Nell’era del cloud e della digitalizzazione del business, connotata da processi operativi sempre più distribuiti, identità digitale ed esperienza d’uso sono due facce della stessa medaglia, la security. Proteggere una senza danneggiare l’altra è infatti imprescindibile per qualsiasi impresa che voglia fare leva sul lavoro agile per aumentare la produttività e migliorare la qualità di vita delle proprie persone.
È la ragione per cui, oggi, limitarsi a declinare nel nuovo scenario le prassi della sicurezza informatica tradizionale non è più sufficiente: se l’utilizzo di password per accedere ai vari sistemi aziendali, in continua crescita, da una parte rende macchinosa e frustrante la user experience – con la necessità di tenerle in mente, salvarle in repository sicuri e in ogni caso cambiarle con una certa frequenza – dall’altra non garantisce un livello ottimale di data protection e tutela delle reti.
“Nel mondo moderno la password non può essere più considerata un sistema robusto, anche perché di solito la si sceglie con criteri mnemonici, e quindi il più delle volte è recuperabile attraverso tecniche di social engineering o phishing. Cercare di migliorare la sicurezza, quindi, vuol dire in primis puntare su approcci che prevedano l’autenticazione a due fattori. Si verifica cioè l’identità digitale dell’utente attraverso la rendicontazione di qualcosa che sa, in combinazione a qualcosa che è (tramite il controllo biometrico, per esempio) o che ha (un token o un dispositivo).
Per quanto tutto ciò possa sembrare banale, trovare il giusto compromesso per irrobustire la digital identity senza compromettere la privacy degli utenti e la compliance normativa implica invece una certa complessità che, se non opportunamente gestita, può generare dei paletti che limitano l’usabilità e la linearità degli strumenti aziendali”. A parlare è Mirko Rinaldi, Chief Technology Officer di Quanture, tech company specializzata nell’erogazione di servizi di consulenza IT e di soluzioni per la digitalizzazione del business.
Indice degli argomenti
I rischi per le imprese e il grado di consapevolezza delle aziende
Quello dell’identità digitale è ovviamente un tema molto sentito per un’organizzazione come Quanture, che si è data come obiettivo l’innovazione incentrata sulla persona, oltre che sulle esigenze del cliente. “Ma sono convinto che nei prossimi anni sarà cruciale per tutti, in senso assoluto”, rimarca Rinaldi, alludendo alla vera e propria emergenza che le imprese italiane, e in particolar modo le Pmi, stanno affrontando in questi mesi sul fronte della cybersecurity.
Al di là delle recenti campagne sferrate dagli hacker filorussi e balzate agli onori delle cronache, l’ultimo rapporto Clusit non lascia adito a dubbi: nel 2022, in Italia è andato a segno il 7,6% degli attacchi globali (una percentuale raddoppiata rispetto al 2021). In numero assoluto sono stati 188 gli attacchi rivolti alle imprese e alle pubbliche amministrazioni della Penisola, con un incremento del 169% sull’anno precedente e con un fattore di gravità elevata o critica nell’83% dei casi.
“Le identità digitali sono il nostro lasciapassare nell’IT aziendale, dove risiede un patrimonio che va tutelato. Una ricetta universale per proteggere dati e reti, ovviamente, non esiste”, dice Rinaldi, “ma è essenziale capire quali e quanti sono i sistemi coinvolti, monitorare gli oggetti sensibili in modo puntuale e fissare lo scopo delle soluzioni e delle metodologie di security in relazione all’ambiente da difendere, ristretto o ampio che sia”. La gestione delle identità digitali, del resto, è un punto di partenza fondamentale, in quanto sposta il budget e la normale operatività delle persone. “C’è chi ne fa un uso minimale e saltuario per accedere alle applicazioni che gli servono per lavorare, e quindi l’introduzione di un secondo fattore o di una restrizione forte ha un impatto limitato. Se invece l’accesso è quotidiano, e ripetuto durante la giornata, anche 30 secondi in più hanno un impatto importante”.
Secondo il CTO di Quanture bisogna dunque comprendere caso per caso qual è la strada migliore da percorrere, e soprattutto far capire al business l’approccio scelto, che sarà sempre il risultato di un gioco di contrattazione. “Non solo con i responsabili dei sistemi informativi, dunque, ma anche con quelli del dipartimento HR e con i membri del board, che devono essere al corrente di quali saranno gli impatti dell’adozione di un sistema di identity management che garantisca almeno un livello minimo di protezione”.
