I controlli ISO 27002: 8.5 Autenticazione sicura

n questo articolo proseguiamo l’esame dei controlli di sicurezza linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC  27002:2023 – Controlli di sicurezza) trattando il Controllo8.5 Autenticazione sicura.

L’Autenticazione Sicura come prima linea di difesa.

La porta d’ingresso dei vostri dati: quanto è robusta?

Immaginate la sicurezza delle informazioni come un edificio. Potete avere i muri più spessi, le finestre blindate e i sistemi di allarme più sofisticati, ma se la porta d’ingresso ha una serratura debole, tutto il resto diventa inutile. L’autenticazione è esattamente questa porta d’ingresso: il primo controllo che determina chi può accedere ai vostri sistemi e alle vostre informazioni.

Il controllo 8.5 della norma ISO/IEC 27002:2022 si concentra proprio su questo aspetto critico, stabilendo i requisiti per garantire che solo utenti e soggetti effettivamente autorizzati possano accedere a sistemi, applicazioni e servizi aziendali.

Che cos’è l’autenticazione sicura

L’autenticazione è il processo attraverso cui un sistema verifica che un utente sia effettivamente chi dichiara di essere. Non si tratta semplicemente di inserire una password, ma di un processo strutturato che deve:

• Verificare l’identità reale dell’utente o del sistema richiedente
• Utilizzare tecniche adeguate al livello di sensibilità delle informazioni da proteggere
• Integrare misure di sicurezza avanzate per prevenire accessi non autorizzati

La differenza tra un’autenticazione debole e una sicura può determinare il successo o il fallimento dell’intero sistema di protezione dei dati.

I tre livelli di autenticazione

1. Autenticazione di base: username e password

La classica coppia username-password rappresenta la forma più semplice di autenticazione. Nonostante sia ancora molto diffusa, presenta limiti significativi:

• Le password possono essere indovinate, rubate o intercettate
• Gli utenti tendono a riutilizzare le stesse password su più sistemi
• Spesso vengono scelte password deboli o facilmente intuibili

La norma ISO 27002 considera questo metodo accettabile solo in ambienti a basso rischio o come componente di sistemi più complessi (autenticazione multifattoriale). Per proteggere informazioni sensibili o critiche, è necessario passare a livelli superiori.

2. Autenticazione forte (Strong Authentication)

L’autenticazione forte utilizza meccanismi più robusti e difficili da compromettere:

• Certificati digitali: credenziali elettroniche che garantiscono l’identità dell’utente
• Token hardware o software: dispositivi o applicazioni che generano codici temporanei
• Smart card: carte con chip che contengono credenziali crittografiche
• Autenticazione biometrica: impronte digitali, riconoscimento facciale, scansione della retina

Questi metodi sono molto più sicuri rispetto alla semplice password, ma hanno un costo maggiore in termini di implementazione e gestione.

3. Autenticazione a più fattori (MFA)

L’autenticazione multifattoriale rappresenta il gold standard della sicurezza moderna. Si basa sulla combinazione di almeno due fattori tra:

Qualcosa che conosci → Una password, un PIN, una risposta segreta

Qualcosa che possiedi → Un token fisico, uno smartphone, una smart card

Qualcosa che sei → Un’impronta digitale, il volto, la voce, la retina

La forza della MFA sta nel fatto che anche se un fattore viene compromesso (ad esempio, qualcuno scopre la vostra password), l’attaccante non può comunque accedere senza il secondo fattore. È come avere una porta con due serrature diverse: servono entrambe le chiavi.

Requisiti tecnici per un sistema di autenticazione sicuro

La norma ISO 27002 non si limita a definire quali tecnologie usare, ma stabilisce anche come devono comportarsi i sistemi durante il processo di autenticazione. Ecco i requisiti fondamentali:

Durante la fase di login

Non mostrare informazioni sensibili: Prima che l’accesso sia autorizzato, il sistema non deve visualizzare dati riservati, nemmeno parzialmente.

