Identity Management o Identity Access Management come filtro strategico a qualsiasi genere di violazione. Se è vero che la sicurezza delle informazioni è parte integrante della governance IT, questa pratica poliedrica, che prevede la creazione di politiche nonché l’applicazione e la mitigazione dei rischi in corso, ha nell’Identity Management una sua componente fondamentale. A dispetto di tutto questo, lo IAM ancora oggi non è così diffuso come ci si dovrebbe aspettare.
Identity Management in continua evoluzione
Le identità aziendali si sono evolute ben oltre gli account utente standard. Uno dei più importanti vantaggi della gestione dell’identità e degli accessi è la capacità di portare semplificazione alla complessità. Avere una visione olistica delle identità che coesistono all’interno di un’organizzazione significa avere piena consapevolezza di tutte le tipologie di identità che si devono gestire:
- Dipendenti interni
- Clienti
- Partner esterni
- Contractor
- Applicazioni e servizi
- Sistemi IoT
- Robot
- Dispositivi mobili
Dove lo IAM può colmare le lacune
Le aziende sono così impegnate nel quotidiano che non hanno ancora realizzato cosa sia veramente necessario per gestire il moltiplicarsi delle identità che insistono sulle reti aziendali. Non solo periodicamente, ma anche in tempo reale.
La sicurezza odierna, infatti, richiede una governance dell’identità più adattiva rispetto ai tradizionali controlli a campione per eliminare i punti ciechi. Ad esempio, è necessario gestire gli account utente che vengono aggiunti o rimossi in un determinato momento.
Gli audit di accesso alle identità tradizionali che si svolgono con periodicità di qualche mese possono trascurare il fatto che questi account avrebbero dovuto essere modificati o disabilitati, rendendo così imprecisa la loro mappatura. La conseguenza è che gli audit in corso vengono superati e le caselle di controllo sono considerate spuntate senza esserlo veramente. In questo caso ipotetico, l’organizzazione non è conforme alle proprie politiche o ai requisiti delle normative governative o di settore applicabili. In effetti, potrebbe essere più a rischio a causa di questa mancanza di visibilità nel processo IAM.
Questa, infatti, è un’area in cui I’identity management può rivelarsi davvero utile.
Approvazione delle identità e degli accessi
Un altro vantaggio dell’Identity Management è il modo in cui viene evidenziato il processo di approvazione delle identità e degli accessi.
Chi si occupa di sicurezza conosce molto bene la dinamica delle richieste: nuovi impiegati o provider che necessitano di un accesso alla rete, al sistema ERP o a tutte le porte aziendali. Mentre nelle organizzazioni più piccole le modalità di controllo sono gestibili, per le aziende più grandi il computo e il servizio sono quasi impossibili. È necessario tenere conto di tante variabili come, ad esempio:
- I diritti effettivi necessari sulla rete o sulle applicazioni aziendali
- La gestione delle richieste fuori dall’ordinario
- La risoluzione di livelli di accesso simili (attualmente utilizzati anche da altri dipendenti)
- I ruoli più comuni che accedono a tali richieste
Per avere una vera governance IT, in particolare tra le varie unità aziendali, una profilazione dettagliata è fondamentale. Le decisioni delle identità e degli accessi devono essere prese non solo sulla base di politiche o flussi di lavoro generici, ma anche perché includono informazioni contestuali puntuali, che delineano esigenze aziendali specifiche così come i rischi potenziali.
IAM complicato da controllare. Ma ne vale la pena
Secondo gli esperti se è vero che portare l’Identity Management in azienda è un onere è anche vero che, una volta risolta mappatura, profilazione e impostazione, lo IAM vale tutto l’impegno che richiede. Un moderno sistema IAM è abbastanza flessibile e scalabile da adattarsi a come funziona un’organizzazione. I prodotti IAM si sono evoluti e migliorati negli ultimi anni. La stessa essenza dell’Identity Management è di aiutare i programmi di sicurezza e di gestione delle imprese per cui vale la pena di investire.
Se un programma di sicurezza delle informazioni deve rimanere sano ed efficace a lungo termine, tutti devono perseguire lo stesso obiettivo per ridurre il rischio aziendale. L’unico modo ragionevole per implementare, gestire e applicare le politiche relative all’identità e all’accesso è utilizzare un sistema IAM.
IAM: i consigli degli esperti
Che si tratti di un servizio interno o uno IAM basato su cloud, più complessa è la rete, maggiore è la necessità di gestire le identità e gli accessi. Ecco, di seguito, una lista di cose da considerare.
Innanzitutto, valutare se i processi attuali funzionano a favore o contro gli obiettivi di sicurezza. Cosa può essere migliorato? Quali passaggi possono essere semplificati? Quali, invece, possono essere eliminati del tutto?
In secondo luogo, assicurarsi che il tempo di tutti sia usato con saggezza: dal responsabile dell’unità aziendale che effettua una richiesta iniziale al team IT o di sicurezza incaricato di approvare e gestire gli indirizzi di rete.
I vantaggi della gestione identità forniranno all’azienda la visibilità e il controllo necessari per supervisionare gli account di rete e soddisfare la governance in corso.