Salta al contenuto
CQ
CertifyQuiz

Ripasso rapido

Ripasso rapido: Controlli di accesso – ISC2 CC

Questa scheda di ripasso ti aiuta a rivedere i concetti fondamentali dei controlli di accesso prima di affrontare il quiz sul topic Controlli di accesso.

🚀 Vai al quiz← Torna al topic

Cosa devi sapere davvero

I controlli di accesso servono a stabilire chi può accedere a sistemi, dati, applicazioni e risorse, e con quali permessi. Per ISC2 CC devi capire la differenza tra identificazione, autenticazione, autorizzazione e accounting.

Il punto centrale è semplice: non basta sapere chi è un utente. Bisogna anche verificare la sua identità, assegnare solo i permessi necessari e controllare nel tempo che quegli accessi siano ancora corretti.

Concetti chiave

  • Identificazione: l’utente dichiara chi è, ad esempio tramite username.
  • Autenticazione: il sistema verifica l’identità dell’utente.
  • Autorizzazione: il sistema decide cosa l’utente può fare.
  • Accounting: registra e traccia le attività dell’utente.
  • MFA: richiede più fattori di autenticazione.
  • Least privilege: concede solo i permessi necessari.
  • Need to know: permette accesso solo alle informazioni necessarie.
  • RBAC: assegna permessi in base al ruolo.
  • Account lifecycle: gestione degli account dalla creazione alla disattivazione.
  • Access review: revisione periodica dei permessi assegnati.

Differenze da non confondere

ConcettoSignificato principale
IdentificazioneDichiarare chi si è
AutenticazioneVerificare l’identità
AutorizzazioneStabilire cosa si può fare
AccountingTracciare le attività
MFAUsare più fattori di autenticazione
Least privilegeDare solo i permessi necessari
Need to knowDare accesso solo alle informazioni necessarie
RBACGestire permessi in base ai ruoli

Identificazione, autenticazione e autorizzazione

Questi tre concetti sono spesso confusi nei quiz.

L’identificazione avviene quando un utente dichiara la propria identità, ad esempio inserendo uno username.

L’autenticazione avviene quando il sistema verifica che l’utente sia davvero chi dice di essere, ad esempio tramite password, token, impronta digitale o MFA.

L’autorizzazione avviene dopo l’autenticazione e stabilisce cosa l’utente può fare: leggere dati, modificare file, accedere a un’applicazione o amministrare un sistema.

Esempio semplice:

  • username = identificazione;
  • password o MFA = autenticazione;
  • permessi assegnati = autorizzazione.

Accounting e tracciamento

L’accounting riguarda la registrazione delle attività degli utenti. Serve a sapere chi ha fatto cosa, quando e da dove.

Esempi di accounting:

  • log di accesso;
  • audit trail;
  • registrazione delle modifiche;
  • tracciamento delle attività amministrative;
  • monitoraggio degli accessi falliti.

Per ISC2 CC devi ricordare che l’accounting è importante per investigazioni, audit, compliance e rilevamento di comportamenti sospetti.

MFA

La MFA, Multi-Factor Authentication, richiede più fattori di autenticazione. I fattori principali sono:

  • qualcosa che sai, come una password;
  • qualcosa che hai, come un token o uno smartphone;
  • qualcosa che sei, come impronta digitale o riconoscimento biometrico.

La MFA è più sicura della sola password perché riduce il rischio che un account venga compromesso se un singolo fattore viene rubato.

Least privilege

Il principio del least privilege stabilisce che utenti, processi e applicazioni devono avere solo i permessi minimi necessari per svolgere il proprio compito.

Questo riduce il rischio di abuso, errore umano e danni in caso di account compromesso.

Esempio: un utente che deve solo consultare report non dovrebbe avere permessi di amministratore.

Need to know

Il principio del need to know stabilisce che un utente deve accedere solo alle informazioni realmente necessarie per il proprio lavoro.

È simile al least privilege, ma si concentra soprattutto sull’accesso alle informazioni.

