Ho visto questa scena ripetersi in almeno una dozzina di uffici tecnici tra Milano e Bologna. Un responsabile IT riceve l'ordine di implementare un nuovo sistema di ingresso ai dati aziendali, si fida ciecamente delle impostazioni predefinite del fornitore e, dopo tre mesi, si ritrova con metà dei dipendenti bloccati fuori dai sistemi e l'altra metà che usa password scritte sui post-it. Cercare di Accede a risorse critiche senza aver prima mappato i permessi reali è il modo più rapido per bruciare ventimila euro di consulenza in una settimana. Il problema non è mai il software scelto, ma l'illusione che basti installare un modulo per risolvere il caos organizzativo sottostante. Se non sai chi deve vedere cosa, il sistema che stai costruendo diventerà solo una barriera inutile che i tuoi dipendenti cercheranno di aggirare ogni giorno.
Il mito dell'automazione totale quando si tenta di Accede
Molti manager partono dal presupposto che una volta configurato il server o il servizio cloud, la gestione degli ingressi diventi un processo automatico che non richiede supervisione. È un errore che costa caro in termini di sicurezza e produttività. Ho lavorato con un'azienda logistica che ha perso tre giorni di spedizioni perché il sistema automatico aveva revocato le credenziali a tutto il reparto magazzino durante un aggiornamento del database centrale. Non avevano previsto una procedura di emergenza manuale.
La soluzione non è eliminare l'automazione, ma integrarla con verifiche umane periodiche. Devi stabilire dei punti di controllo trimestrali in cui verifichi se chi ha cambiato ruolo ha ancora i vecchi privilegi. Spesso ci si dimentica dei collaboratori esterni o dei consulenti che hanno terminato il contratto ma mantengono le chiavi digitali della cassaforte. Questo accade perché si confonde lo strumento con la policy. Lo strumento esegue ordini, la policy decide quali ordini dare. Se la tua policy è vaga, il tuo strumento sarà pericoloso.
Perché i protocolli standard falliscono senza personalizzazione
Spesso si pensa che usare uno standard come OAuth2 o SAML sia sufficiente per dormire tranquilli. Non lo è. Se implementi questi protocolli senza definire i tempi di scadenza dei token o senza gestire correttamente il logout globale, stai lasciando una porta aperta. Dalla mia esperienza, il 40% delle violazioni interne avviene perché una sessione è rimasta attiva su un computer condiviso. Non puoi permetterti di essere pigro sulla configurazione dei parametri di sicurezza solo perché lo standard è considerato sicuro. La sicurezza è nella configurazione, non nel nome del protocollo.
Gestire i permessi come se fossero soldi liquidi
Un errore sistematico è concedere privilegi amministrativi con troppa leggerezza. "Dagli l'accesso totale, così non mi chiama ogni cinque minuti per sbloccare qualcosa" è la frase che precede ogni disastro informatico di medie dimensioni. Ogni volta che concedi un permesso extra, stai creando un debito tecnico e di sicurezza che qualcuno dovrà pagare. In un caso reale che ho seguito l'anno scorso, un addetto al marketing con permessi da super-user ha cancellato per errore l'intero database dei lead perché l'interfaccia di amministrazione era troppo simile a quella di invio newsletter.
La soluzione pratica è il principio del privilegio minimo. Un utente deve avere solo ciò che gli serve per completare il compito della giornata, niente di più. Se un analista deve solo leggere i dati, non deve avere il permesso di scrittura. Sembra logico, ma nell'urgenza della produzione viene quasi sempre ignorato. Devi impostare un sistema di escalation temporanea: se mi serve un permesso superiore, lo chiedo, mi viene concesso per due ore e poi il sistema lo revoca automaticamente. Risparmierai centinaia di ore di ripristino backup.
L'illusione della sicurezza basata solo sulla password
Continuare a credere che una password complessa protegga i tuoi dati è pura ingenuità. Le statistiche del Clusit (Associazione Italiana per la Sicurezza Informatica) mostrano costantemente come il phishing e l'ingegneria sociale siano le cause principali di compromissione in Italia. Se non hai implementato l'autenticazione a più fattori, non stai proteggendo nulla. Ma attenzione: anche l'autenticazione a più fattori può essere implementata male.
Ho visto aziende spendere migliaia di euro in chiavette hardware per poi scoprire che i dipendenti le lasciavano attaccate ai PC. Oppure sistemi che inviano SMS in zone dove non c'è campo, bloccando il lavoro per ore. La soluzione pratica è diversificare i metodi. Usa app di autenticazione per chi lavora in ufficio e codici di backup fisici, conservati in busta chiusa, per le emergenze critiche. Non fidarti di un unico canale di comunicazione. Se il tuo fornitore di telefonia ha un guasto, la tua azienda non può fermarsi.
