Soluzioni tecniche

Nuovo collega IT: quali privilegi?

06 Marzo 2017

Tutte le aziende, dalle più piccole alle più grandi, quando si comincia a lavorare con una nuova persona nel reparto IT devono fronteggiare questo problema: come dare sufficiente autonomia di lavoro a chi sta iniziando evitando però di consegnargli le chiavi dell'intera azienda?

Perché diciamolo: dare le credenziali di amministratore di dominio a una persona che è appena arrivata e si deve ancora formare è un po' come dare le chiavi di una Ferrari a un neopatentato
Analizziamo insieme soluzioni e possibilità.
 

Nessun privilegio: il modo più rapido per pentirsi
Una possibile scelta è quella di non assegnare nessun privilegio.
Se non diamo nessun privilegio alle persone che stanno iniziando a lavorare con noi, praticamente non potranno svolgere nessuna attività in modo autonomo e questo vuol dire che saremo costretti a fare avanti e indietro per la nostra scrivania e la sua dandogli e togliendogli permessi ogni 2 minuti.
Questa scelta porterà sicuramente a frustrazione e probabilmente risentimento.
Per contro l'esperienza di tanti insegna che consegnare le password amministrative a un neoassunto può portare pentimento … tanto pentimento.

Privilegi elevati: un disastro
Un approccio più fiducioso è quello di assegnare privilegi amministrativi elevati al neo collega, in modo che possa lavorare senza il tuo continuo intervento.
Per contro è noto che assegnare privilegi troppo elevati a persone impreparate può generare dei disastri: server formattati per errore, mail server bloccati, backup cancellati e la lista potrebbe continuare all'infinito.
In effetti si tratta di veri e propri attacchi all'azienda (involontari, si spera) portati dall'interno (come se non bastassero quelli che arrivano dall'esterno).
Se da un lato abbiamo i vantaggi di avere una persona che svolge i compiti da solo, grazie ai diritti amministrativi, dall’altro ci sono i rischi che si corrono per aver concesso troppa autonomia.

La giusta via di mezzo
"In medio stat virtus" avrebbero detto i romani: cioè la cosa giusta è una via di mezzo.
E arrivano le buone notizie: con il rilascio di Windows Server 2016 è stata introdotta una novità forse non molto pubblicizzata, ma di sicuro interesse: si tratta del Just enough and just in time Administration.

Detto in parole povere si tratta di una funzionalità che permette di assegnare determinati diritti a un utente e impostare un limite temporale oltre il quale questi privilegi scadono: il limite temporale dovrebbe essere assegnato in modo tale da permettere alla persona di eseguire il compito assegnato. Un semplice e chiaro esempio di questa funzione è illustrato qui.

In linea teorica questa è una soluzione definitiva: da un lato infatti puoi delegare completamente un'attività alla nuova persona lasciandola autonoma nel lavoro, ma dall'altro lato sei certo che abbia dei limiti ben precisi temporali e di diritti.

Sei hai già un server Windows 2016 potrebbe essere cosa buona e giusta provare questa caratteristica.
 

Un'altra possibilità
Un altro approccio potrebbe assegnare 2 account a ogni persona: uno per l'utilizzo quotidiano e uno per i task amministrativi. Oltre a questo è necessario attivare un meccanismo di tracking per verificare quello che viene fatto quando ci si logga come amministratore.
In effetti questa è una tecnica utilizzata in molte aziende, ma ha un problema abbastanza rilevante per la verità: non si tratta di un approccio preventivo e proattivo, ma esclusivamente reattivo ossia una volta che il danno è stato fatto possiamo andare a scoprire qual è operatore ha eseguito un compito creando un danno, ma poi non abbiamo più nessun modo per porvi rimedio.
 

Conclusioni
Analizzando i vari scenari proposti è impossibile arrivare a dare una conclusione certa è valida per tutti su quale sia il miglior approccio da tenere: la scelta di quanti e quali diritti assegnare a un nuovo collaboratore che segue l'IT dipende anche dalle dimensioni e delle organizzazione dell'azienda.

Se sei in un'azienda piccola probabilmente la soluzione migliore consiste nel dare al nuovo impiegato un account personale e uno amministrativo dando a quest'ultimo tutti i privilegi di cui necessita per poter operare anche quando tu non ci sei. Se temi che possa succedere qualcosa installa un software di logging.
Se sei davvero preoccupato (e non dormi la notte) puoi riconsiderare completamente la persona e troncare sul nascere la relazione oppure investire nella su formazione.

Se lavori in un'azienda media o grande probabilmente l'approccio Just enough and just in time Administration è la soluzione migliore perché correre il rischio di consegnare nelle mani di una singola persona tutto il business aziendale non è accettabile.
 

Proteggi i dati della tua azienda
C’è però una considerazione sempre valida indipendentemente dalle dimensioni dell'azienda e dall’approccio con cui fai entrare nuove risorse: devi accertarti che ai backup possa accedere SOLO personale qualificato, perchè si tratta di una copia di tutti i dati della tua azienda riuniti in un unico posto.

Prova a pensare a cosa succederebbe se un impiegato si portasse via un disco con tutti i dati: potresti subire davvero un danno enorme.

Ci sono tre cose che puoi fare per proteggere la tua azienda:

  1. devi stabilire che l’accesso ai backup sia possibile solo a personale fidato e preparato;
  2. assicurati che sia cifrato con sistemi di cifratura come AES 256;
  3. accertati di avere una replica di dati fuori sede.

BackupAssist è il software affidabile ed economico che ti offre tutte queste possibilità, con un'unica semplicissima interfaccia di gestione.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.