Definisci chi può accedere a quali informazioni in modo meticoloso

Perché è importante definire chi può accedere a quali informazioni

Limitare l'accesso alle informazioni ed ai servizi di elaborazione delle informazioni secondo il criterio del „need to access‟ ovvero alle effettive e legittime necessità operative di ciascun soggetto è fondamentale per evitare la perdita o il furto di dati: limitare l’accesso alle informazioni internamente aiuterà a ridurre anche la possibilità di un hacker di trovare punti di accesso alle informazioni. Quindi diventa necessario capire e definire quali sono i ruoli in azienda e dare accesso alle informazioni secondo il criterio di necessità. Inoltre, le responsabilità relative alla sicurezza delle informazioni devono essere definite e assegnate.
I compiti e le aree di responsabilità in conflitto tra loro vanno separati per ridurre le possibilità di uso improprio, modifica non autorizzata o non intenzionale degli asset dell'organizzazione.

Il controllo degli accessi in base agli attributi è un sistema di autorizzazione che definisce l'accesso in base agli attributi associati a entità di sicurezza, risorse e ambiente.

L'uso delle condizioni di assegnazione di ruolo offre tre vantaggi principali:

  • Fornire un controllo di accesso più granulare: un'assegnazione di ruolo usa una definizione di ruolo con azioni e dati per concedere a un'entità di sicurezza le autorizzazioni. È possibile scrivere condizioni per filtrare tali autorizzazioni per un controllo di accesso più granulare. È anche possibile aggiungere condizioni ad azioni specifiche.
  • Usare attributi con significato aziendale specifico: le condizioni consentono di usare attributi con un significato aziendale specifico nel controllo di accesso.