Uno sguardo più da vicino all'autorizzazione
Come trovare un equilibrio tra sicurezza e privacy? Scopri di più sull'autorizzazione.
Quando Apple e l'FBI si sono affrontate a proposito dello sblocco di uno smartphone, i cittadini si sono resi conto di un problema che il settore della sicurezza affronta da molto tempo. Nello specifico, hanno iniziato a pensare all'equilibrio tra sicurezza e privacy.
I sistemi di controllo accessi fisico, di riconoscimento automatico delle targhe (ALPR) e di videosorveglianza aiutano a tenere al sicuro edifici, beni, comunità e persone. Uno dei modi in cui riescono a farlo è raccogliendo e archiviando dati sull'identità delle persone, su dove si trovano, su dove stanno andando e su cosa stanno facendo.
Questi dati hanno un valore inestimabile nella prevenzione dei comportamenti illegali e pericolosi o nei procedimenti che ne derivano, ma cosa dire invece dei dati raccolti sulle persone che stanno semplicemente vivendo il loro quotidiano?
Raccogliere dati senza compromettere la privacy
La privacy è importante. Dopotutto, non vogliamo che chiunque abbia accesso alle nostre attività e informazioni personali. Vogliamo essere certi che i dati raccolti su di noi siano al sicuro.
Dal momento che Comuni, aziende, data center e istituzioni fortemente regolamentate come gli ospedali condividono video e altri dati con le forze dell'ordine, le preoccupazioni riguardo alla sicurezza dei nostri dati stanno crescendo, in particolare per quanto riguarda la privacy.
E, quando si tratta di proteggere i nostri dati, non possiamo concentrarci solo sulle minacce che arrivano dall'esterno. Con la crescente integrazione e collaborazione tra i sistemi, il numero di entità che interagiscono con i nostri sistemi di sicurezza e accedono a dati privilegiati non è mai stato così elevato.
Oltre a proteggere questi accessi con meccanismi di autenticazione adatti, dobbiamo anche assicurarci di poter controllare chi vede i nostri dati e come può usarli.
Abbiamo già discusso di come la crittografia impedisce che entità non autorizzate decriptino i dati e di come l'autenticazione garantisca che chiunque accede al sistema sia chi sostiene di essere.
Ora esamineremo come l'autorizzazione aiuta a tutelare la privacy definendo con chiarezza il modo in cui viene consentito l'accesso a dati specifici al personale autorizzato e se quest'ultimo può modificare tali dati o il comportamento del sistema.
Cos'è l'autorizzazione?
L'autorizzazione è la funzione che permette agli amministratori dei sistemi di sicurezza di specificare privilegi e diritti di accesso per gli utenti (operatori). Nello specifico, gli amministratori limitano le attività:
- assegnando diritti d'accesso a gruppi o individui per risorse, dati o applicazioni;
- definendo quello che gli utenti possono fare con queste risorse.
Quando si tratta di materiale video, la possibilità di limitare accessi e attività è estremamente importante. L'accesso ai video trasmessi o registrati dev'essere altamente sicuro e protetto per garantire la privacy.
Autorizzazione all'interno dei sistemi di sicurezza
Per proteggere i dati in un sistema di sicurezza, gli amministratori dovrebbero, tra le altre cose, poter implementare privilegi di accesso dettagliati per gli utenti, selezionare le informazioni che possono essere condivise internamente con partner e autorità e controllare per quanto tempo vengono conservati i dati. Le partizioni logiche e i privilegi sono solo due dei meccanismi che lo rendono possibile.
Configurare le partizioni logiche
Configurando le partizioni logiche, gli amministratori determinano se uno o più utenti possono visualizzare dati specifici come le registrazioni video. Se a un utente non viene concesso l'accesso a una partizione, non potrà visualizzare i video archiviati al suo interno.
Definire i privilegi degli utenti
Il passaggio successivo è definire i privilegi degli utenti. Ad esempio, anche se un utente può visualizzare un video, i suoi privilegi determineranno se può esportarlo, modificarlo o eliminarlo. Questo garantisce che le registrazioni possano essere gestite solo dagli investigatori con sufficienti diritti d'accesso, mitigando i rischi dell'invio di prove a persone non autorizzate.
E, per eliminare ulteriormente l'errore umano, le organizzazioni possono usare un server LDAP, come Microsoft Active Directory, per aggiungere e rimuovere automaticamente gli account utente della sicurezza, concedere diritti d'accesso o rimuovere gli utenti che non fanno più parte dell'organizzazione.
Quando gli amministratori gestiscono quello che il personale può fare e vedere, garantiscono la sicurezza dei dati trasmessi e archiviati nel loro sistema di sicurezza. Questo non aumenta solo la sicurezza complessiva del sistema, ma rafforza anche quella degli altri sistemi a cui è connesso.
Per una panoramica riassuntiva sulla Security-of-Security, leggi il nostro ultimo post del blog della serie dedicata a questo argomento.