L’Identity Management rappresenta un elemento di security strategico e imprescindibile. Vediamo come implementarlo nel modo più corretto, in base alle indicazioni di esperti sul tema.
Cos’è L’identity Management
Per Identity Management si intende la gestione delle identità su asset digitale (e non). Attualmente è uno degli argomenti legati al business tra i più criticati.
Questo perché sono aumentati gli attacchi per frode digitale che avvengono mediante ripetuti tentativi di rubare le identità digitali altrui per rivendita diretta nel Dark Web.
Altra motivazione è che spesso vi è una subdola appropriazione delle credenziali di quei soggetti le cui organizzazioni sono target strategici o sensibili da monetizzare.
L’altro elemento che rende cruciale l’Identity Management è che essa rappresenta la chiave di volta per garantire sicurezza, privacy e affidabilità di un prodotto o servizio reso disponibile mediante internet.
L’IdM è l’insieme dei processi aziendali che unitamente ad una appropriata infrastruttura di supporto permettono la creazione, il mantenimento e l’uso delle identità digitali in un contesto legale.
Capire le implicazioni di una corretta applicazione della gestione delle identità digitali non rappresenta solo un passaggio basilare di consapevolezza, ma costituisce un elemento abilitante del business aziendale.
Identity Management: i concetti introduttivi
Il processo di definizione e di gestione dei ruoli e dei privilegi di accesso dei singoli utenti ad una rete è definito Identity and Access Management (IAM).
Un utente potrà accedere alla rete dati dell’azienda a seconda se egli sia un dipendente o in base alle esigenze di lavoro e alla condizioni contrattuali se si tratta di un cliente.
L’obiettivo principale dei sistemi IAM è identificare un utente, autenticarlo e autorizzarlo all’accesso secondo profilo e ruolo della sua identità digitale. L’identità digitale deve essere poi mantenuta, modificata e monitorata in ogni momento del ciclo di vita del procedimento di accesso.
Tipicamente i sistemi di IAM sono composti da strumenti di gestione delle password, software di provisioning, di l’applicazione delle policy di sicurezza, app di reporting e monitoraggio e archivi di identità.
Vi sono poi tecnologie legate all’Identity Management che negli anni sono diventate basilari come ad esempio le soluzioni basate su API security, quelle di Identity-as-a-service, o le Analytics sulle identità per controllare ed eventualmente bloccare comportamenti sospetti.
L’importanza dei sistemi di IAM è aumentata in relazione all’introduzione del GDPR. Si richiede una maggiore sicurezza della protezione dei dati e quindi controlli per gli accessi degli utenti come parte di tale rafforzamento. In questo senso i sistemi di IAM sono diventati un fattore abilitante di supporto alla compliance normativa.
Elementi di base
Un tipico sistema di gestione delle identità comprende quattro elementi di base.
Vi è anzitutto una directory dei dati personali che il sistema utilizza per definire i singoli utenti. Una sorta di archivio delle identità digitali che accedono abitualmente al sistema.
Ci sono poi una serie di strumenti per aggiungere, modificare ed eliminare i dati. Tali strumenti sono relativi alla gestione del ciclo di vita degli accessi.
Il terzo elemento è un sistema che regola l’accesso degli utenti tramite applicazione di politiche di sicurezza e privilegi di accesso.
Infine c’è un sistema di controllo e report, che verifica costantemente cosa sta succedendo nel sistema.
A partire da questi elementi di base sono stati introdotti nei sistemi elementi di biometria, di apprendimento automatico e di autenticazione multifattore per la protezione dei dati.
In pratica la sfida maggiore dell’Identity and Access Management sta nel risolvere l’esigenza di rendere sicure le identità digitali sempre più soggette ad attacchi data breanch.
Un altro fenomeno minaccioso è quello dell‘Identity Sprawl. Si tratta della proliferazione di account di un’unico utente su diverse piattaforme e luoghi digitali con conseguenti problemi di protezione per ognuno di questi account.
In aggiunta a questi problemi c’è anche da considerare la Shadow IT, ovvero la proliferazione della adozione di applicazioni non approvate dai comparti IT aziendali. Provoca potenziali crisi e falle di sicurezza per le identità digitali non gestite centralmente.
Best practice sull’Identity Management
Tenendo presente le sfide continue sopracitate, l’approccio migliore per applicare IAM risiede nella coesione e collaborazione fra dipendenti.
L’idea è unificare il loro approccio allo IAM snellendo i processi e le operazioni, pensando ad un approccio all’Identity Management unico a livello aziendale.
Ad esempio, alcuni processi di gestione delle identità potrebbero essere automatizzati, ma non completamente, per lasciare un adeguato controllo manuale al team preposto.
Abilitare il recupero delle password mediante un processo automatizzato per non sovraccaricare l’help desk aziendale spesso sopraffatto risulta essere un buon sistema.
Idealmente, qualunque sia la soluzione unica prescelta per l’azienda, dovrebbe essere rivalutata regolarmente anche per rivalutarne interventi di aggiornamento.