Visualizzare un avviso legale: L’utente deve vedere chiaramente che sta accedendo a un sistema riservato e che l’accesso non autorizzato è vietato. Questo ha anche valore legale in caso di contestazioni.

Messaggi di errore generici: Evitate messaggi specifici come “password errata” o “utente non trovato”. Un attaccante può usare queste informazioni per capire se un username esiste nel sistema. Meglio un generico “credenziali non valide”.

Validazione dopo inserimento completo: Il sistema deve attendere che l’utente abbia inserito tutti i dati richiesti prima di validarli. Questo rende più difficile per un attaccante capire quale campo è errato.

Protezione contro gli attacchi

Limitare i tentativi errati: Dopo un certo numero di tentativi falliti (tipicamente 3-5), il sistema deve:

• Introdurre un CAPTCHA per verificare che si tratti di un essere umano
• Bloccare temporaneamente l’account
• Richiedere una procedura di reset

Registrare gli eventi: Tutti i tentativi di accesso, riusciti e falliti, devono essere registrati nei log. Questo permette di individuare pattern sospetti e tentativi di intrusione.

Notifiche di accessi anomali: Se il sistema rileva un accesso insolito (da una nuova posizione geografica, in orari strani, dopo molti tentativi falliti), deve avvisare l’utente e gli amministratori.

Durante e dopo l’accesso

Informazioni post-login: Dopo un accesso riuscito, mostrate all’utente informazioni utili come:

• Data e ora dell’ultimo accesso
• Numero di tentativi falliti dall’ultimo login
• Eventuali modifiche recenti all’account

Questo permette all’utente di rilevare accessi non autorizzati al proprio account.

Nascondere le password: Durante la digitazione, i caratteri della password devono essere mascherati (asterischi o pallini). Eccezioni sono possibili solo in casi specifici, ad esempio quando l’utente lo richiede esplicitamente.

Trasmissione sicura: Le password e altre credenziali non devono mai essere trasmesse in chiaro attraverso la rete. Utilizzate sempre connessioni crittografate (HTTPS, TLS).

Gestione delle sessioni:

• Terminate automaticamente le sessioni dopo un periodo di inattività (tipicamente 15-30 minuti)
• Limitate la durata massima delle sessioni, specialmente per applicazioni critiche (es. sistemi bancari, cartelle cliniche)
• Per applicazioni ad alto rischio, considerate di richiedere una riautenticazione per operazioni particolarmente sensibili

L’autenticazione biometrica: opportunità e limiti

La biometria è spesso vista come la soluzione definitiva per l’autenticazione, ma presenta alcune criticità specifiche che devono essere considerate:

Vantaggi

• Non può essere dimenticata (a differenza di una password)
• Difficile da trasferire o condividere
• Esperienza utente generalmente fluida

Limiti e precauzioni

Variabilità biologica: Le caratteristiche biometriche possono cambiare nel tempo o in determinate condizioni:

• Le impronte digitali possono essere meno leggibili con l’umidità, l’età o a causa di danni fisici
• Il riconoscimento facciale può essere influenzato da cambiamenti nell’aspetto (barba, occhiali, invecchiamento)
• Le condizioni ambientali (illuminazione, rumore) possono influire sulla lettura

Necessità di alternative: Per questi motivi, un sistema biometrico deve sempre prevedere metodi alternativi di autenticazione per situazioni in cui il sistema biometrico non funziona.

Irrevocabilità: A differenza di una password, non potete “cambiare” le vostre impronte digitali se vengono compromesse. Per questo motivo:

• I dati biometrici devono essere protetti con particolare attenzione
• Deve essere possibile disabilitare o invalidare un’autenticazione biometrica compromessa
• È consigliabile utilizzare la biometria sempre in combinazione con altri fattori (MFA)

Errori comuni nell’implementazione dell’autenticazione

Nella mia esperienza di consulenza, ho osservato alcuni errori ricorrenti che indeboliscono significativamente la sicurezza:

1. Policy di password inadeguate

Richiedere solo 6 caratteri, senza complessità minima, rende le password facilmente violabili. Al contrario, policy troppo rigide (cambio ogni 30 giorni con requisiti complessi) portano gli utenti a scrivere le password su post-it.

