Sembra ovvio, ma la sicurezza informatica di un'organizzazione non può essere frammentaria. Anche se un'organizzazione può trattare alcuni utenti in modo diverso rispetto ad altri e può avere bisogno di una protezione aggiuntiva per gli utenti a rischio più elevato, un programma di sicurezza deve tenere conto di tutti gli utenti.
Soddisfare questa esigenza può diventare sempre più complesso man mano che le organizzazioni scalano, in quanto i responsabili IT devono valutare il costo delle soluzioni di autenticazione a più fattori (MFA) insieme al comportamento degli utenti, creando al contempo un solido quadro di cybersecurity.
Per molte organizzazioni, i dispositivi mobili tendono a essere un compromesso pragmatico tra sicurezza, costi e convenienza. I dispositivi mobili sono onnipresenti e facili da usare per soddisfare i requisiti di autenticazione a più fattori (MFA): 73% degli utenti ritiene che gli smartphone siano il metodo più conveniente per adempiere all'MFA.
Per quanto l'autenticazione basata su app mobili possa essere utile per creare un programma di sicurezza a livello aziendale e bilanciare i costi, non è una panacea che funziona sempre per tutti. Il costo dell'autenticazione a più fattori varia a seconda del tipo di soluzione e della strategia di implementazione.
Preferenze e capacità dell'utente
In alcune situazioni, alcuni utenti potrebbero non essere in grado di utilizzare dispositivi mobili o affidarsi alla connettività mobile per autenticarsi (si pensi a una camera bianca di produzione). In altri casi, i dipendenti potrebbero non sentirsi a proprio agio nell'installare sui loro dispositivi personali le applicazioni richieste dall'azienda per soddisfare i requisiti di sicurezza.
Gettoni hardware
Le organizzazioni utilizzano due tipi di soluzioni per autenticare questi utenti. La prima è costituita dagli autenticatori hardware che utilizzano codici di accesso unici (OTP). Gli autenticatori hardware come il DS100 sono lo standard di riferimento per l'autenticazione: aiutano le organizzazioni a non avere password unificando i vantaggi crittografici dei protocolli FIDO2 e i vantaggi di sicurezza dell'OTP.
La seconda soluzione è l'MFA tradizionale, come l'autenticazione basata su SMS (che invia gli OTP direttamente ai dispositivi personali degli utenti) e l'OTP vocale.
Spese di manutenzione e supporto
Anche le spese di manutenzione e assistenza possono aumentare il costo totale nel tempo, soprattutto per le soluzioni MFA basate su dispositivi mobili. Questi costi spesso includono gli aggiornamenti continui delle applicazioni mobili, la garanzia di compatibilità con i sistemi operativi più recenti e la risoluzione delle vulnerabilità di sicurezza specifiche delle piattaforme mobili. I fornitori possono anche richiedere il mantenimento di servizi di notifica push affidabili, la risoluzione di problemi specifici del dispositivo o l'assistenza agli utenti con dispositivi mobili diversi. Inoltre, le organizzazioni potrebbero dover investire nella formazione degli utenti per gestire gli aggiornamenti delle app mobili e garantire una perfetta integrazione con il loro ecosistema IT. Nel tempo, questi fattori possono influenzare in modo significativo il costo totale di proprietà delle implementazioni MFA mobili.
L'OTP via SMS e vocale presenta difetti di sicurezza noti: L'OTP via SMS non è crittografato ed è vulnerabile alle interruzioni di rete, alla sostituzione delle SIM, al social engineering e agli attacchi SS7 e man-in-the-middle. RSA raccomanda alle organizzazioni di passare a un'autenticazione più forte e realmente priva di password nel lungo periodo.
Tuttavia, molte organizzazioni si affidano ancora a questi metodi perché:
- supportare gruppi di utenti diversi con vari livelli di accesso e di rischio.
- sono spesso le opzioni MFA più convenienti per le piccole imprese o per ambienti specifici.
L'Istituto nazionale statunitense per gli standard e la tecnologia (NIST) ha affermato che le agenzie devono bilanciare "la praticità delle implementazioni odierne con le esigenze del futuro" e che "l'utilizzo degli SMS su cellulare come secondo fattore oggi è meno efficace di altri approcci, ma più efficace di un singolo fattore".
Non esiste un unico modo per bilanciare la necessità di tenere conto di tutti gli utenti, migliorare la sicurezza informatica e controllare i costi. Le organizzazioni devono valutare ciascuno di questi fattori e scegliere le soluzioni in base al proprio profilo di rischio, alle risorse, agli utenti e agli obiettivi.
Ecco alcuni passi pratici per controllare i costi dell'autenticazione a più fattori:
- Sfruttare i dispositivi esistenti, come i telefoni cellulari, per ridurre al minimo l'investimento in hardware.
- Scegliete soluzioni MFA scalabili che crescano con la vostra organizzazione.
- Utilizzate prove gratuite o progetti pilota per valutare le soluzioni prima di impegnarvi in un investimento a lungo termine.
Sebbene non esista un modo giusto, esiste almeno un modo sbagliato: le organizzazioni non dovrebbero lasciare che le loro soluzioni di sicurezza siano dettate dai fornitori. Bilanciare questi fattori è già abbastanza difficile di per sé: la situazione si aggrava quando i fornitori impongono scadenze o eliminano funzionalità che, per quanto imperfette, soddisfano comunque esigenze importanti.
