Modello di maturità della gestione delle password

Le organizzazioni che desiderano rafforzare la sicurezza implementando un gestore di password a livello aziendale possono garantire una maggiore resilienza valutando le principali aree di miglioramento tramite il seguente modello di maturità della gestione delle password. Questo framework aiuta le organizzazioni a comprendere il proprio livello di maturità nella gestione delle password, in base alle operazioni attuali, e a individuare i passaggi necessari per migliorare la classificazione esistente.

Le organizzazioni nella categoria Livello 1 non hanno implementato un gestore di password a livello aziendale. L'assenza di un sistema centralizzato di gestione delle password aumenta il rischio di password compromesse, poiché i dipendenti possono utilizzare password deboli o riutilizzate senza un'adeguata supervisione. I dipendenti adottano invece un approccio isolato e ad hoc alla protezione delle password aziendali. Questo può includere l'uso di gestori di password basati sul browser, fogli di calcolo Excel, la condivisione di password tramite Slack o la loro annotazione su carta e post-it. È improbabile che un ambiente di questo tipo favorisca una solida cultura della sicurezza o valorizzi le migliori pratiche di sicurezza. La formazione a livello aziendale è rara o inesistente. Quanto alla maturità tecnica complessiva, è molto probabile che i dati sensibili o critici, quando condivisi, non siano crittografati e siano a rischio.

• Implementazione del gestore di password: un'organizzazione di Livello 1 non dispone di processi per la gestione delle password, lasciando i dipendenti alle proprie abitudini individuali.

• Cultura della sicurezza: un'organizzazione di Livello 1 non pone l'accento sulle migliori pratiche di sicurezza e ha una consapevolezza minima della sicurezza.

• Maturità tecnica: un'organizzazione di Livello 1 condivide informazioni sensibili in modo non sicuro, spesso senza crittografia.

Le organizzazioni di Livello 1 partono da zero e hanno molte opportunità di ottenere rapidi miglioramenti tramite semplici azioni che possono aumentare immediatamente la sicurezza. Il passaggio successivo prioritario per migliorare la sicurezza dell'azienda è richiedere a un team, in genere l'IT, di utilizzare un gestore di password e quindi definire un piano per un'implementazione su larga scala.

Il Livello 2 indica un approccio leggermente più maturo, ma ancora in crescita, verso una solida sicurezza e gestione delle password. Le organizzazioni in questa fase non utilizzano un gestore di password a livello aziendale e le pratiche di sicurezza delle password sono decentralizzate: i dipendenti si affidano a una combinazione di gestori di password basati sul browser e altri strumenti integrati per la gestione delle password. Alcune organizzazioni potrebbero iniziare con un gestore di password gratuito prima di passare a una soluzione più centralizzata. Le migliori pratiche di sicurezza vengono trattate in modo superficiale durante l'onboarding dei dipendenti, ma non sono un focus costante per l'organizzazione. La maturità tecnica a questo livello è caratterizzata da pratiche di crittografia miste: alcune informazioni sono crittografate, altre no, e l'autenticazione a due fattori viene usata con parsimonia per rafforzare la verifica dell'identità. Le organizzazioni che desiderano passare dal Livello 2 al Livello 3 dovrebbero concentrarsi su una maggiore sensibilizzazione e formazione per adottare, almeno in parte, pratiche fondamentali di sicurezza delle credenziali.

• Implementazione del gestore di password: le aziende di Livello 2 presentano una gestione decentralizzata delle password o un uso ad hoc di gestori di password integrati, come il Portachiavi Apple o quelli integrati nei browser.

• Cultura della sicurezza: le aziende di Livello 2 pongono un'enfasi limitata sulle migliori pratiche di sicurezza delle password.

• Maturità tecnica: le aziende di Livello 2 hanno approcci incoerenti alla condivisione di informazioni crittografate e all'uso dell'autenticazione multifattore (2FA).

Le aziende di Livello 2 pongono un'enfasi leggermente maggiore sulla sicurezza dei dati, ma le pratiche complessive restano decentralizzate. Il passaggio immediatamente successivo per migliorare la sicurezza è scegliere un gestore di password centralizzato e multipiattaforma che funzioni su tutti i dispositivi dei dipendenti e avviare un'implementazione graduale.

Passare dal Livello 2 al Livello 3 rappresenta un passo significativo verso la protezione dell'azienda. Alcuni team circoscritti all'interno dell'organizzazione si affidano a un gestore di password autonomo, ma l'implementazione complessiva resta limitata. La formazione sulla sicurezza è più frequente e costante, e i dipendenti ricevono avvisi più spesso quando adottano pratiche di sicurezza evidentemente e potenzialmente rischiose. Dal punto di vista della maturità tecnica, i dipendenti che utilizzano collettivamente una soluzione di gestione delle password dispongono di copertura su tutti i dispositivi forniti dall'azienda e possono condividere password e altre informazioni sensibili in modo sicuro. L'uso di una cassaforte password crittografata può migliorare notevolmente la sicurezza, archiviando in modo sicuro le informazioni sensibili. La possibilità di condividere dati in modo sicuro tra colleghi segna un distacco dal Livello 2.

