Nell’attuale società iperconnessa, il principio fondamentale per la sicurezza informatica delle aziende non è più il “dove” si trovano le risorse ma è ormai focalizzato sul “chi” accede a queste risorse. Ecco perché è necessaria un’attenzione completa alla gestione dell’identità digitale: ecco perché è opportuna una corretta politica di Identity and Access Management (Iam).
Indice degli argomenti
Che cosa è l’Identity and Access Management (Iam) e a che serve
Identity and Access Management (Iam) è appunto un servizio di gestione degli utenti e delle relative autorizzazioni.
L’Iam, oltre a consentire di stabilire efficacemente un perimetro logico che consente una reale e profonda trasformazione digitale, garantisce anche una efficace protezione delle risorse e dei dati aziendali.
La digital transformation, d’altronde, è entrata in azienda ed è ormai radicata nel cambiamento della gestione del lavoro e dei suoi processi, sempre più digitalizzati e moderni. I vantaggi di questa trasformazione digitale sono molteplici: una maggiore efficienza produttiva, una migliore operatività e una significativa riduzione dei costi.
Parimenti, una trasformazione così radicale del mondo produttivo implica anche alcune problematiche inerenti alla sicurezza informatica. Le organizzazioni impegnate nella trasformazione digitale hanno bisogno di un approccio differente se vogliono prosperare in questo nuovo mondo in cui lo smart working, i dispositivi della Internet of Things e le tecnologie cloud hanno ormai reso virtuali i loro confini, contribuendo al contempo a superare il tradizionale concetto di perimetro fisico di sicurezza.
Identity and Access Management: il futuro per la sicurezza dei dati
Bisogna infatti considerare che la crescente disponibilità di computer ad alte prestazioni consente oggi ai criminal hacker di “rompere” facilmente anche le password più complesse, rendendole del tutto inadeguate come strumento di protezione delle applicazioni e di accesso ai dati. Ad esempio, per violare una password di quattro lettere bastano appena due secondi e non ne servono molti di più per crackare chiavi di accesso all’apparenza più robuste: basta farsi un giro sul sito howsecureismypassword per rendersene conto.
I vecchi sistemi di login saranno presto sostituiti da più efficaci sistemi di Identity and Access Management: d’altronde, anche le password complesse ormai sono del tutto inadeguate come strumento di protezione delle applicazioni e di accesso ai dati.
Anche per questo motivo le tecniche di biometria e autenticazione comportamentale stanno pian piano soppiantando le password in alcuni particolari ambiti di utilizzo, come ad esempio le transazioni ad alto rischio. D’altronde, in ambienti produttivi dove è sempre più diffuso lo smart working (il cosiddetto lavoro agile) e vengono incoraggiate politiche di gestione del personale di tipo BYOD (Bring Your Own Device, letteralmente: porta il tuo device), la protezione delle informazioni e delle applicazioni aziendali sui dispositivi mobili può essere garantita solo attraverso un ecosistema sofisticato, sicuro e affidabile di controllo delle identità.
I sistemi di Identity and Access Management (IAM), in questo senso, cercano da sempre di rispondere a due quesiti fondamentali per la sicurezza IT aziendale: “chi ha accesso a quale risorsa e perché?” e “come rafforzare le policy di accesso?”.
Gli esperti concordano nel dire che ogni azienda dovrebbe essere in grado di rispondere a queste domande in modo rapido e corretto, ma che, purtroppo, nella realtà non è ancora così. Solitamente, infatti, implementare un sistema IAM maturo risulta troppo complesso e costoso. D’altro canto, però, i costi derivanti da un attacco rischiano di essere ancora più gravosi. I sistemi IAM, infatti, impediscono agli hacker di accedere ai privilegi, alle applicazioni e ai dati sensibili una volta che hanno compromesso le credenziali di un dipendente.
Una corretta politica di Identity and Access Management aiuta inoltre a soddisfare i requisiti di conformità relativi alla separazione dei ruoli, applicando policy di accesso per account e dati sensibili, e facendo sì che gli utenti non dispongano di privilegi eccessivi.
Senza dire che un sistema IAM contribuisce a semplificare, velocizzare e automatizzare le procedure di reimpostazione delle password e di aggiornamento dei profili utente; e, soprattutto, a migliorare la produttività dei dipendenti. Fornisce anche preziose informazioni sulle modalità con cui dipendenti e clienti hanno avuto accesso alle applicazioni (chi ha effettuato il login, quando e a quali dati ha avuto accesso): informazioni molto utili non solo ai fini della sicurezza, ma anche per comprendere i modelli tipici di interazione, analizzando come lavorano i dipendenti e come si comportano i clienti in merito ad acquisti e modalità di interazione via sito o app. Conoscere e comprendere questi aspetti rappresenta la chiave per semplificare, migliorare e ottimizzare le esperienze d’uso di dipendenti e clienti, apportando una migliore agilità aziendale e un maggiore vantaggio competitivo per il business.
