La cybersecurity è stato senz’altro uno degli argomenti più gettonati nel 2025. In questo articolo andremo a occuparci di una particolare area della sicurezza IT, ovvero dell’Identity e Access Management (IAM) per vedere come i problemi e le potenziali soluzioni stanno prendendo forma. Vediamoli nel dettaglio.
1. Crescita dell’identity management relativa alle “entità”
Le organizzazioni sono sempre più consapevoli della presenza di numerose identità che non appartengono a persone fisiche. Dispositivi, macchine virtuali, account e API sono esempi di entità non umane con identità che devono essere protette attraverso sistemi IAM.
Per proteggere e gestire questi elementi, le organizzazioni utilizzano attività conosciute con vari termini: gestione delle identità delle macchine, gestione delle identità dei workload, gestione delle identità non umane. Indipendentemente dalla denominazione, le funzioni svolte sono equivalenti.
“L’adozione del cloud e l’automazione hanno portato a un’esplosione dell’accesso ai workload,” spiega Felix Gaehtgens, analista di sicurezza di Gartner. E questi obiettivi facili attirano i malintenzionati. “Molte violazioni avvengono non perché viene violato un account umano, ma perché viene violato un account di un dispositivo,” continua Gaehtgens.
Quando un account non umano viene compromesso, la risoluzione può risultare più complessa. Potrebbe non essere immediatamente evidente, ad esempio, come tale identità sia stata creata e qual è il tempo medio di risposta.
2. Lo sviluppo dello Zero-trust
Il modello di sicurezza Zero-trust si evolverà per integrare un numero maggiore con una qualità superiore di attributi secondari. Questo approccio, talvolta denominato autenticazione adattiva, consente una valutazione del rischio più approfondita.
In altre parole, si diventa più consapevoli del contesto: l’utente sta accedendo ai sistemi dal posto lavorativo usuale? Sta usando lo stesso dispositivo? È all’estero?
Prendere in considerazione tali attributi rende l’approccio zero trust non solo più efficace nel garantire l’accesso, ma anche nel migliorare complessivamente la postura di sicurezza di un’organizzazione.
In sostanza, si comincia a guardare alla “salute” complessiva del dispositivo, andando a valutare per esempio la presenza di tutte le patch e la sicurezza d’insieme dell’end point.
3. Usare l’AI e la GenAI per l’IAM
L’intelligenza artificiale può svolgere un ruolo di supporto per i team di sicurezza, alleviando alcuni degli oneri legati alla gestione degli accessi e identità (IAM).
“L’AI può essere particolarmente utile per un compito come le revisioni delle autorizzazioni – spiega Todd Thiemann, security analyst presso Enterprise Strategy Group –. Si tratta di un compito tedioso e lungo ma molto importante per assicurarsi che i privilegi di un utente siano corretti”.
4. Prepararsi alla crittografia post-quantistica
La crittografia è l’ingrediente principale per la sicurezza dell’identità ed è essenziale per la gestione delle identità. Tuttavia, sorge una questione rilevante: cosa accadrebbe se non fosse più possibile crittografare i dati? Questa domanda diventa sempre più importante con l’avvento del calcolo quantistico, che si avvicina sempre di più alla realtà.
Se applicato agli odierni sistemi di crittografia basati su chiavi, un computer quantistico potrebbe superare le capacità dei sistemi attuali, compromettendo così la sicurezza considerata inviolabile.
Non è chiaro quando quel momento arriverà, ma gli esperti si stanno si stanno preparando a questo scenario. Dal 2016, il NIST i coordina gli sforzi per sviluppare algoritmi crittografici “resistenti al quantum”. NIST ha reso disponibili tre di questi algoritmi nel 2024.
Il passaggio alla crittografia post-quantistica è una pietra miliare nella sicurezza dei dati.
5. Meno VPN e più ZTNA
Matthew McFadden, vice presidente di General Dynamics Information Technology, prevede che un numero crescente di organizzazioni si allontanerà dalle VPN in favore di strumenti che valutano il rischio in modo più dinamico. Un esempio è la tecnologia ZTNA (Zero Trust Network Access), che non solo verifica l’identità di chi sta accedendo, ma offre anche un controllo più robusto e adattativo.
Lo ZTNA, per esempio, limita il traffico di rete fino a quando una specifica politica non lo autorizza. Inoltre, verifica le identità di tutti gli utenti coinvolti nel flusso di rete prima di consentire il traffico, e controlla periodicamente in seguito per garantire che nulla sia cambiato rispetto alla verifica precedente. La logica dello ZTNA si basa sul principio della dimostrazione preventiva tipico dell’architettura zero-trust (“verificare sempre, non fidarsi mai”).
6. Dall’SSO al single sign-off
Il single sign-on (SSO) è una pratica diffusa delle aziende, ma è opportuno considerare anche l’implementazione del single sign-off. Secondo Gaehtgens, gli sviluppi nel Continuous Access Evaluation Profile (CAEP) potrebbero rendere questa funzionalità una realtà.
Il framework CAEP è considerato un metodo per concludere le sessioni in modo ordinato e sicuro. Esso fornirebbe un meccanismo che chiude il ciclo di interoperabilità che si apre quando gli utenti accedono a più sistemi tramite SSO.
Un sistema che utilizza CAEP potrebbe, ad esempio, chiudere una sessione di un utente se rileva che il dispositivo in uso non è più conforme.
Google, Okta, Microsoft, Cisco, Apple e altri hanno sostenuto lo standard e CAEP potrebbe diventare più mainstream nel 2025 e nel 2026.
Un altro sviluppo verso la standardizzazione da considerare è l’Interoperability Profile for Secure Identity in the Enterprise (IPSIE). Questo profilo, sviluppato da un gruppo di lavoro organizzato dalla OpenID Foundation, il quale include rappresentanti di Okta, Microsoft, Google e altri, mira a consolidare diversi standard di identità in un unico standard armonizzato. Se adottato, tale standard di interoperabilità potrebbe migliorare significativamente il Single Sign-On (SSO), la gestione del ciclo di vita degli utenti e la terminazione delle sessioni.
Come noto, le sessioni che non richiedono una ri-autenticazione periodica sono vulnerabili all’hijacking.
7. Automazione
La sicurezza delle identità è una sfida complessa, anche per i professionisti esperti con le migliori pratiche IAM. È essenziale implementare strumenti IAM efficaci. McFadden consiglia di automatizzare il più possibile nelle iniziative IAM e zero-trust. “Non si può continuare a risolvere questa sfida con il solo intervento umano; è necessario automatizzarla per scalarla,” conclude McFadden.
