L’Università Bocconi è stata istituita a Milano nel 1902 ed è attualmente una delle principali università europee nel campo della ricerca e dell'istruzione. Specializzata nelle scienze sociali con un particolare focus sulla scienza dei dati e l'intelligenza artificiale, l'Università ha affrontato diverse minacce nel campo della sicurezza informatica negli ultimi anni.

Marco Pirovano

Phishing

L'email è ancora ampiamente utilizzata tra gli utenti dell'università, tra studenti, professori e a livello amministrativo. Nel corso degli anni, abbiamo riscontrato un aumento drammatico nei tentativi di phishing tramite email in arrivo, che sono sempre più sofisticati mentre gli utenti non sembrano essere sufficientemente consapevoli per riconoscerli. Per questo motivo, l'università ha avviato un programma di sensibilizzazione sulla sicurezza informatica con l'obiettivo di aumentare l’attenzione degli utenti quando sono su Internet e, soprattutto, quando gestiscono la loro casella di posta. Campagne fittizie di phishing vengono inviate periodicamente con l'obiettivo di incoraggiare gli utenti ad analizzare le email che ricevono e renderli consapevoli che un solo clic sbagliato potrebbe generare problemi per l'intero Ateneo. Nonostante gli sforzi, la minaccia è ancora presente. Dopotutto, basta un solo utente e un solo clic...

Policy sulle password

Per gli utenti, la gestione delle credenziali per accedere ai sistemi universitari rimane un problema, addirittura un fastidio. Perché è necessario cambiare periodicamente la propria password? Perché la password deve contenere determinate caratteristiche? Queste domande hanno spinto le persone ad adottare gradualmente sistemi di gestione delle password, per conservarle in modo sicuro e generarne di nuove che soddisfino i criteri richiesti dalle politiche dell'università. Tuttavia, basta un solo utente…

Gli utenti sono il punto debole

È evidente che gli utenti hanno un ruolo fondamentale nella sicurezza informatica. La tecnologia certamente aiuta e semplifica molto del nostro lavoro, ma dobbiamo ricordare che:

Così, l'università ha deciso di adottare l'Autenticazione Multi-Fattore (MFA), in cui viene inserito un secondo fattore di autenticazione (2FA) per rendere la catena più robusta. Questa è la nostra esperienza.

Cos'è l'MFA?

L'Autenticazione Multi-Fattore è un metodo di autenticazione in cui a un utente del computer viene concesso l'accesso solo dopo aver presentato con successo due o più prove (o fattori) a un meccanismo di autenticazione: conoscenza (qualcosa che solo l'utente conosce), possesso (qualcosa che solo l'utente possiede) e ereditarietà (qualcosa che solo l'utente è).

L'autenticazione a due fattori (2FA) è un tipo di Autenticazione Multi-Fattore. È un metodo per confermare le identità dichiarate dagli utenti utilizzando una combinazione di due fattori diversi:

• qualcosa che conoscono: password, frase di accesso, PIN
• qualcosa che possiedono: token fisico, autenticatore basato su telefono
• qualcosa che sono: biometrico, come impronta digitale o schema della retina.

Come funziona la 2FA

L'autenticazione a due fattori migliora la sicurezza delle credenziali utilizzando un dispositivo secondario per verificare l'identità dell'utente quando accede alle applicazioni universitarie. Questo servizio offre una sicurezza avanzata e protegge gli account nel caso in cui qualcuno riesca ad ottenere le credenziali di accesso.

Ecco i passaggi:

1. Inserisci le tue credenziali
2. Usa il tuo telefono per verificare la tua identità
3. Ora sei connesso in modo sicuro

Accesso con Single Sign-On: da dove cominciare

L'accesso a qualsiasi applicazione web tramite Single Sign-On (SSO) è diventato obbligatorio per la nostra università. Il nostro sistema SSO è Shibboleth, quindi abbiamo iniziato ad adottare misure per proteggerlo. Il team tecnologico ha deciso di avere una soluzione di sicurezza non solo più semplice e diretta per gli utenti, ma che possa anche aiutare l'università a realizzare la sua visione di un modello di sicurezza a fiducia zero (Zero Trust). Il 2FA è stato adottato tramite soluzioni commerciali e open source.

Registrazione degli utenti

La registrazione degli utenti è un aspetto molto importante da valutare, soprattutto nelle istituzioni con migliaia di persone. L'adozione del 2FA è iniziata con il personale, poi è passata ai docenti e infine agli studenti. Per attivare la 2FA, l'Università ha deciso di adottare la seguente soluzione: groupMembership è uno degli attributi rilasciati da Shibboleth; se un utente è in un certo gruppo LDAP, allora è richiesto il secondo fattore di autenticazione. Ciò ci ha permesso di attivare gli utenti in momenti diversi e ha consentito al nostro servizio di assistenza di tenerli sotto controllo in caso di problemi. Dopo alcuni inconvenienti iniziali, possiamo dire che gli utenti sono ora consapevoli del valore aggiunto offerto dalla 2FA per quanto riguarda la sicurezza delle loro credenziali.

Le nostre principali sfide dopo l'implementazione

"Ho cambiato il mio telefono, come devo procedere?"

"Ho dimenticato il mio telefono a casa, come posso accedere ai vari servizi?"

Le risposte a queste richieste variano a seconda della soluzione adottata per la 2FA, ed è importante che il servizio di assistenza sia dotato degli strumenti adeguati per gestire tali problemi. Inoltre, prima di attivare il secondo fattore, è importante creare una strategia di comunicazione efficace e materiale informativo per gli utenti, in modo che possano iniziare a familiarizzare con i nuovi strumenti. Oltre al sistema SSO, la 2FA è attiva anche per l'accesso VPN e per l'accesso ai principali sistemi universitari.