Lo sforzo necessario a innescare e sostenere il cambiamento dipende naturalmente dal grado di consapevolezza dell’organizzazione. “Se l’IT è già orientato a sviluppare soluzioni di sicurezza, e specialmente se in azienda è presente un CISO, che ha il compito specifico di far percepire internamente il tema, si tende a lavorare con queste figure, che poi trasferiscono le proposte al resto dell’organizzazione”, spiega Rinaldi. “In altri contesti, siamo noi a rendere consapevoli le figure manageriali sull’esistenza di determinati rischi e sugli strumenti che possono essere adottati per mitigarli, definendo con loro il minimo sindacale per potersi dire sufficientemente tranquilli, e poi proponendo, a salire, investimenti e attività da valutare per aumentare la sicurezza”.
Sviluppare un sistema di gestione dell’identità digitale a misura d’impresa
A prescindere da quale sia lo status quo, quando si comincia a progettare un sistema evoluto di gestione dell’identità digitale conviene dare vita a un identity manager centrale a cui andranno poi collegate tutte le piattaforme aziendali che offrono i servizi alle varie tipologie di utenti.
“In questo modo CISO e amministratori di sistema potranno utilizzare un unico pannello centrale per erogare livelli omogenei di sicurezza e, all’occorrenza, intervenire per bloccare accessi sospetti”, dice Rinaldi, che precisa: “È inutile e poco efficiente installare sul cellulare diverse applicazioni, ognuna col suo sistema di riconoscimento tramite OTP (One Time Password, ndr): basta averne una sola che supporti l’intero parco applicativo per le gestione delle credenziali”.
L’apporto del cloud nella messa in sicurezza dell’identità digitale
Ed è qui che arriva il difficile. Per le applicazioni moderne e cloud based, spesso dotate nativamente di API per integrare sistemi di autenticazione centralizzata, la fattibilità infatti è garantita. Nel momento in cui, invece, bisogna operare su software legacy obsoleti, magari sviluppati o personalizzati da persone che non sono più in azienda, “il problema spesso va affrontato in modo radicale, riscrivendo le applicazioni o migrandole. L’alternativa è lavorare sodo per individuare un percorso corretto, su cui l’applicazione possa evolversi per interfacciarsi col sistema di gestione dell’identità digitale, ma così cresce il rischio di trascinare nei nuovi ambienti criticità nascoste, che possono generare nuovi e inaspettati oneri”.
La domanda, a questo punto, sorge spontanea: date queste premesse, conviene sempre e comunque passare al cloud? “Sicuramente aiuta”, risponde Rinaldi. “Il cloud è all’avanguardia per definizione, e offre strumenti che sono affidabili by design, avendo ottenuto certificazioni di qualità che soluzioni sviluppate in legacy non sempre possono vantare. È chiaro che approcciare il cloud implica anche lo spostamento dei dati, e a quel punto è necessario non solo capire come procedere, ma anche valutarne i costi. Il cloud, in questo caso come in tanti altri, è un abilitatore, un sistema moderno e gestito che eroga servizi standard di qualità. Quindi la scelta dipende anche dal tipo di evoluzione che si ha in mente per l’IT aziendale”.
Del resto, l’identità digitale è parte di una materia, la cybersecurity, che è essa stessa un processo in continua metamorfosi, un vero e proprio viaggio che ciascuna organizzazione deve compiere in tempi e modi funzionali alle esigenze del businesse e delle persone. “Ecco perché cerchiamo sempre di partire dalle necessità di base per poi proporre un percorso di trasformazione graduale e personalizzato”, spiega Rinaldi. “Dopo aver attivato un sistema di gestione dell’identità digitale si può prevedere un meccanismo di monitoraggio, basato su tecnologie più o meno raffinate. Una piattaforma EDP (Electronic Data Processing, ndr), per esempio, contempla non solo fattori di sicurezza, ma anche elementi di analisi. Correla quindi i dati delle operazioni compiute da un utente ai suoi accessi e segnala eventuali anomalie. Ma non solo: opportunamente addestrato, il sistema può decidere in maniera automatica il blocco di utenze sospette e l’attivazione di azioni di remediation”.
Per tutte le ragioni fin qui emerse, parte integrante del lavoro di Quanture è la formazione continua, offerta come servizio erogato periodicamente attraverso moduli, videocorsi e documentazione specifica e generica, a cui seguono piccoli test per verificare l’acquisizione dei comportamenti da tenere per massimizzare l’efficacia delle soluzioni di identità digitale. “Anche qui la parola d’ordine è personalizzazione”, chiarisce Rinaldi. “Ciascun individuo ha infatti metodi e velocità di apprendimento differenti. Le piattaforme disponibili sul mercato sono numerose, producono ottimi risultati e danno anche visibilità delle performance ottenute dai collaboratori al reparto IT, al board e ai manager che gestiscono le varie business unit. La condivisione su questi temi è imprescindibile se si vuole agire concretamente sul fronte della cybersecurity, ed è soprattutto la componente umana a trarne vantaggio”.
Contributo editoriale sviluppato in collaborazione con Quanture
