Le previsioni di Gartner sull’Identity Access Management

Smart-card authentication, identity-aware network, hosted Iam e out-of-band (Oob) authentication. Nel corso del Gartner Identity & Access Management Summit 2009, che si è svolto a Londra il 23 e 24 marzo, la società di analisi ha espresso le sue previsioni intorno a queste quattro tematiche.
Per quanto riguarda la Smart-card authentication, Gartner prevede che, tra il 2009 e il 2011, il 20% dei progetti che riguardano questa metodologia verranno abbandonati e che il 30% migreranno verso sistemi che offrono minori livelli di sicurezza ma costi inferiori. Anche se la smart-card authentication si configura come il sistema principe laddove è richiesta il maggior livello di prevenzione dei rischi di accesso improprio ai sistemi It, dotarsi delle infrastrutture per la fornitura e la gestione delle smart card a livello desktop si sta rivelando relativamente troppo dispendioso. Di conseguenza, sostiene Gartner, le aziende tenderanno a prendere in considerazione l’implementazione di un mix di diversi metodi, che potranno anche includere quello delle smart card. Questo trend favorirà l’adozione di Vas (Versatile access server) che rappresentano una singola infrastruttura per la gestione di sistemi multipli oltre che un unico punto di integrazione per le reti locali e applicazioni downstream eterogenee. La raccomandazione di Gartner alle aziende che possono permettersi di scegliere fra più metodi di autenticazione per l’accesso alle proprie reti è quella di adottare un approccio di scenario che prenda in considerazione anche nuovi sistemi di autenticazione sulla base dei rischi, delle esigenze degli utenti e del costo totale di possesso (Tco).
Secondo Gartner, entro il 2011 il 30% delle maggiori reti corporate diventeranno “identity aware”, ovvero saranno capaci di controllare gli accessi alle diverse risorse sulla base di policy basate sull’utente. Attualmente, la maggior partner dei network enterprise non prendono in considerazione le identità, ma si limitano a trasferire pacchetti di dati basandosi sugli indirizzi del protocollo Ip. Gli Identity-aware network permettono di monitorare il comportamento degli utenti e di negare agli stessi l’accesso alle risorse che non sono autorizzati ad utilizzare. Agli amministratori, Gartner consiglia di iniziare fin da ora di selezionare, al momento di effettuare nuovi acquisti, tecnologie in grado di supportare strategie di identity awareness.
La società di analisi prevede anche una crescita della penetrazione dei sistemi Iam hosted o Iam as a service fino a raggiungere una quota del 20% del totale di qui al 2011. Secondo Gartner le soluzioni correlate all’intelligence, all’amministrazione, alla verifica e agli accessi stanno sempre più evolvendosi da sistemi software-centrici a piattaforme incentrate su un concetto di servizi più composito. L’Iam hosted e l’Iam as a service riducono i costi di implementazione ed uso. Le soluzioni di questo tipo di prima generazione sono viste come un modo per prepararsi ad adottare un modello di fornitura dell’Iam come servizio “production-centric” più maturo.
Infine, Gartner prevede che il 15% delle organizzazioni globali che memorizzano ed elaborano dati sensibili dei consumatori adotteranno metodi di Oob authentication per le transazioni a più alto rischio entro il 2010. Secondo la società di analisi, le misure di sicurezza oggi adottate dalla maggior parte delle istituzioni finanziarie e di altri fornitori di servizi non sono adeguate a fronteggiare le minacce dei cybercriminali nei confronti dei dati dei clienti. Gli attacchi dei man-in-the-browser (Mitb) Trojan, in particolare, stanno rendendo sempre più inefficaci gli attuali sistemi di stronger user authentication, al punto che sempre più organizzazioni stanno adottando metodi Oob che prevedono telefonate a numeri fissi o mobili dei loro clienti, o a invii di Sms, per effettuare controlli nel caso di transazioni ad alto rischio. Gartner sottolinea, comunque, che molte forme di malware finora presenti solo sui Pc si stanno trasferendo anche sugli smartphone. Di conseguenza gli analisti consigliano di adottare, almeno nel caso di transazioni ad alto rischio, una triplice strategia di sicurezza basata su sistemi di autenticazione adeguata al tipo di rischio, rilevazioni delle frodi (fraud detection) e verifica delle transazioni.