Con l’entrata in vigore della direttiva NIS2 (Network and Information Security Directive 2), le organizzazioni che operano in infrastrutture fondamentali e servizi digitali devono adottare misure di sicurezza informatica sempre più rigorose. Uno degli aspetti centrali della direttiva riguarda la gestione sicura degli accessi ai sistemi informativi, soprattutto in contesti di accesso remoto, oggi più diffusi che mai.
Tuttavia, ci sono ancora realtà che permettono l’accesso remoto a sistemi e risorse aziendali senza un’adeguata verifica dell’identità dell’utente. Ma è una pratica compatibile con i requisiti imposti da NIS2? La risposta è no.
Tra le misure richieste dalla normativa, un ruolo fondamentale è svolto dall’autenticazione degli utenti. Permettere l’accesso a sistemi sensibili senza identificare in modo certo chi vi accede rappresenta una violazione dei principi fondamentali della sicurezza informatica: riservatezza, integrità e tracciabilità.
Perché senza verifica dell’identità e autenticazione forte, l’organizzazione è esposta a gravi rischi di sicurezza?
• Accessi non autorizzati: senza verifica dell’identità, chiunque entri nel sistema potrebbe non essere la persona autorizzata.
• Assenza di tracciabilità: se non si sa chi accede, non si possono tenere log affidabili né ricostruire eventuali incidenti.
• Violazione del principio del minimo privilegio: senza controllo sugli utenti, è impossibile gestire i livelli di accesso in modo corretto.
• Ampliamento delle vulnerabilità di sistema: accessi non protetti diventano un vettore d’ingresso per malware, ransomware e movimenti laterali nella rete.
Cosa è necessario per essere conformi alla Direttiva NIS2?
• Autenticazione a più fattori (MFA): combinare password con un secondo elemento di verifica (OTP, smartcard, token hardware, etc.).
• Gestione delle identità e dei privilegi: sapere esattamente chi accede, da dove, e con quali autorizzazioni.
• Crittografia delle comunicazioni: l’accesso remoto deve avvenire su canali sicuri e cifrati.
• Monitoraggio degli accessi: tutti gli accessi devono essere registrati, analizzati e disponibili per audit.
• Accesso basato su policy: l’accesso remoto va concesso solo a utenti, ruoli e dispositivi autorizzati.
Cosa fare
Nel contesto normativo e tecnologico attuale, non è più accettabile che un’organizzazione permetta l’accesso remoto a sistemi aziendali senza una verifica forte dell’identità dell’utente.
Un controllo preventivo oggi può evitare sanzioni domani o, peggio, una violazione devastante.
Contattaci e chiedici quale tra le nostre soluzioni di accesso remoto è NIS2 compliant.