• Implementazione del gestore di password: Le aziende di Livello 3 dispongono di un certo grado di gestione centralizzata delle password, con uno o due team che utilizzano gestori di password autonomi al posto degli strumenti integrati.

• Cultura della sicurezza: Le aziende di Livello 3 pongono maggiore enfasi sulla cultura della sicurezza, ma non dispongono di strumenti o sistemi per una responsabilizzazione concreta.

• Maturità tecnica: I team di Livello 3 che utilizzano un gestore di password centralizzato beneficiano di una copertura multipiattaforma su diversi dispositivi e condivisione sicura tra dipendenti.

Le aziende di Livello 3 si stanno orientando verso una priorità alla sicurezza dei dati più centralizzata, seppur disomogenea. Il passo successivo per migliorare la sicurezza è estendere la copertura della gestione delle password da un'implementazione graduale a un'implementazione a livello aziendale.

Il Livello 4 è caratterizzato dall'adozione universale di un gestore di password a livello aziendale, con una distribuzione avviata in tutta l'organizzazione. È fondamentale creare una password principale robusta per proteggere il gestore di password. Tutti i dipendenti sono invitati a usare il gestore di password aziendale per creare, archiviare e condividere password con altri membri del team. Inoltre, la formazione sulla sicurezza viene normalizzata e accettata dall'intera organizzazione, con la direzione che monitora e incentiva la partecipazione tramite moduli di formazione dettagliati. La maturità tecnica di Livello 4 indica una gestione delle password a livello aziendale con integrazione dei servizi di directory e single sign-on. L'integrazione con i servizi di directory (che possono includere Active Directory/Entra, Google Workspace o OneLogin) sincronizza utenti e gruppi da una directory esterna al gestore di password. L'integrazione con il single sign-on consente alle organizzazioni di sfruttare il provider di identità esistente per autenticare gli utenti con il proprio gestore di password aziendale.

• Distribuzione del gestore di password: Le aziende di Livello 4 hanno implementato un gestore di password autonomo in tutta l'organizzazione, con team fortemente incoraggiati ad abbandonare completamente gli strumenti integrati e le pratiche ad hoc.

• Cultura della sicurezza: Le aziende di Livello 4 offrono formazione periodica sulla sicurezza e incentivano la partecipazione tramite metriche di presenza.

• Maturità tecnica: Le aziende di Livello 4 hanno integrato i gestori di password con i flussi di lavoro IT, inclusi i servizi di directory e il single sign-on (SSO).

Le aziende di Livello 4 hanno adottato un approccio molto più uniforme e concreto alla sicurezza dei dati, con l'obiettivo di garantire una copertura universale. Il passo successivo per migliorare la sicurezza è rendere obbligatoria la gestione delle password a livello aziendale in tutta l'organizzazione. Una volta avviata, abilita l'autenticazione senza password e richiedi l'autenticazione a più fattori (2FA) per tutti i team.

In questa fase, un'organizzazione ha adottato su vasta scala un gestore di password a livello aziendale integrato nei flussi di lavoro organizzativi. Questa cassaforte per password viene usata per archiviare e gestire in modo sicuro informazioni sensibili, tra cui password, dati delle carte di credito e dati personali. L'adozione della gestione delle password a livello aziendale è obbligatoria, con restrizioni sui metodi alternativi di archiviazione delle password. In questa fase, le aziende offrono ai dipendenti piani familiari di gestione delle password per coltivare una cultura della sicurezza a 360°, valorizzando le buone abitudini di gestione delle password personali e professionali. La formazione sulla sicurezza è obbligatoria per l'intera organizzazione e i dipendenti sono incoraggiati a segnalare attività sospette di cybersecurity. La maturità tecnica è caratterizzata da copertura e reportistica complete. Il gestore di password a livello aziendale abilita opzioni senza password, dalla biometria alle passkey, mentre gli sviluppatori usano le API per l'integrazione con altri strumenti, come i SIEM, al fine di garantire uno stack di sicurezza efficace. Lo scripting automatizzato con le API viene utilizzato per migliorare il controllo amministrativo e semplificare flussi di lavoro complessi.

• Distribuzione del gestore di password: Le aziende di Livello 5 richiedono a tutti i dipendenti di usare un gestore di password autonomo.

• Cultura della sicurezza: Le aziende di Livello 5 hanno istituito una formazione obbligatoria sulla sicurezza, con dipendenti che prendono l'iniziativa di segnalare attività sospette al reparto IT.

• Maturità tecnica: Le aziende di Livello 5 hanno adottato un gestore di password a livello aziendale che offre l'autenticazione senza password, richiede l'autenticazione a più fattori (2FA) e incoraggia gli sviluppatori a utilizzare le API per l'integrazione con altri strumenti.

Le aziende di Livello 5 dispongono di un sistema di gestione delle password completo, sofisticato e a livello aziendale. Le aziende interessate a progredire oltre questo punto dovrebbero esplorare strumenti di gestione dei segreti che proteggono l'infrastruttura e i segreti macchina.