Il controllo discrezionale degli accessi (DAC) è un tipo di misura di sicurezza utilizzata con molti tipi diversi di reti aziendali e personali. L’idea alla base di questo tipo di sicurezza informatica è quella di avere una persona o un gruppo selezionato di persone con la capacità di controllare l’uso di tutti i programmi che risiedono nella rete, inclusa l’assegnazione dei diritti di accesso a diversi utenti. In genere, questo processo richiede di poter configurare i profili utente per limitare l’accesso ad alcuni programmi consentendo l’accesso ad altri. Tutta questa attività avviene a discrezione di questi utenti master o amministratori, che possono modificare o revocare i privilegi in qualsiasi momento.
Il processo di controllo dell’accesso discrezionale è in qualche modo diverso da una diversa misura di sicurezza nota come controllo dell’accesso obbligatorio. Con quest’ultimo non è presente la possibilità da parte degli amministratori di creare accessi personalizzati per utenti specifici, poiché le restrizioni vengono impostate dagli amministratori delle policy di sicurezza in base ai vincoli riscontrati nel sistema operativo utilizzato in rete. DAC, invece, consente di personalizzare l’accesso di ciascun utente autorizzato in base alla necessità di sapere. Sebbene entrambi gli approcci siano efficaci, il controllo degli accessi discrezionale è facilmente il più flessibile dei due e può essere una soluzione ideale per aziende di qualsiasi dimensione.
Uno dei principali vantaggi del controllo discrezionale degli accessi è la flessibilità incorporata nell’assegnazione dei diritti di accesso ai vari programmi e database che risiedono nella rete. Ciò significa che quando un dipendente viene promosso a una nuova posizione, il processo di modifica dei diritti di accesso in modo che possa utilizzare i dati rilevanti per tali nuove responsabilità può essere gestito con facilità. Allo stesso tempo, se un dipendente viene assegnato a un progetto che richiede l’accesso temporaneo a determinati dati, tali diritti possono essere assegnati e poi revocati una volta completato il progetto. Le capacità dell’amministratore o dell’utente principale consentono di avviare le modifiche in pochi secondi, personalizzando facilmente tale accesso per soddisfare qualsiasi esigenza si presenti.
L’esatta struttura del controllo di accesso discrezionale dipende dalla natura dei programmi in uso e da come vengono assegnati i diritti di accesso. Alcune configurazioni consentono di basare i diritti sull’assegnazione di credenziali di accesso specifiche che vengono poi personalizzate anche in termini di autorizzazioni all’interno di ciascuno di tali programmi. Ad esempio, a un venditore può essere concesso l’accesso al sistema di fatturazione in modo che possa visualizzare l’attività di fatturazione relativa ai profili cliente che contengono il numero ID di vendita specifico di quel venditore, ma non l’attività di fatturazione di altri clienti. La capacità di adattare i diritti di accesso ai singoli utenti significa che nessuno ha accesso a tutti i dati sulla rete tranne coloro che sono incaricati di supervisionare l’intera rete. Da questo punto di vista, ciò limita la possibilità di un uso illegale da parte di hacker, spie aziendali o persino ex dipendenti scontenti che cercano un modo per vendicarsi del datore di lavoro.