesso tempo rafforzano la fiducia di clienti e partner.
• Costi: introducendo la 2FA o la MFA per tutti gli account utente, le PMI evitano perdite, costose interruzioni di esercizio, misure di ripristino dei sistemi e dei dati che comportano grandi spese, nonché danni reputazionali non quantificabili che potrebbero persino mettere a repentaglio la loro esistenza.

L’introduzione di MFA o 2FA deve essere pianificata ed eseguita con cura per integrare perfettamente l’autentificazione e proteggere efficacemente la rete aziendale. Le PMI che non dispongono di risorse informatiche o ne hanno troppo poche, è meglio che incarichino degli specialisti. Ad esempio, il vostro fornitore di servizi IT per l’accesso remoto alla rete aziendale o il vostro host web o un programmatore per l’accesso all’online shop. È opportuno proteggere questi punti di accesso con MFA o 2FA:

• accesso remoto a dati aziendali sensibili e critici, come le e-mail
• accesso alla rete Intranet tramite la Virtual Private Nework (VPN)
• accesso a soluzioni o applicazioni web o cloud
• accesso a Infrastructure-as-a-Service (IaaS) e Software-as-a-Service (SaaS) 
• componenti di rete e sistemi di controllo collegati a Internet

La MFA o la 2FA dovrebbero essere implementate per l’intera azienda, non solo per il personale. Ciò significa accesso universale per tutti gli utenti: dai collaboratori e le collaboratrici al Management, dal personale IT agli amministratori e alle amministratrici, fino ai collaboratori esterni e alle collaboratrici esterne e ai fornitori di servizi. Solo così l’infrastruttura IT e i dati aziendali critici saranno veramente sicuri e protetti. In linea di principio, non dovrebbero esserci eccezioni e l’autentificazione a più fattori dovrebbe essere applicata a tutti gli utenti e agli accessi remoti. Le eccezioni giustificate a questa regola devono essere documentate e limitate nel tempo. Tutto il personale deve essere formato di conseguenza durante l’introduzione della 2FA/MFA e sapere come funziona l’inserimento del secondo ed eventualmente del terzo fattore e in quali situazioni questi fattori vengono richiesti.

Per le PMI, offriamo Security Check e Security Assessment che rivelano vulnerabilità come la mancanza di 2FA o MFA. Queste lacune di sicurezza devono essere colmate immediatamente. Dal o dalla responsabile della sicurezza della PMI, dal reparto IT o da un fornitore esterno di servizi IT se l’assistenza è esternalizzata. Zurich Resilience Solutions effettua ogni anno 60’000 valutazioni del rischio a pagamento. Ad esempio per le PMI che desiderano conoscere il livello di sicurezza della loro infrastruttura IT, delle loro applicazioni aziendali critiche e dei loro dati sensibili.

• Cyber assicurazione per le PMI in Svizzera
  
• Un attacco hacker è una minaccia per l’esistenza delle aziende
  
• Piano di emergenza IT come si proteggono le PMI
  
• Piano B: Business Continuity Plan per le PMI
  
• Ufficio federale della cibersicurezza UFCS: Pagina iniziale
  
• Ufficio federale della cibersicurezza UFCS: S-U-P-E-R.ch – Proteggete il vostro accesso due volte
  
• Microsoft: impostazione dell’autentificazione a più livelli per Microsoft 365