Al giorno d'oggi tutte le imprese hanno dei segreti digitali che vanno tenuti al sicuro per proteggere l'intero business. I segreti digitali comprendono chiavi di autenticazione, password e qualsiasi altro tipo di credenziali che consentono a dipendenti e applicazioni di accedere e connettersi a risorse o servizi aziendali.
Mettere in sicurezza queste informazioni non è semplice: spesso, per lo più a causa di errori umani, le credenziali vengono esposte su canali non protetti, permettendo agli attaccanti di ottenerle facilmente.
Le casseforti digitali sono un ottimo modo per memorizzare i segreti, ma non monitorano l'utilizzo di credenziali né offrono insight su eventuali esposizioni in rete.
Alon Jackson, CEO e co-fondatore di Astrix Security, fornitore di soluzioni di sicurezza per le connessioni app-to-app, ha condiviso tre best practice da seguire per tenere al sicuro le informazioni sensibili aziendali.
Prima di tutto è bene definire un set di linee guida che identificano quali sono i segreti interni e quelli esterni. Generalmente i primi sono chiavi e altri token creati dai team R&D che vengono utilizzati (o meglio, dovrebbero essere utilizzati) solo all'interno dell'azienda. I segreti esterni sono quelli generati da plug-in, estensioni e applicazioni di terze parti e che quindi non si possiedono direttamente.
È importante fare una distinzione chiara tra i due tipi in modo da seguire le regole più appropriate per tenerli al sicuro.
È inoltre necessario implementare delle pratiche di analisi comportamentale per capire come vengono usati i segreti e se quelli interni vengono condivisi con l'esterno. Monitorare continuamente i segreti interni è fondamentale per individuare possibili rischi di sicurezza e agire il prima possibile per contenerli.
Infine, è importante avere una visione chiara del contesto di ogni segreto per capire quali risorse coinvolge e qual è il reale impatto di un eventuale leak; in questo modo è possibile dare la giusta priorità agli asset e agli interventi.
Vista l'importanza dei segreti digitali, è tempo che le aziende implementino misure forti di governance per ridurre i rischi di sicurezza.