Il costo nascosto della troppa sicurezza
C'è un punto di equilibrio che molti ignorano. Se rendi la procedura per Accede troppo complessa, gli utenti troveranno il modo di bypassarla. Ho visto programmatori creare delle "backdoor" personali nei server per evitare di dover inserire tre codici diversi ogni volta che dovevano fare una piccola modifica al codice. Questo è il rischio maggiore: una sicurezza così rigida da diventare un ostacolo al lavoro, spingendo le persone a creare vulnerabilità intenzionali per disperazione. La tua sfida è rendere la via sicura anche la via più facile da percorrere.
Scenario reale prima e dopo la corretta gestione degli ingressi
Immaginiamo una tipica agenzia di servizi con trenta dipendenti.
Prima della riforma del sistema, ogni nuovo assunto riceveva un foglio Excel con le credenziali di circa quindici servizi diversi. Se qualcuno si licenziava, il responsabile doveva cambiare manualmente le password di tutti quei servizi, sperando di non dimenticarne nessuno. Puntualmente, qualcuno veniva dimenticato. Un ex dipendente è riuscito a entrare nel pannello di gestione dei clienti sei mesi dopo essersene andato, solo perché nessuno aveva cambiato la password di un vecchio account condiviso. Il tempo perso ogni mese per recuperare password smarrite era calcolato in circa dodici ore per il reparto IT.
Dopo l'implementazione di un sistema di gestione centralizzata dell'identità, la situazione è cambiata radicalmente. Ora c'è un'unica identità digitale per ogni dipendente. Quando una persona entra in azienda, il sistema crea automaticamente i profili necessari in base al suo ruolo. Quando esce, basta un clic per revocare l'ingresso a ogni singolo applicativo aziendale. Non ci sono più password condivise. Il tempo di gestione è sceso da dodici ore a venti minuti al mese e il rischio di intrusioni da parte di ex collaboratori è stato azzerato. Il costo iniziale del software è stato recuperato in meno di un anno solo grazie al risparmio di tempo del personale tecnico.
Confondere la comodità dell'utente con la vulnerabilità del sistema
Molte aziende scelgono soluzioni di single sign-on solo perché "è comodo per i ragazzi". La comodità è un sottoprodotto, non l'obiettivo. Se il tuo sistema permette di entrare ovunque con un unico clic, quel clic diventa il punto unico di fallimento. Se quell'account viene compromesso, l'intera azienda è nuda.
La soluzione pratica è la segmentazione. Anche se usi un'unica identità, devi richiedere una ri-autenticazione o un fattore di sicurezza superiore per le aree sensibili, come l'amministrazione finanziaria o la gestione dei server di produzione. Non lasciare che la pigrizia spacciata per "User Experience" distrugga i tuoi livelli di difesa. Devi educare il personale a capire che un secondo controllo non è una perdita di tempo, ma una polizza assicurativa sul loro posto di lavoro. Un attacco ransomware partito da un account mal gestito può mettere in ginocchio un'azienda per settimane, e il costo del riscatto è spesso l'ultimo dei problemi rispetto alla perdita di fiducia dei clienti.
Errori di valutazione nei costi di implementazione
Quando pianifichi il budget, non guardare solo al costo della licenza. Quello è il numero che i venditori ti sbattono in faccia, ma è solo la punta dell'iceberg. Ho visto progetti fallire perché non era stato previsto il costo della formazione o il tempo necessario per migrare i vecchi dati.
- La configurazione iniziale richiede solitamente il triplo del tempo stimato dai fornitori.
- L'integrazione con software legacy (vecchi gestionali che non vogliono morire) può costare più della licenza stessa.
- Il supporto post-vendita è spesso a pagamento o limitato a ticket che ricevono risposta dopo 48 ore.
Se non metti in conto queste voci, ti ritroverai a metà dell'opera con i fondi esauriti e un sistema che funziona a metà, il che è peggio di non avere alcun sistema. Un sistema che funziona a metà dà una falsa sensazione di sicurezza che è estremamente pericolosa. Meglio coprire pochi servizi ma farlo in modo impeccabile, piuttosto che cercare di collegare tutto e lasciare buchi ovunque.
Controllo della realtà
Smettiamola di raccontarci favole: non esiste un sistema perfetto e non sarai mai sicuro al 100%. Se qualcuno con abbastanza risorse e tempo vuole entrare nei tuoi sistemi, probabilmente ci riuscirà. Il tuo obiettivo non è l'invulnerabilità, che è un concetto accademico inutile, ma la resilienza. Devi essere abbastanza difficile da colpire da scoraggiare gli attaccanti opportunisti e abbastanza preparato da limitare i danni quando l'incidente avverrà.
Il successo in questo campo non si misura con la bellezza della dashboard del tuo software, ma con la velocità con cui riesci a chiudere i rubinetti quando rilevi un'anomalia. Se ci metti più di dieci minuti a revocare i permessi di un account sospetto, hai già perso. Non servono geni dell'informatica per gestire bene questi processi, serve disciplina costante e la capacità di dire di no alle richieste di "scorciatoie" che arriveranno inevitabilmente dai piani alti. Se non sei pronto a gestire i conflitti interni che derivano dall'imporre regole serie, risparmia i soldi e non iniziare nemmeno il progetto.
