Leggevo in questi giorni della disavventura di “un’azienda farmaceutica” alla quale un dipendente licenziato avrebbe cancellato un certo numero di macchine virtuali, causando un danno considerevole. Cercando in rete, ho trovato qual’era probabilmente la notizia: questa. Cosa la rende interessante? Dopotutto, notizie di amministratori di sistema che una volta licenziati causano danni non sono certo una novità, né lo è il fatto che ci sia stato un problema nella revoca delle credenziali dopo il licenziamento.
Secondo me, l’aspetto interessante è vederla dalla prospettiva del cloud. Penso che abbiamo tutti presenti le immagini, rese famose dal fallimento della Lehman Brothers, dei dipendenti licenziati che se ne vanno con i loro scatoloni. La logica è di allontanare subito il dipendente licenziato dal posto di lavoro, per evitare ritorsioni. Per quanto spiacevole, è una logica comprensibile, e nel caso dei sistemi informativi corrisponde alla revoca delle credenziali. Con il public cloud però, la cosa diventa ancora più critica, perché il dipendente, una volta allontanatosi con lo scatolone, spesso può accedere ad applicazioni e dati esattamente come quando era in ufficio. Il problema è reso ancora più critico dall’uso di dispositivi mobili. Con i sistemi “tradizionali”, lo stesso problema si poneva soprattutto in caso di disponibilità di accessi remoti, ma è proprio qui che nasce la vera differenza. Supponiamo di aver correttamente revocato le credenziali di un utente. In una gestione tradizionale, è molto probabile che abbiamo risolto il problema, perché lo scambio di credenziali per l’accesso remoto non è frequente, e spesso neppure possibile. Con il cloud invece, le risorse possono essere ancora tutte disponibili, perché accedute via Internet, anche con delle credenziali occasionalmente condivise da un altro utente. La cosa è immediata: il dipendente viene accompagnato fuori con il suo scatolone, lo posa in macchina, si siede e accende il tablet. Non può più accedere con le sue credenziali, o non le vuole usare per non essere subito scoperto? Bene, proviamo quelle di Tizio che ho saputo il mese scorso; oplà, il gioco è fatto, i dati aziendali se ne vanno. Molto diverso da dover rientrare nella sede per usare una postazione con l’accesso ai servizi interni.
