Identity Access management: le previsioni di Gartner per i prossimi anni

Nel corso dei loro interventi al Gartner Identity & Access Management Summit 2009, evento tenutosi alla fine di marzo a Londra, saranno quattro le aree dell’Iam che terranno banco nei prossimi anni: smart-card authentication, identity-aware network, offerte di host- e service-based Iam, e la ricerca di protezione degli account dei clienti delle aziende da attacchi di malware sempre più efficienti.
Dal 2011, secondo Gartner, i fatturati derivanti da hosted Iam e Iam as a Service rappresentaranno il 20 per cento del valore complessivo del mercato Identity e Access Management. Negli ultimi anni i processi di Iam si sono arricchiti e si visto il passaggio da una metodologia centrata su un solo software a una basata su un collage di servizi dedicati a intelligence, amministrazione, verifica e gestione degli accessi. Questo ha portato, con l’obiettivo di risparmiare sui costi di implementazione, molte aziende a scegliere l’opzione dell’Iam hosted. In genere queste offrono soluzioni ormai mature, ma permettono ai dipartimenti It di concentrarsi su aspetti ancora in evoluzione come la gestione degli accessi e l’intelligence. L’abitudine a usare soluzioni remote, unita alla crescita della richiesta di funzionalità più innovative da parte dei clienti, ha preparato, secondo Gartner, il terreno giusto per lo sviluppo di un’offerta di tipo Iam as a Service, che rappresenta uno step tecnologico e di modello di business successivo rispetto ai tradizionali servizi gestiti. Gli analisti Gartner consigliano agli utenti che devono estendere le soluzioni già esistenti di prendere in considerazione opzioni service-based in alternativa a un semplice upgrade del software installato in azienda.
La società di analisi ritiene, poi, che nel 2011 il 20 percento dei progetti di smart-card authentication verrà abbandonato e che il 30 per cento degli utenti tornerà a considerare metodi di autenticazione a costo più basso e minore sicurezza. I costi per la fornitura e la gestione delle smart-card, sommati a quelli delle infrastrutture desktop necessarie, sono ritenuti troppo onerosi. Le metodologie di prevenzione del rischio che verranno adottare prevedranno due o più sistemi di autenticazione, che potranno prevedere anche l’uso di SMART card, ma in modo più limitato. Questa tendenza porterà all’adozione di server di autenticazione versativi (Versatile authentication server, Vas), che costituiscono un’infrastruttura unificata per metodi di autenticazione multipli e rappresentano un singolo punto di integrazione tra la rete locale e le applicazioni sottostanti. Il suggerimento di Gartner alle aziende libere di scegliere quali sistemi utilizzare e quello guardarsi bene intorno e scegliere metodi di autenticazione innovativi, correlati ai rischi, rispondenti ai bisogni degli utenti, e con il minore total cost of ownership (Tco).
Sempre entro il 2011, Gartner prevede che il 30 percento della maggiori organizzazioni adotterà reti “identity aware”, che consentono di controllare l’accesso ad alcune risorse in funzione di regole user-based. Attualmente la maggior parte dei network aziendali gestiscono l’informazione in modo anonimo, limitandosi a trasferire pacchetti di dati prendendo in considerazione solo gli indirizzi Ip e non l’identità degli utenti. Gli Identity aware network (Ian) analizzano l’identità e i comportamenti degli utenti e sono in grado di permettere o negare l’accesso a dati e applicazioni oltre che fornire tracciamenti utili all’attività di auditing.
Gartner predice che nel 2010 il 15 delle aziende che globalmente memorizzano o processano dati sensibili di clienti adotteranno metodologie di Oob authentication. L’Out of band authentication prevede la verifica dell’identità degli utenti anche attraversi sistemi che non sono inseriti nel flusso dei dati ma esplicano la loro attività tramite canali paralleli, come l’invio di Sms ai cellulari o agli smart phone. Questa metodologia richiede, da parte dell’utente, la comprensione del funzionamento dei sistemi Oob, diventati oggi più interessanti a seguito dall’avvento di Trojan (come Mitb, Man-in-the-browser) e altro malware che rende sempre più vulnerabili i Pc. Le aziende e i service provider che utilizzano l’Oob authentication, secondo Gartner, devono verificare molto attentamente l’appartenenza delle linee telefoniche e dei cellulari utilizzati dagli utenti finali. E considerare il fatto che molti dei Trojan e dell’altro malware che veniva utilizzato per portare attacchi ai Pc sta diffondendosi anche sugli smartphone, rendendo così questa metodologia di Iam meno sicura che in passato.
In conclusione, ha affermato Ant Allan, Research Vice President di Gartner, “le organizzazioni che necessitano di salvaguardare i dati dei clienti dovrebbero implementare una strategia di sicurezza su tre piani che include l’autenticazione più adeguata al rischio dell’utente, il rilevamento delle frodi, e la verifica delle transazioni nel caso di quelle a maggior rischio”.