Gestione delle identità e degli accessi o, nella definizione inglese, IAM (acronimo per Identity Access Management) come requisito primario della sicurezza informatica.
L’evolutiva associata alla gestione dei permessi è lo specchio di quel mutevole panorama rappresentato dalla sicurezza informatica. Il modello di riferimento dello IAM, di conseguenza, sta cambiando. Gli esperti delineano le best practice, rispondendo ad alcuni quesiti fondamentali.
Gestione delle identità e degli accessi nel 2019 e tendenze per il 2020
In che modo e perché le organizzazioni aziendali oggi dovrebbero implementare una gestione delle identità e degli accessi? Quali sono le sfide e le insidie nell’implementazione di una soluzione IAM? In che modo le imprese possono avere la certezza che le loro implementazioni IAM funzionino nel modo più corretto e funzionale?
Assicurare che solo le persone giuste abbiano accesso ai dati, alle applicazioni e alle risorse corretti non significa semplicemente implementare uno strumento IAM e metterlo in produzione. Anche perché oggi non sono più solo le persone ad accedere a dati, applicazioni e risorse. Come qualsiasi altro capitolo della sicurezza informatica, è necessario capire bene la genesi del processo, analizzare i fattori concomitanti e tutte le possibili variabili, predisporre una ratio rispetto alla gestione dei permessi e, soprattutto, mantenere una visione olistica dell’azienda e del business.
La gestione delle identità e degli accessi, infatti, nel 2019 merita un’attenzione particolare. Oggi gli utenti si affidano a un mix sempre crescente di dispositivi mobili. L’automazione e una IoT sempre più pervasiva e diversificata stanno riformulando la definizione stessa di cosa sia un utente. Se anche gli oggetti diventano connessi e comunicanti, infatti, sono utenti anche un bot, un dispositivo sensorizzato o un servizio software.
Guardando al 2020 tanti analisti sono concordi nel ritenere che a partire da quest’anno assisteremo all’inizio della fine delle password, sempre più utenti infatti preferiranno l’uso di strumenti TouchID.
Gartner ha stimato che entro il 2022 il 60% delle grandi aziende e il 90% delle medie utilizzerà sistemi senza password in più della metà dei casi d’uso.
Quanti adotteranno in modo corretto soluzioni di autenticazione senza password saranno più sicure, migliorando l’esperienza utente complessiva che riduce le difficoltà di accesso.
IAM in informatica: che cosa è (e cosa non è)
La maggior parte dei tecnologi immagina che l’acronimo IAM in informatica stia per qualcosa di simile a un database contenente l’elenco degli utenti e le risorse a cui è consentito l’accesso. Se s’intende con questo qualcosa di analogo all’Active Directory di Microsoft (AD) effettivamente questa interpretazione ha il suo senso. Come strumento di Identity & Access Management, l’AD fornisce servizi di accesso e autorizzazione che consentono agli utenti di accedere a particolari macchine e applicazioni. Il che rappresenta il primo tassello di una corretta gestione delle identità e degli accessi. Il problema è che il paradigma user-to-machine oggi è diventato obsoleto.
Gli ambienti aziendali odierni sono sempre più cloud-based. Gli analisti da più parti confermano come la metà di tutti i carichi di lavoro vivrà, da qui alla fine del 2019, sulla nuvola.
Anche il concetto di applicazione va ridefinito in quanto i container nella programmazione stanno diventando un approccio dominante: le aziende, infatti, procedono a implementare microservizi, adottando sempre più un’impostazione consacrata al DevOps.
Se con la smartificazione del mondo associata alla Internet of Things e a una comunicazione decisamente omnicanale, dati e applicazioni possono risiedere ovunque, limitare gli accessi a una macchina potrebbe non avere senso. Oggi le applicazioni sono sempre più dinamiche. Ci sono container che possono avere cicli di vita addirittura inferiori al secondo!