Esempio: un dipendente può essere autorizzato ad accedere al sistema HR, ma non deve necessariamente vedere tutti i dati sensibili dei dipendenti se non gli servono.

RBAC

RBAC significa Role-Based Access Control. In questo modello, i permessi vengono assegnati ai ruoli e gli utenti ricevono accessi in base al ruolo che ricoprono.

Esempi di ruoli:

  • utente standard;
  • responsabile;
  • amministratore;
  • auditor;
  • help desk.

RBAC semplifica la gestione degli accessi perché evita di assegnare permessi manualmente utente per utente.

Account lifecycle

Il ciclo di vita degli account comprende tutte le fasi di gestione di un account:

  • creazione;
  • assegnazione dei permessi;
  • modifica dei permessi quando cambia il ruolo;
  • sospensione;
  • disattivazione;
  • rimozione degli accessi non più necessari.

Un errore molto comune è lasciare attivi account di utenti che non lavorano più nell’organizzazione o mantenere privilegi vecchi dopo un cambio di ruolo.

Access review

Le access review sono controlli periodici sui permessi assegnati agli utenti.

Servono a verificare che:

  • gli utenti abbiano ancora bisogno degli accessi concessi;
  • non ci siano privilegi eccessivi;
  • gli account inattivi vengano rimossi;
  • gli accessi amministrativi siano giustificati;
  • i cambi di ruolo siano stati gestiti correttamente.

Le revisioni periodiche riducono il rischio di privilege creep, cioè l’accumulo progressivo di permessi non più necessari.

Errori comuni nei quiz

  • Confondere autenticazione e autorizzazione.
  • Pensare che lo username sia autenticazione.
  • Pensare che la password da sola sia sempre sufficiente.
  • Confondere least privilege e need to know.
  • Dimenticare che gli accessi devono essere rivisti periodicamente.
  • Pensare che RBAC significhi dare gli stessi permessi a tutti.
  • Dimenticare di disattivare account non più usati.
  • Confondere accounting con autenticazione.

Mini scenario d’esame

Un dipendente cambia reparto ma mantiene tutti i permessi del ruolo precedente, oltre ai nuovi permessi. Questa situazione rappresenta un problema di privilege creep.

La soluzione corretta è eseguire una revisione degli accessi e rimuovere i permessi non più necessari, applicando il principio del least privilege.

Mini checklist prima del quiz

Prima di iniziare il quiz dovresti saper spiegare:

  • la differenza tra identificazione, autenticazione e autorizzazione;
  • a cosa serve l’accounting;
  • perché la MFA è più sicura della sola password;
  • cosa significa least privilege;
  • cosa significa need to know;
  • come funziona RBAC;
  • perché il ciclo di vita degli account è importante;
  • perché gli accessi devono essere rivisti periodicamente;
  • cosa significa privilege creep.

FAQ

Qual è la differenza tra autenticazione e autorizzazione?

L’autenticazione verifica l’identità dell’utente. L’autorizzazione stabilisce cosa l’utente può fare dopo essere stato autenticato.

Lo username è autenticazione?

No. Lo username serve principalmente a identificare l’utente. L’autenticazione avviene quando il sistema verifica l’identità, ad esempio con password, MFA o biometria.

Perché la MFA è importante?

La MFA riduce il rischio di compromissione degli account perché richiede più fattori di autenticazione, non solo una password.

Cosa significa least privilege?

Significa concedere solo i permessi necessari per svolgere un compito, evitando privilegi eccessivi.

Che cos’è RBAC?

RBAC, Role-Based Access Control, è un modello in cui i permessi vengono assegnati ai ruoli e gli utenti ricevono accessi in base al ruolo ricoperto.

Perché servono le access review?

Servono a controllare periodicamente che gli utenti abbiano ancora solo gli accessi necessari e a rimuovere permessi obsoleti o eccessivi.

Ora metti alla prova quello che hai ripassato

Dopo il ripasso, passa al quiz per verificare se hai davvero capito i concetti principali.

🚀 Vai al quiz