Mentre il mondo si prepara alla ripresa dopo la pandemia, stiamo iniziando a immaginare come i luoghi di lavoro e il mondo economico continueranno ad evolvere. Molte aziende sono passate allo smartworking, e quindi hanno dovuto rivedere i propri sistemi di cybersecurity. Fra i trend emergenti c’è quello dell’Identity e Access Management (IAM), una disciplina che già esisteva prima del COVID, ma che adesso si è affermata con una forza senza precedenti, proprio perché molte aziende hanno spostato gran parte dei loro processi online. Ne parliamo con Sanjay Sood, Head of Information Technology di RSM International.

Una panoramica sull’Identity and Access Management

L’IAM comprende due discipline correlate. L’Identity Management si riferisce a policies, procedure e archivi di dati necessari per assegnare ruoli, responsabilità, diritti e accessi ai soggetti giusti all’interno dell’organizzazione. Dall’altro lato, l’Access Management si riferisce alla gestione delle autorizzazioni per accedere a certi sistemi e per agire all’interno di essi. Comprende ad esempio l’autenticazione degli utenti, le password e tutti i meccanismi per verificare la loro reale identità.

Perché Identity e Access Management sono così importanti?

L’IAM è fondamentale per proteggere i dati dell’azienda e dei clienti. L’identità è diventato un parametro di sicurezza molto importante, data la quantità di applicazioni e risorse informatiche ormai collocate all’esterno delle organizzazioni, oltre a dipendenti e clienti.
È importante anche per l’efficienza, soprattutto su larga scala. Concessioni, cambiamenti e accessi revocati a migliaia di applicazioni per migliaia di dipendenti e milioni di clienti richiede processi automatizzati e un buon modello di governance alla base. Molte industrie hanno bisogno anche di rispettare i regolamenti e provarne la compliance agli auditors, e l’Identity Governance rende tutto questo più efficace ed efficiente.

Parlando con esperti interni ed esterni al settore IT, abbiamo individuato cinque dei top trend nell’Identity Management che sono destinati a delinearsi nel corso del prossimo anno, oltre che alle implicazioni per i business.

  • Autenticazione più complessa

Con il progresso della tecnologia e la necessità sempre più impellente di accedere a dati online, stiamo notando una spinta verso metodologie di autenticazione sempre più complesse. In passato c’erano le password a proteggere accessi indesiderati, ma gli hacker sono diventati sempre più sofisticati e presto anche queste sono diventate poco sicure e (relativamente) semplici da scoprire.
Per risolvere questa problematica, è emerso negli ultimi anni l’utilizzo dell’autenticazione biometrica. Utilizzare l’impronta digitale per sbloccare un telefono cellulare è ormai la normalità, e in futuro lo sarà sempre di più anche il riconoscimento facciale, un livello ancora superiore di sicurezza. L’autenticazione multi-fattoriale è una modalità di accesso simile che richiede all’utente almeno due passaggi per accedere al proprio account. Questi possono essere domande, CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) o altre tipologie di misure volte all’identificazione dell’utente.
Un aspetto dell’IAM che ancora non è molto conosciuto è la protezione degli endpoint, ossia una metodologia di sicurezza emergente che consiste nel fornire protezione ai computer connessi in remoto. Questi possono essere laptops, cellulari e tutti gli altri dispositivi particolarmente vulnerabili ai cyber-attacks. Questo approccio aiuta a identificare e gestire gli accessi per gli utenti di un’azienda, limitando alcuni dati oppure l’accesso ad alcuni siti, e garantisce una elevata sicurezza contro siti potenzialmente pericolosi per un network aziendale.

