Iniziamo con questo articolo una disamina dei controlli delle linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC 27002:2023 – Controlli di sicurezza) trattando il controllo 5.3: Separazione dei compiti (I compiti e le aree di responsabilità in conflitto devono essere separati.).
Cos’è la separazione o segregazione dei compiti?
La segregazione dei compiti (o separation of duties) è una misura di sicurezza che prevede di assegnare compiti e responsabilità in conflitto a persone diverse.
L’obiettivo principale è evitare che una sola persona possa compromettere la sicurezza delle informazioni attraverso errori, frodi o comportamenti malevoli non rilevati.
Perché è importante?
Separare i compiti riduce il rischio che:
- Una persona agisca senza controllo (ad esempio, approvando e implementando da sola una modifica critica).
- Errori o azioni fraudolente passino inosservate.
- I controlli di sicurezza possano essere aggirati.
In sintesi: nessuno deve essere nella posizione di poter “fare tutto” senza supervisione.
Esempi pratici di attività da separare
Alcune situazioni tipiche in cui serve la segregazione sono:
- Modifiche ai sistemi: chi propone un cambiamento, chi lo approva e chi lo esegue devono essere persone diverse.
- Gestione degli accessi: chi richiede un accesso, chi lo approva e chi lo concede dovrebbero essere separati.
- Sviluppo software: chi sviluppa il codice non dovrebbe essere la stessa persona che lo approva o che lo implementa in produzione.
- Amministrazione dei sistemi: chi usa un’applicazione non dovrebbe anche amministrarla.
- Controlli di sicurezza: chi progetta i controlli non dovrebbe essere chi li verifica.
Cosa fare se la separazione è difficile (es. nelle piccole organizzazioni)?
Non sempre è possibile separare completamente i compiti, soprattutto in organizzazioni più piccole. In questi casi, si possono adottare controlli alternativi, come:
- Supervisione da parte di un responsabile.
- Monitoraggio continuo delle attività.
- Analisi dei log e delle sequenze di controllo.
L’importante è dimostrare di avere comunque un sistema di controllo che limiti i rischi.
Ruoli e accessi: attenzione ai conflitti!
Quando si gestiscono i permessi tramite ruoli (ad esempio, in sistemi di accesso basati su RBAC – Role Based Access Control), è fondamentale:
- Verificare che i ruoli assegnati non siano in conflitto (es: non assegnare a una persona sia il ruolo di sviluppatore che quello di revisore del codice).
- Utilizzare strumenti automatizzati per individuare e gestire eventuali conflitti.
- Definire bene i ruoli sin dall’inizio per semplificare la gestione in caso di cambiamenti.
In breve
| Punto chiave | Significato |
| Separare compiti in conflitto | Nessuno deve poter operare da solo senza controllo |
| Scopo | Ridurre frodi, errori e vulnerabilità |
| Esempi | Modifiche ai sistemi, gestione accessi, sviluppo software |
| Soluzioni alternative | Supervisione, monitoraggio, analisi log |
Esempi di attività da separare
- Modifica dei sistemi: richiesta ≠ approvazione ≠ esecuzione
- Gestione degli accessi: richiesta ≠ approvazione ≠ implementazione
- Sviluppo software: sviluppo ≠ revisione ≠ messa in produzione
- Amministrazione: uso ≠ gestione delle applicazioni/database
Se non è possibile separare?
🔹 Supervisione diretta
🔹 Monitoraggio delle attività
🔹 Analisi dei log
Questo controllo è presente in altri framework di sicurezza delle informazioni come il COBIT.