2. Assenza di MFA su sistemi critici

Proteggere con semplice password sistemi che gestiscono dati finanziari, sanitari o strategici è un rischio inaccettabile nel 2025.

3. Messaggi di errore troppo dettagliati

“Password errata per l’utente mario.rossi” fornisce all’attaccante metà dell’informazione necessaria per entrare.

4. Mancanza di monitoraggio

Non registrare e analizzare i tentativi di accesso falliti significa perdere la possibilità di individuare attacchi in corso.

5. Sessioni senza scadenza

Lasciare sessioni aperte indefinitamente espone al rischio che qualcun altro utilizzi un terminale incustodito.

Come implementare un’autenticazione sicura: passi pratici

Se dovete migliorare o implementare da zero il sistema di autenticazione nella vostra organizzazione, ecco un percorso consigliato:

Fase 1: Valutazione del rischio

Classificate i vostri sistemi e dati in base alla sensibilità:

• Basso rischio: informazioni pubbliche o non sensibili
• Medio rischio: dati aziendali interni, non critici
• Alto rischio: dati personali, finanziari, strategici

Fase 2: Scelta del livello di autenticazione

• Basso rischio → Password robusta può bastare
• Medio rischio → Autenticazione forte o MFA consigliata
• Alto rischio → MFA obbligatoria

Fase 3: Definizione delle policy

Documentate chiaramente:

• Requisiti minimi per le password (lunghezza, complessità, scadenza)
• Regole per la MFA (quali fattori, quando richiesta)
• Gestione degli account bloccati
• Procedura di recupero credenziali

Fase 4: Implementazione tecnica

Configurate i sistemi per rispettare tutti i requisiti della norma visti sopra: blocco dopo tentativi errati, logging, timeout sessioni, ecc.

Fase 5: Formazione degli utenti

Spiegate agli utenti:

• Perché le nuove misure sono necessarie
• Come utilizzare correttamente i sistemi di autenticazione
• Come riconoscere tentativi di phishing o social engineering

Fase 6: Monitoraggio continuo

Verificate regolarmente:

• I log di accesso per individuare anomalie
• Il tasso di successo dell’autenticazione biometrica (se usata)
• Il numero di account bloccati e le cause
• Il rispetto delle policy da parte degli utenti

L’autenticazione nel contesto GDPR

Per le organizzazioni che trattano dati personali (praticamente tutte), l’autenticazione sicura non è solo un requisito della ISO 27001, ma anche un obbligo derivante dal GDPR. Il Regolamento richiede esplicitamente che il titolare del trattamento implementi “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Un’autenticazione inadeguata che porta a una violazione di dati personali può comportare:

• Sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo
• Obbligo di notifica al Garante entro 72 ore
• Danno reputazionale significativo
• Possibili azioni legali da parte degli interessati

Conclusioni: l’autenticazione è solo l’inizio

Il controllo 8.5 della ISO 27002 ci ricorda una verità fondamentale: l’autenticazione è la prima barriera contro le minacce informatiche. Se questa barriera cede, tutto il resto del sistema di sicurezza diventa vulnerabile.

Investire in un’autenticazione sicura non è un costo, ma una necessità strategica. La scelta tra autenticazione debole e autenticazione forte può fare la differenza tra un’organizzazione resiliente e una che subisce una violazione dei dati con tutte le conseguenze che ne derivano.

La buona notizia è che oggi le tecnologie per implementare autenticazioni sicure sono mature, accessibili e sempre più user-friendly. Non ci sono più scuse per rimandare.

La domanda da porsi non è “dobbiamo implementare la MFA?”, ma “perché non l’abbiamo ancora fatto?”.

Approfondimenti

Per chi desidera approfondire il tema dell’autenticazione delle entità e dei relativi livelli di garanzia, si consiglia la lettura della norma ISO/IEC 29115, che fornisce un framework completo per la valutazione e la selezione dei metodi di autenticazione appropriati.