  • Soluzioni agili

Un requisito fondamentale per l’Identity e Access Management è l’agilità. Le dinamiche dei business e i processi digitali sono in costante evoluzione, più che mai adesso che sempre più organizzazioni stanno passando al lavoro da remoto. Questo porta a un crescente bisogno di soluzioni IAM rapide che si prestano ad un contesto in continuo cambiamento.
Gli accessi “Just-In-Time” (JIY) consentono alle aziende di fornire accesso ad alcuni sistemi per determinati periodi di tempo in base a specifiche richieste. Gli utenti cioè, semplicemente fanno richiesta, ed il provider può concederla per un tempo determinato in base alla necessità. Per le aziende che gestiscono molteplici documenti sensibili, questo può essere un grande aiuto nell’assicurare che l’accesso vi sia consentito solo nei giusti casi. Queste soluzioni sono vantaggiose anche per gli utenti, grazie alla semplicità e rapidità del loro funzionamento.

  • Criteri di autenticazione modulari

Non tutte le piattaforme sono uguali in termini di sicurezza. Il livello di sicurezza per l’online banking è solitamente molto superiore rispetto a quello di un’applicazione per cibo a domicilio. La sensibilità dei dati contenuti richiede infatti diversi livelli di sicurezza e quindi regolamenti diversi.
Da un’altra prospettiva, criteri di autenticazione modulari consentono alle piattaforme di ricevere l’autenticazione da un singolo server, piuttosto che richiedere un’autenticazione individuale ad ogni step. Questo contribuisce a incrementare la sicurezza, perché ci sono meno possibilità che il sistema di autenticazione fallisca, e rende semplice anche effettuare modifiche se necessarie.

  • L’identità digitale decentralizzata (DDID: Decentralised Digital Identification)

La DDID sta diventando sempre più conosciuta, grazie al fatto che la trasformazione digitale crea uno scambio di richieste privacy-friendly, ma sicuro. Le organizzazioni che utilizzano una verifica elettronica dei dati corrono meno rischi, con l’ulteriore vantaggio di una migliore trasparenza e quindi maggiore facilità per il processo di audit. La DDID è sostenuta dalla technologia blockchain, un metodo che fornisce una crittografia sicura dei registri dati e li protegge da potenziali hacker, e offre una ristrutturazione completa dell’ecosistema digitale attualmente centralizzato e di identità fisica, trasformandolo in una struttura democratizzata e decentralizzata.

  • Le “non-human identities”

Uno dei più significativi cambiamenti nell’IAM è la proliferazione delle non-human identities. La loro rapida crescita in termini di volume e tipologie rappresenta una questione di compliance, sicurezza e rischi per le aziende.
Queste identità non-umane, come bot, robot, IOT, app ecc, devono essere gestite in modo sicuro, e capire come farlo è fondamentale per le aziende che vogliono sia mitigarne i rischi, sia coglierne le opportunità che ne derivano. Inoltre le identità non-umane spesso rappresentano gli utenti in molte organizzazioni e conseguentemente la loro impronta digitale è più grande. Questo può rappresentare un punto debole per le unità informatiche, dato che queste identità spesso non vengono considerate quando si effettuano i controlli di sicurezza. Quindi, diventa fondamentale capire e fornire a queste identità lo stesso livello di sicurezza in seno al processo IAM.

Protezione dai rischi cyber

I rischi di sicurezza informatica sono in costante evoluzione e sempre più sofisticati. Spesso fanno leva su sistemi di autenticazione poco complessi e credenziali non protette per accedere ai sistemi e navigare al loro interno. Inoltre, la trasformazione digitale ed eventi distruttivi (come la pandemia) creano il caos nelle attività aziendali. Per garantire la sicurezza e mitigare i rischi, le aziende devono avere governance efficaci e un certo livello di automazione per gestire l’accesso delle identità digitali. Questo costituisce le basi per il successo delle attività dell’azienda e una esperienza positiva per tutti gli stakeholders.

Per supportare le imprese nell’affrontare queste sfide e sostenere i cambiamenti in RSM in Italia abbiamo costituito un team di professionisti con le migliori competenze. Clicca qui per scoprire il Risk Advisory e Technology Management team di RSM.

Leggi anche: