Per verificare la sicurezza di una password e toccare con mano quanto sia debole questo strumento di autenticazione, basta fare una prova sul sito howsecureismypassword. A una password di quattro caratteri e due cifre bastano due secondi per essere crackata. Secondo gli esperti, nei prossimi tre/cinque anni le tecniche di biometria e autenticazione comportamentale elimineranno del tutto la necessità di utilizzare delle password per le transazioni ad alto rischio. Oggi la protezione delle informazioni e delle applicazioni aziendali sui dispositivi mobili, come smartphone e tablet (soprattutto con l’aumento del fenomeno BYOD), può essere infatti solo garantita attraverso un ecosistema sofisticato, sicuro e affidabile di controllo delle identità e di access management.
Le caratteristiche dell’identity and access management
I sistemi IAM cercano da sempre di rispondere a quesiti fondamentali per la sicurezza IT aziendale: “chi ha accesso a cosa e perché?” e “come rafforzare le policy di accesso?”. Gli esperti concordano nel dire che ogni azienda dovrebbe essere in grado di rispondere a queste domande in modo rapido e corretto, ma che, purtroppo, nella realtà non è ancora così. Solitamente, infatti, implementare un sistema IAM maturo risulta troppo complesso e costoso. D’altro canto, però, i costi derivanti da un attacco rischiano di essere ancora più gravosi. I sistemi IAM, infatti, impediscono agli hacker di accedere ai privilegi, alle applicazioni e ai dati sensibili degli utenti una volta che hanno compromesso le credenziali di un dipendente.
L’identity and access management aiuta inoltre a soddisfare i requisiti di conformità relative separazione dei ruoli, applicando policy di accesso per account e dati sensibili, e facendo sì che gli utenti non dispongano di privilegi eccessivi.
Non solo: secondo gli esperti può anche ridurre i costi di helpdesk (con modalità self-service di reimpostazione delle password e aggiornamento dei profili) e migliorare la produttività dei dipendenti (consentendo un log-in veloce, ad esempio utilizzando il single sign-on). Il sistema IAM fornisce anche preziose informazioni sulle modalità con cui dipendenti e clienti sono entrati nelle applicazioni (chi ha effettuato il log-in, quando e a quali dati ha avuto accesso): queste informazioni possono essere utilizzate non solo per motivi di sicurezza, ma anche per comprendere i modelli tipici di interazione, analizzando come lavorano i dipendenti e come si comportano i clienti in merito ad acquisti e modalità di interazione via sito o app. Conoscere e comprendere questi aspetti rappresenta la chiave per semplificare, migliorare e ottimizzare le esperienze d’uso di dipendenti e clienti, apportando una migliore agilità aziendale e un maggiore vantaggio competitivo per il business.
La gestione delle identità e degli accessi nell’era del cloud
La sicurezza relativa all’integrazione del carico di lavoro su cloud, secondo gli esperti, non può essere garantita senza un adeguato sistema di identity and access management. L’integrazione di carichi di lavoro on-premise (app e dati) con carichi di lavoro basati sul cloud, infatti, non è solo difficile ma addirittura impossibile se le informazioni dell’utente non sono condivise in modo affidabile e sicuro con piattaforme cloud come Amazon Web Services (AWS) e Microsoft Azure.
Ecco perché questi fornitori di servizi cloud e IDaaS (identity as a service) ora stanno fornendo repository dell’utente basati sul cloud. L’identity and access management aiuta a inserire gli utenti in un unico schema di autenticazione con un controllo centralizzato di come questi accedono alle applicazioni SaaS. Secondo gli esperti, le offerte IDaaS alleviano in gran parte le complessità tradizionalmente associate all’implementazione di sistemi IAM, tuttavia oggi non offrono ancora lo stesso livello di capacità di governance delle identità e lo stesso livello di sicurezza in mobilità rispetto agli strumenti IAM in on-premise. I professionisti della sicurezza IT devono ancora integrare molte altre soluzioni correlate all’approccio IAM che forniscono funzionalità come, per esempio,l’autenticazione a due fattori (2FA) e la gestione delle identità privilegiate (PIM). Nonostante queste complessità, in ogni caso, a domanda per i sistemi IAM rimane forte.
Il nuovo perimetro? Sono la gestione delle identità
Proteggere dalla violazioni dei dati, rispettare i requisiti di conformità e aumentare l’agilità del business sono aspetti centrali in relazione ai carichi di lavoro on-premise, ma non perdono di certo la loro importanza anche nei confronti di mobile, cloud e Internet of Things. Nell’IT oggi, infatti, il perimetro non corrisponde più alla rete stessa, bensì alle identità degli utenti. I confini delle reti e delle aziende, infatti, vanno dissolvendosi. Le persone lavorano da remoto e utilizzano sempre più un approccio mobile e BYOD: l’identity and access management diventata il fattore principale in grado di garantire che possano accedere alle risorse solo le persone autorizzate, da postazioni autorizzate, con accesso autorizzati.
Ed ecco che, in uno scenario come questo, entra in campo anche la digital experience. Se non è possibile accedere a un sito web, non si può reimpostare facilmente una password o ci sono spesso intoppi nelle operazioni di pagamento, si avrà un immediato effetto negativo sull’esperienza digitale degli utenti e quindi del business.
Internet of Things: una sfida per la sicurezza dei dati
Gadget, automobili, elettrodomestici, apparecchi elettrici e oggetti intelligenti collegati alla rete hanno tutti una propria identità: i professionisti della sicurezza IT devono collegarli all’utente che gestisce e/o possiede tali dispositivi.
Questo comporta una serie di sfide. Per esempio, annullare la registrazione del precedente proprietario ai dispositivi IoT di una vettura per collegarli all’account del nuovo proprietario è un’attività delicata in merito alla sicurezza di relativi dispositivi, verifica dell’identità, gestione delle credenziali e protezione dei dati. Ecco perché i gli strumenti IAM risultano fondamentali per garantire la sicurezza nella IoT e proteggere i dati da essa generati.