Trova il giusto equilibrio tra sicurezza e usabilità

Ci sono una varietà di strumenti per la sicurezza della rete che operano dietro le quinte, tanto che gli utenti non sanno nemmeno della loro esistenza: firewall, strumenti per la sicurezza della posta elettronica, dispositivi di filtraggio web e così via. Altre soluzioni tormentano costantemente gli utenti con richieste di credenziali o passaggi aggiuntivi, causando frustrazione (non sempre necessaria).

Caso in questione: quando ho visitato un'azienda di recente, un vicepresidente mi ha chiesto se potevo aiutare con una sessione di registrazione video in Camtasia, ma prima ha dovuto installare il software. Ha avviato il suo laptop, la cui unità crittografata gli ha richiesto una password. Per entrare in Windows ha dovuto inserire il nome utente e la password di Active Directory, che mi ha detto richiede l'aggiornamento ogni tre mesi e ha requisiti di complessità piuttosto elevati, quindi è difficile da ricordare.

Quando finalmente è entrato nel suo laptop e ha iniziato a installare Camtasia, gli è stata richiesta la password dell'amministratore. Non aveva quella password, quindi ha dovuto chiamare l'IT per inserirla. Se fosse stato in viaggio, sarebbe stato ancora più difficile: avrebbe avuto bisogno di una connessione VPN, sperava che la sua connessione avrebbe superato l'esame con lo strumento di sicurezza di rete Sophos e avrebbe fornito un token SafeNet per ottenere l'accesso.

È facile capire perché nell'ultimo sondaggio IT di questa azienda, gli utenti hanno elogiato l'IT per il suo supporto ma lo hanno criticato per gli eccessivi oneri di sicurezza.

Dove dovrebbe l'IT tracciare il confine tra la protezione della rete e la prevenzione della produttività? La verità è che non è una risposta tutto o niente. È sufficiente dare un'occhiata agli strumenti di sicurezza in uso per vedere se un set diverso o una migliore integrazione ridurrebbe il numero di ostacoli che gli utenti devono affrontare.

Ad esempio, sebbene i laptop della tua azienda possano avere la propria crittografia del disco rigido incorporata, potresti scegliere di utilizzare lo strumento di crittografia dell'unità BitLocker in Windows in modo che gli utenti possano utilizzare lo stesso nome utente e password per accedere all'unità con cui accedono al computer e alla rete.

L'utilizzo di uno strumento Single Sign-On per varie app e servizi può anche ridurre il carico per gli utenti mantenendo la postura di sicurezza desiderata. Ad esempio, Centrify, Okta, Ping Identity e molti altri offrono strumenti di gestione delle identità basati su cloud per raggruppare gli accessi degli utenti.

Se i tuoi guerrieri della strada stanno utilizzando VPN nella rete, potresti prendere in considerazione la possibilità di esaminare opzioni moderne nei server Microsoft come Accesso diretto, che sostituisce la connettività VPN e consente connessioni sempre attive basate su certificati anziché token o password.

In alcune organizzazioni c'è una battaglia tra il CIO e il CSO. Ad esempio, in un ambiente BYOD, il CIO probabilmente pubblicizzerebbe i vantaggi della soddisfazione degli utenti, l'aumento della produttività e il TCO ridotto, mentre il CSO cercherebbe di controllare rigorosamente i dispositivi o di evitare completamente il BYOD. Tali problemi rendono il dialogo sano per determinare il giusto equilibrio in ciascuna organizzazione, ma se il rapporto CIO-CSO riguarda la lotta, di solito è una situazione di sconfitta, per loro, per l'azienda e per gli utenti.

Un approccio a più livelli è spesso il migliore quando si ha a che fare con la sicurezza, quindi non è possibile eliminare tutti gli ostacoli all'accesso. Ma devi assicurarti che la tua sicurezza riduca il carico per gli utenti al minimo richiesto per ottenere la sicurezza di cui hai veramente bisogno.