La mappa invisibile dei privilegi

da | Set 19, 2025 | Telecomunicazioni | 0 commenti

Chi può fare cosa nella tua rete aziendale?

Lunedì mattina, 8:30. Luigi dal commerciale accede al gestionale con le stesse credenziali di sempre. Quello che non sa è che con quelle credenziali potrebbe anche cancellare tutto il database clienti. Non lo farà mai, ovviamente. Ma tecnicamente può farlo.

E questo è esattamente il problema.

Il labirinto degli accessi: più complesso di quanto sembri

In ogni PMI esistono tre mondi paralleli che raramente comunicano tra loro:

Il mondo delle intenzioni: Luigi deve accedere solo ai suoi clienti
Il mondo della realtà: Luigi può accedere a tutto
Il mondo della conformità: Luigi dovrebbe avere accessi limitati per legge

La gestione degli accessi non è “roba da sistemisti”. È il DNA della sicurezza aziendale, il primo mattone su cui costruire qualsiasi strategia di protezione dati.

Anatomia di un disastro annunciato

Ogni settimana riceviamo chiamate simili: “Aiuto, un dipendente ha cancellato dei file importanti per sbaglio” oppure “Il nostro ex consulente ha ancora accesso al sistema”.

Il pattern è sempre lo stesso:

  • Account creati con privilegi amministrativi “per comodità”
  • Password condivise via WhatsApp tra colleghi
  • Credenziali di servizio mai cambiate dal 2019
  • Fornitori esterni con accessi permanenti
  • Nessuna procedura di revoca quando qualcuno se ne va

La trappola dell’amministratore locale

Ecco una domanda diretta: i tuoi dipendenti lavorano come amministratori sui loro PC?

Se sì, hai appena regalato agli attaccanti il 70% del lavoro. Quando un malware entra attraverso un’email di phishing e trova un utente con privilegi amministrativi, può:

  • Installare ransomware
  • Rubare credenziali salvate nel browser
  • Accedere ai file di rete condivisi
  • Disabilitare l’antivirus
  • Creare account nascosti per persistenza

Un utente standard può fare il suo lavoro. Un amministratore locale può distruggere l’azienda.

Il falso mito delle password “sicure”

“Ma noi abbiamo password complesse di 12 caratteri!”

Benissimo. Ma rispondi a questo:

  • La password del gestionale è la stessa da 3 anni?
  • Quante persone la conoscono?
  • È scritta su un post-it sotto la tastiera?
  • Viene condivisa su chat aziendali?

La password più complessa del mondo diventa inutile se cinque persone la usano per accedere allo stesso account “aziendale”.

Cosa dicono GDPR e NIS2 (tradotto in italiano vero)

GDPR Articolo 32: “Solo chi è autorizzato può accedere ai dati personali”
Traduzione pratica: Se Luigi può vedere gli stipendi di tutti i colleghi ma non dovrebbe, sei fuori norma.

NIS2 Articolo 21: “Accesso basato sui ruoli e sulle responsabilità”
Traduzione pratica: L’addetto magazzino non deve poter modificare la contabilità.

ISO 27001 Controllo A.9.2.2: “Gestione attenta degli accessi privilegiati”
Traduzione pratica: Chi può fare tutto deve essere controllato più degli altri.

Scenario reale: il consulente che sapeva troppo

Uno studio professionale da 15 dipendenti.

Un loro consulente informatico aveva:

  • Account amministratore di dominio
  • Accesso VPN h24
  • Password del gestionale principale
  • Chiavi dell’allarme (fisico e digitale)

Dopo una discussione sui compensi, decide di interrompere la collaborazione. Di colpo.

Sabato sera cancella tutti i backup remoti e cambia le password critiche prima di consegnare le chiavi.

Risultato: 4 giorni di fermo, recupero dati da backup esterni, cambio di tutte le credenziali, costo totale oltre 15.000€.

Il problema non era il consulente. Era aver dato troppo potere a una sola persona senza controlli.