La gestione dell’identità e degli accessi nei servizi cloud
Uno degli aspetti più importanti della trasformazione digitale in atto nel mondo produttivo, che tra l’altro sta comportando una profonda trasformazione anche in ambito business, è dunque sicuramente la migrazione delle piattaforme informatiche per la gestione dei dati verso il cloud. E non potrebbe essere altrimenti: con lo smart working sempre più diffuso, il decentramento e l’uso di molteplici servizi on-premise e cloud-based rappresentano ormai una tendenza irreversibile. Secondo il rapporto RightScale 2017 State of the Cloud Report, l’85% delle aziende utilizza moltissimo i servizi cloud e nel 75% dei casi il carico di lavoro aziendale viene eseguito in un cloud pubblico o privato.
Le aziende devono quindi rivedere e modificare le proprie strategie di protezione dei dati e i processi aziendali in esecuzione nel cloud. Il lavoro agile ha anche creato non poche lacune nel perimetro di sicurezza delle aziende e questo comporta che la sicurezza deve ora estendersi ad ogni angolo dell’azienda senza confini: i dati e i processi aziendali devono essere sempre protetti, siano essi in esecuzione nel cloud o in una caffetteria.
È evidente, quindi, come gli approcci tradizionali all’autenticazione non sono più sufficienti. Non ci si può più fidare di una password, per quanto robusta: la maggior parte delle violazioni alle infrastrutture aziendali avviene proprio in seguito al crack di una chiave di accesso.
A complicare ulteriormente le cose, la Internet of Things sta introducendo nuovi tipi di dispositivi, come i sensori, che potrebbero essere situati al di fuori dei confini della rete aziendale, ma anche altri elementi che potrebbero introdurre ulteriori vulnerabilità come gli oggetti da indossare e le interazioni macchina-macchina. Senza dimenticare i requisiti normativi incentrati sulla protezione dei dati, come il regolamento europeo sulla protezione dei dati (GDPR).
Anche in questi casi, la sicurezza dei servizi cloud non può essere garantita senza un adeguato sistema di Identity and Access Management. L’integrazione di carichi di lavoro on-premise (app e dati) con carichi di lavoro basati sul cloud, infatti, non è solo difficile ma addirittura impossibile se le informazioni dell’utente non sono condivise in modo affidabile e sicuro con piattaforme cloud come Amazon Web Services (AWS) e Microsoft Azure. L’Identity and Access Management aiuta a inserire gli utenti in un unico schema di autenticazione con un controllo centralizzato di come questi accedono alle applicazioni SaaS (Software as a Service).
Il nuovo perimetro di sicurezza aziendale? La protezione delle identità
Alla luce di quanto visto finora, è evidente come l’identità digitale sia ormai al centro di ogni transazione digitale. Mentre le aziende proseguono sempre più speditamente verso la loro trasformazione digitale, gran parte dell’attenzione è rivolta alle interazioni con i clienti. Le aziende, soprattutto quelle che forniscono servizi, vogliono offrire ai clienti un’esperienza sempre più personalizzata e snella.
Pensiamo, ad esempio, agli assistenti digitali ormai diffusissimi che possono eseguire transazioni economiche per conto del cliente, come la prenotazione di un volo aereo o la ricerca di una camera d’albergo. È evidente come l’implementazione di un sistema IAM diventa di fatto l’unica soluzione possibile per garantire l’identità del cliente stesso.
A differenza dei vecchi sistemi di autenticazione (chi sei) e autorizzazione (cosa ti è permesso fare), però, è evidente come mettere in pratica un sistema di Identity and Access Management non sia esattamente una procedura semplice da completare. Ecco perché possono tornare utili soluzioni IAM come quella proposta da DXC Technology, che offre alle aziende la possibilità di passare da un tradizionale sistema di difesa perimetrale a un modello di sicurezza più sofisticato basato sull’identità, che protegge i dati ovunque si trovino. Grazie ad una gestione efficace dell’identità, le aziende possono creare una rete di fiducia in tutti i servizi che utilizzano per supportare la propria attività e proteggere efficacemente i propri dati. Questa soluzione, inoltre, è sviluppata all’interno della Cyber Reference Architecture (CRA) che DXC utilizza per supportare i suoi clienti a definire le soluzioni di sicurezza IAM più adatte alle loro esigenze.
Gestione delle identità: alcune raccomandazioni per i CISO
Una figura fondamentale per una corretta implementazione di un efficiente sistema IAM all’interno delle organizzazioni è quella del CISO (Chief Information Security Officer).
Le moderne tecnologie forniscono ormai molte opzioni per gestire le identità digitali, ma per garantire la massima sicurezza dei dati è opportuno realizzare una valida e robusta strategia di gestione delle identità, magari seguendo alcune raccomandazioni chiave che DXC Technologies fa ai CISO:
- investire nella gestione delle identità e degli accessi (IAM). Il tradizionale perimetro di sicurezza della rete non fornisce più un’efficace protezione dei dati aziendali nell’odierno mondo del cloud, mobile e social;
- implementare un provider di identità aziendale (IDP) e una gestione degli accessi single sign-on per risolvere il problema dei dipendenti che devono accedere a più sistemi con password diverse. Il fornitore può essere interno all’azienda o basato su cloud;
- implementare un gestore delle identità, sia in-house sia in-the-cloud, che consenta di semplificare tutto il processo.
Contributo editoriale sviluppato nell’ambito di un progetto di comunicazione con il nostro partner DXC Technologies sui valori della cyber security aziendale.
