Reading Time: 3 minutes

Accountability

Quando abbiamo completato con successo il processo di identificazione, autenticazione e autorizzazione, o anche mentre stiamo ancora eseguendo il processo, dobbiamo tenere traccia delle attività che hanno avuto luogo.

Anche se avremmo potuto consentire ad un utente di accedere alle nostre risorse, dobbiamo comunque assicurarci che si comporti in conformità con le regole in materia di sicurezza, condotta aziendale, etica, molestie e così via.

L’Accountability ci fornisce i mezzi per risalire alla fonte delle attività nel nostro ambiente, in modo che nessuno possa negare la propria responsabilità.

Inoltre, ci fornisce una serie di funzionalità, se adeguatamente implementate, che possono essere di grande utilità nella conduzione delle attività quotidiane di sicurezza e IT nelle nostre organizzazioni.

In particolare, le organizzazioni devono fare attenzione all’Accountability al fine di garantire la conformità con le leggi o i regolamenti associati ai tipi di dato che gestiscono o al settore in cui operano.

Per garantire Accountability, abbiamo bisogno che altri strumenti siano presenti e funzionino correttamente.

L’Accountability dipende dalla presenza di elementi di identificazione, autenticazione e controllo degli accessi in modo da poter sapere a chi è associata una determinata azione e quali autorizzazioni sono state utilizzate per consentirgli di eseguirla.

Dato un monitoraggio e una registrazione adeguati, spesso possiamo fare esattamente questa operazione e determinare, in un tempo molto breve, i dettagli della situazione in questione.

È molto facile che l’ Accountability e gli strumenti di auditing associati, che sono comunemente collegati ad essa, vengano liquidati come strumenti “cattivi” perché danno un senso di controllo simile al Grande Fratello, che veglia costantemente alle nostre spalle.

In un certo senso, questo è vero, e un monitoraggio eccessivo di persone, luoghi e cose può indicare un ambiente malsano.

Possiamo anche spingerci troppo oltre nell’altra direzione. Se non disponiamo di controlli sufficienti per scoraggiare coloro che violerebbero le regole e abuserebbero delle risorse a cui hanno accesso, anche noi possiamo finire in una brutta situazione.

La chiave è sviluppare un sistema che consenta di essere conforme a tutte le leggi applicabili e fornisca un livello ragionevole di sicurezza basato sulla tolleranza al rischio dell’organizzazione.

Se consideriamo l’esempio dello scandalo Enron nel 2001, possiamo vedere un caso in cui, a causa della mancanza di controlli di accountability nei confronti dei suoi azionisti, consiglio di amministrazione, revisori dei conti e il governo degli Stati Uniti, Enron è stata in grado di frodare i suoi investitori per miliardi di dollari.

Questo è stato uno degli eventi che hanno spinto la promulgazione di SOX, diretta specificamente a fermare tali pratiche.

In alcuni casi, come questi, il parametro di accountability equivale in una certa misura alla trasparenza.

In alcune situazioni, le nostre attività devono essere trasparenti ad alcuni utenti, come gli azionisti in questo caso, al fine di ritenerci responsabili delle nostre azioni.

Tale trasparenza è dettata dalla legge nelle società quotate in borsa.

Potremmo anche vedere casi in cui l’accountability è sollecitata da agenzie esterne, ma l’impulso per conformarsi a questi requisiti deve provenire dall’interno delle nostre organizzazioni.

Possiamo vedere un esempio di ciò nei requisiti per la notifica a coloro che hanno avuto informazioni personali o finanziarie esposte in modo non autorizzato in una violazione della sicurezza.

Tali violazioni sembrano avvenire con inquietante regolarità e generalmente possiamo trovarne un esempio attuale attraverso una breve ricerca online.

Quando un’azienda subisce una violazione, spesso sarà tenuta a informare coloro le cui informazioni sono state esposte.

In molti casi, tuttavia, le violazioni non sono note all’esterno dell’azienda se non da pochissime persone, fino a quando non vengono effettivamente comunicate a coloro che sono stati coinvolti (gli utenti finali).

E’ evidente che l’organizzazione colpita, in questi casi, tenta di proteggere il più possibile la propria immagine e la propria reputazione, ma non diffondendo tali informazioni il danno è molto peggiore e spesso gli utenti finali restano ignari delle violazioni subite.

error: Content is protected !!

Complimenti! Ti sei iscritto alla nostra Newsletter

C'è stato un errore durante l'invio della richiesta. Per favore riprova.

Computer Security will use the information you provide on this form to be in touch with you and to provide updates and marketing.