La regola dei privilegi minimi (che nessuno applica)

Ogni account dovrebbe avere solo i permessi necessari per svolgere il proprio lavoro. Punto.

  • L’amministratore non dovrebbe accedere alla posta aziendale da account privilegiati
  • Il commerciale non dovrebbe vedere i dati della produzione
  • Il fornitore non dovrebbe avere accessi permanenti

Semplice in teoria. Complesso nella pratica. Impossibile senza strumenti adeguati.

Active Directory: il cuore (spesso malato) di tutto

Se hai un dominio Windows, probabilmente hai Active Directory.

Domande scomode:

  • Sai quanti account amministrativi esistono?
  • Quando è stata l’ultima revisione dei gruppi utenti?
  • Gli account di servizio hanno password che scadono?
  • Esiste una procedura di offboarding documentata?

Nella maggior parte delle PMI, Active Directory cresce come un giardino selvaggio: gruppi creati anni fa, utenti fantasma, permessi assegnati “al volo” e mai più rivisti.

PAM: quando l’amministratore ha troppo potere

I sistemi PAM (Privileged Access Management) esistono per un motivo: anche gli amministratori possono sbagliare. O essere compromessi. O andarsene arrabbiati.

Un sistema PAM registra ogni azione degli account privilegiati, permette accessi temporanei con scadenza automatica, e ruota le password amministrative senza che gli umani le conoscano.

Non è paranoia. È responsabilità.

Test immediato: conosci i tuoi accessi?

Prendi carta e penna. Rispondi sinceramente:

  1. Quanti account amministrativi esistono nella tua rete?
  2. Chi può accedere al server principale fuori orario?
  3. Il tuo commerciale può vedere i dati contabili?
  4. Quanti fornitori hanno ancora accesso remoto attivo?
  5. Quando è stata l’ultima volta che hai revocato un accesso?

Se non sai rispondere con certezza, hai un problema di visibilità prima ancora che di sicurezza.

Come fare chiarezza sui tuoi accessi aziendali

La gestione degli accessi richiede un approccio metodico e competenze specifiche. Non puoi proteggere quello che non conosci, ma sapere cosa cercare richiede esperienza.

Il punto di partenza è sempre un audit completo dei privilegi esistenti.

Ogni situazione aziendale è diversa: numero di dipendenti, sistemi utilizzati, settore di attività, livello di digitalizzazione. Non esistono soluzioni standard.

Contattaci, ti spieghiamo esattamente cosa mappare nella tua specifica infrastruttura:

  • Quali account analizzare per primi
  • Come identificare privilegi eccessivi o non necessari
  • Dove cercare credenziali condivise o account orfani
  • Come verificare la conformità GDPR/NIS2 per il tuo settore
  • Quale documentazione produrre per essere in regola

L’obiettivo è sempre lo stesso: Un piano concreto con priorità di intervento, raccomandazioni specifiche per la tua realtà aziendale e una roadmap di implementazione sostenibile.

Perché l’audit è il punto di partenza

La gestione degli accessi è il prerequisito di qualsiasi strategia di sicurezza seria.

Se non sai chi può fare cosa nella tua rete, qualsiasi firewall o antivirus diventa inefficace. È come mettere una porta blindata a una casa senza muri.

Molte aziende saltano questa fase e si ritrovano con soluzioni tecniche costose che non risolvono il problema alla radice: troppi privilegi nelle mani sbagliate.

Il tuo prossimo passo

La gestione degli accessi è un progetto che richiede competenza tecnica e visione strategica.

Se riconosci la tua azienda in questi scenari, è il momento di agire. Non per paura, ma per responsabilità verso i tuoi dati, i tuoi clienti e il tuo business.

Contattaci per una consulenza sulla gestione degli accessi della tua infrastruttura.

Ti aiuteremo a capire dove sei oggi e quali sono le priorità di intervento per la tua specifica situazione.

La gestione degli accessi non è tecnica. È strategia aziendale.

La differenza tra un’azienda vulnerabile e una sicura spesso dipende da chi può accedere a cosa, quando e perché.