Ecco perché è necessario ridefinire che cosa significhi risolvere la gestione degli accessi e delle identità. Oggi lo IAM è un’opzione tecnologica che garantisce agli utenti, siano essi umani o cyber, di ottenere l’accesso solo alle risorse a cui hanno diritto, indipendentemente da dove risiedono tali risorse, stabilendo la durata temporale del privilegio di accesso.
IAM e sicurezza zero-trust: 3 cose da sapere
L’approccio corretto è una sicurezza zero trust incentrata sulla creazione delle cosiddette politiche di affinità. In estrema sintesi, i sistemi hanno relazioni, applicazioni e traffico approvati: qualsiasi tentativo di comunicazione viene valutato e confrontato con queste politiche per determinare se le azioni debbano essere o meno consentite. Il tutto in modo continuativo.
Le imprese hanno bisogno di definire precise politiche di gestione delle identità e degli accessi per tre motivi principali:
- Definire chi deve essere abilitato all’accesso e a quali dati. È questa la base della sicurezza informatica. La maggior parte delle violazioni coinvolge utenti o bot che ottengono l’accesso a una risorsa a cui non dovrebbero accedere. Ragionare di prevenzione per evitare falle nei sistemi è fondamentale. Lapalissiano ma niente affatto scontato per la governance.
- Fornire la documentazione opportuna relativa a chi ha avuto accesso e a cosa è altrettanto indispensabile. Poiché la maggior parte delle organizzazioni aziendali sono vincolate alla conformità normativa, un buon sistema IAM non solo funziona in tempo reale, consentendo l’accesso autorizzato e negando l’accesso non autorizzato, ma conserva i log che possono poi essere utilizzati per ricostruire quanto è successo ed essere usati a supporto della compliance (oltre a consentire di formulare la risposta agli incidenti).
- Immettere un sistema Zero Trust. Contrariamente al nome, la sicurezza zero-trust in realtà non significa non fidarsi di nessuno o di niente. In realtà è una fiducia altamente distribuita e controllata in modo granulare. In altre parole, in un ambiente dinamico altamente distribuito la fiducia zero consiste nel fornire un controllo preciso su chi può accedere a una particolare risorsa. Il che corrisponde a quanto deve fare una corretta gestione delle identità e degli accessi.
Nella migrazione verso la sicurezza zero-trust, infatti, lo IAM è una pietra miliare. Man mano che l’azienda evolve da modelli locali, i firewall diventano meno utili nella protezione delle risorse. Con i servizi cloud, non esiste più una definizione significativa all’interno del perimetro, quindi la sicurezza perimetrale, vale a dire basata su firewall, non ha senso.
Come scegliere uno strumento IAM
Lo IAM deve evolvere esattamente come evolve l’impresa. La digital transformation mette le organizzazioni di fronte a diverse sfide ma quella più grande è quella di riuscire a giocare d’anticipo su quelle che saranno i criteri più adatti di gestione delle identità e degli accessi. Secondo gli esperti scegliere e implementare uno IAM non consiste tanto nella ricerca on line di fornitori IAM per poi indire una gara d’appalto e finalizzare l’implementazione della soluzione con le migliori funzionalità.
Il concetto di gestione delle identità e degli accessi deve essere evolutivo. Sono sempre di più le sollecitazioni che arrivano dallo sviluppo di un mondo permanentemente connesso e comunicante, integrato, multipiattaforma e multiservizio.
Per garantire il successo dello IAM, il miglior punto di partenza è la capacità di valutazione.
Molte società di consulenza specializzate nella cybersecurity, così come gli stessi fornitori di IAM, sono partner preziosi per le aziende in quanto forniscono una valutazione che offre un’istantanea preziosa in merito a dove possono esistere lacune critiche delineando, in alcuni casi, quali sono i punti di attenzione e le sfide future. Grazie a questo tipo di analisi le aziende possono sviluppare una serie di criteri di selezione e una scorecard ponderata per poi stabilire quali fornitori prendere in considerazione. Il tutto considerando i piani futuri dell’organizzazione per avere la contezza di aver selezionato un prodotto a prova di futuro.