C’è una scena che si ripete in quasi tutte le organizzazioni certificate ISO 27001. Un nuovo dipendente viene assunto, riceve un laptop, un account di dominio, accesso alle applicazioni, credenziali VPN. Il processo è veloce, spesso automatizzato, apparentemente ordinato. Tutto funziona. Tutto è tracciato. Tutto è conforme. Poi, qualche mese dopo, quella stessa persona cambia ruolo. O lascia l’azienda. O viene spostata su un altro progetto. E qui il sistema comincia a mostrare crepe invisibili.
L’accesso, in molte organizzazioni, non è un evento. È un accumulo.
La norma ISO 27001 parla chiaramente di controllo degli accessi, di gestione dei privilegi, di revisione periodica. Sulla carta è tutto lineare: definire ruoli, assegnare privilegi minimi, rivedere con frequenza stabilita. Eppure, nella pratica, il controllo degli accessi è uno dei punti più fragili dell’intera architettura di sicurezza.
Il motivo è semplice: l’accesso è dinamico, ma i controlli spesso sono statici.
Le aziende implementano policy. Formalizzano procedure. Redigono documenti. Ma l’accesso reale vive nei sistemi, nelle directory, nei gruppi, nelle eccezioni temporanee che diventano permanenti. Vive nella distanza tra HR e IT, tra cambiamento organizzativo e aggiornamento tecnico.
Il problema non è che manchino regole. Il problema è che l’accesso si espande più velocemente della capacità di controllarlo.
Ogni account attivo è una superficie. Ogni privilegio non revocato è una porta socchiusa. Ogni ruolo non riallineato è un rischio latente.
La gestione degli accessi è il luogo dove la compliance incontra la realtà operativa. Ed è qui che spesso si consuma l’illusione.
Un’azienda può avere una policy perfetta. Può avere un processo formalizzato. Può avere un registro firmato di revisione trimestrale. Ma se nessuno misura il tempo medio di revoca, la percentuale di account orfani, la coerenza tra ruolo HR e privilegi IT, la conformità è solo apparente.
Il vero problema non è l’accesso iniziale. È la permanenza dell’accesso nel tempo.
Quando l’accesso diventa rischio sistemico
In molte organizzazioni il provisioning è rapido e strutturato, mentre il deprovisioning è lento e manuale. L’asimmetria è quasi fisiologica. Si investe per abilitare il business. Si rimanda la disciplina della revoca.
Il risultato è un accumulo progressivo di privilegi.
Account ex-dipendenti ancora attivi.
Utenti con privilegi ereditati da ruoli precedenti.
Accessi applicativi mai riconciliati con la struttura organizzativa.
Questa stratificazione silenziosa non emerge nei documenti. E raramente emerge negli audit se non viene cercata con criteri numerici.
Il controllo reale non si misura chiedendo: “Abbiamo una procedura di revisione accessi?”.
Si misura chiedendo: “Quanto tempo impieghiamo a revocare un privilegio non più giustificato?”
La differenza è radicale.
Un controllo documentale produce firme.
Un controllo operativo produce numeri.
E i numeri raccontano sempre una storia meno rassicurante.
Anatomia tecnica di un controllo di accesso maturo
Per trasformare la gestione degli accessi in un controllo reale, bisogna osservare tre dimensioni: copertura, latenza, deriva.
La copertura riguarda la percentuale di asset e applicazioni realmente integrate nel sistema di Identity & Access Management. La latenza misura il tempo che intercorre tra evento organizzativo e aggiornamento tecnico. La deriva indica lo scostamento progressivo tra ruolo formale e privilegi effettivi.
Vediamo cosa accade quando iniziamo a misurare.
Scenario reale simulato
Organizzazione con:
- 850 utenti attivi
- 47 applicazioni critiche
- 120 account privilegiati
- Revisione accessi trimestrale documentata
Analisi tecnica produce:
- 32 account di ex-dipendenti ancora attivi
- 18 utenti con privilegi superiori al ruolo corrente
- 14 applicazioni non integrate con IAM centrale
- Tempo medio di revoca post-uscita: 9 giorni
Ora traduciamo in numeri.
Copertura IAM
Applicazioni integrate: 33 su 47
33 / 47 = 70%
Il 30% delle applicazioni critiche è fuori dal controllo centralizzato.
Un audit documentale potrebbe non evidenziare questo dato.
Un controllo operativo lo rende immediatamente visibile.
Account orfani
32 account su 850 utenti
32 / 850 = 3,76%
Se la soglia target è < 0,5%, il sistema è strutturalmente fuori controllo.
Tempo medio di revoca
9 giorni medi
Se la policy interna dichiara 24 ore, abbiamo un delta di 8 giorni di esposizione non governata.
Calcoliamo l’esposizione potenziale:
32 account × 9 giorni = 288 giorni/uomo di accesso non autorizzato cumulativo.
Questo è il tipo di numero che cambia la percezione del rischio.
Deriva dei privilegi
18 utenti con privilegi superiori al ruolo
18 / 850 = 2,1%
Se consideriamo che questi utenti hanno accesso a sistemi finanziari o dati sensibili, il rischio non è teorico ma strutturale.
Comparazione: approccio rituale vs approccio operativo
| Indicatore | Approccio rituale | Approccio operativo |
| Revisione accessi | Trimestrale firmata | Continua con alert |
| Integrazione IAM | Parziale | 100% asset critici |
| Revoca post-uscita | Manuale | Automatizzata HR-IT |
| KPI monitorati | Nessuno | TMR, orfani %, deriva % |
| Escalation | Solo audit | Automatica oltre SLA |
La formula della fragilità invisibile
Possiamo sintetizzare il rischio di accesso in questa relazione:
Rischio accessi ≈ (Account orfani + Privilegi in eccesso) × Tempo medio di esposizione / Copertura IAM
Nel caso simulato:
(32 + 18) × 9 / 0,70 = 50 × 9 / 0,70
= 450 / 0,70
= 642 unità di esposizione relativa
La formula non è assoluta, ma mostra la dinamica:
più alta è la latenza, più bassa è la copertura, maggiore è il rischio sistemico.
La gestione degli accessi non è una voce di controllo. È un indicatore di maturità organizzativa.
Un’azienda che misura la latenza di revoca, che integra HR e IT in tempo reale, che monitora la deriva dei privilegi, non sta semplicemente rispettando ISO 27001. Sta costruendo resilienza strutturale.
Un’azienda che firma una revisione trimestrale senza misurare l’esposizione sta mantenendo un’illusione ordinata.
La differenza non si vede nei documenti.
Si vede nei log.
📘 Approfondisci il metodo completo nel libro:
🇮🇹 https://www.amazon.it/dp/B0GJCYHP76
🇫🇷 https://www.amazon.fr/dp/B0GJD7T6XG