Sicurezza – Dimostra chi sei! La gestione delle identità digitali

Sicurezza - Dimostra chi sei! La gestione delle identità digitali

La gestione delle identità e degli accessi non si risolve acquistando una tecnologia ad hoc. Una buona strategia però può guidarci nel difficile compito di scegliere quella che meglio si adatta alle nostre esigenze

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Ridotta all’osso, l’idea sottostante ai sistemi di identity and access management (IAM) è di rispondere alla concreta esigenza di alleggerire il compito di chi deve stabilire chi e in che modo accede a cosa, all’interno dell’organizzazione, tenendone al contempo traccia. È vero – però – che mettere in pista un’infrastruttura IAM matura e automatizzata in un contesto organizzativo evoluto rimane un compito impegnativo, soprattutto per il numero di variabili potenzialmente molto elevato anche in ambienti circoscritti. Ciò determina l’oggettiva difficoltà di mettere in produzione un’infrastruttura IAM che tenga conto di almeno tre fattori: il numero di risorse (applicativi, cartelle, web-application…) cui gli utenti devono accedere, destinati di regola a crescere nel tempo; la moltiplicazione dei decisori in merito a chi può accedere a cosa e con quali privilegi e la varietà di modelli di sicurezza sottostanti a ogni processo.

ANALISI PRELIMINARE

Per farsi un’idea dei processi di provisioning in essere, occorre rispondere essenzialmente a due domande: dove avvengono l’accesso e l’identificazione degli utenti e in che modo, con quali livelli di accesso, utilizzano le applicazioni. Prendiamo un ambiente eterogeneo sia dal punto di vista delle tipologie di utenti/privilegi, sia degli applicativi, come una struttura sanitaria. In questo contesto la complessità delle attività di provisioning è molto sopra la media. Avremo a che fare con personale medico, paramedico, volontari e consulenti esterni; ognuno di loro sarà oggetto di un processo di provisioning differente. Ebbene, sapere con precisione – da dove e in che modo avvengono l’accesso e l’identificazione degli utenti – consente sia di aggiornare il piano strategico esistente, sia di individuare le tecnologie più adatte in un certo ambito.

VALIDAZIONE E CONTROLLO DEGLI ACCESSI

Ogni organizzazione dovrebbe dotarsi di procedure efficaci di validazione degli accessi, sia a livello macro – facendo sì che solo chi ne ha diritto acceda a certe risorse – sia a livello di singolo utente, tenendo traccia di ogni sua attività. Non solo è importante comprendere quello che sta avvenendo all’interno del proprio perimetro, ma occorre anche riuscire a vedere come idealmente i processi dovrebbero aver luogo. La normativa esistente potrebbe richiedere sia il tracing, sia il mantenimento di informazioni relative al controllo degli accessi. In questo senso, lo svolgimento periodico di audit interni e la redazione di documenti di verifica (compliance) rappresentano fonti privilegiate per ricostruire i processi correnti. Perciò l’azienda deve essere in grado di acquisire una conoscenza approfondita dei processi di validazione degli utenti presenti in azienda. E’ fatta una revisione periodica dei diritti di accesso? Da chi è eseguita? Dai manager di area o dallo staff interno che svolge l’audit? Come avviene il processo di revisione? I livelli di permesso accordati ai singoli utenti, così come ai gruppi, sono verificati periodicamente? Oltre ad avere il quadro preciso del modo in cui gli utenti accedono alle risorse condivise, l’azienda dovrebbe monitorare anche il funzionamento delle misure di controllo adottate. Dovrebbe cioè essere in grado di recensire tutte le applicazioni presenti in azienda e i sistemi utilizzati per accedervi. Qui la complessità è accentuata dal fatto che esistono modalità diverse di accesso alla stessa risorsa. Per esempio, un utente potrebbe accedere a un file attraverso una cartella di rete condivisa, un CMS o altro ancora. Per svolgere questa analisi preliminare è necessario impegnare mezzi cospicui. Spesso tuttavia le informazioni che servono sono già disponibili in azienda. L’obiettivo – comunque – non è quello di redigere un documento preciso al 100%, quanto piuttosto di arrivare a comprendere quali sono i margini di miglioramento, soprattutto in prospettiva di futuri investimenti in tecnologia.

Leggi anche:  Kaspersky scopre la backdoor PipeMagic che attacca le aziende attraverso una falsa applicazione ChatGPT

DEFINIZIONE DEGLI OBIETTIVI

Prima di procedere con l’acquisizione di un sistema di IAM e a prescindere dalle caratteristiche del prodotto finale, occorre definire con chiarezza gli obiettivi che si vogliono raggiungere. Molte aziende, infatti, si aspettano che il prodotto scelto si adatti alla loro organizzazione e ne soddisfi le esigenze senza particolari intoppi. In realtà, perché questo avvenga, è necessario un lavoro preparatorio di analisi del contesto e di identificazione di obiettivi realistici. Perciò, in primo luogo, è necessario evidenziare in che misura l’adozione di un sistema IAM può contribuire al raggiungimento delle priorità di business. Per esempio, «attraendo nuovi clienti e fidelizzandoli attraverso una migliore user experience dei propri servizi – osserva Orlando Arena, regional sales manager di SafeNet in Italia (www.safenet-inc.com) – oppure, aumentando l’efficienza operativa, grazie alla facilità di attivazione di collaborazioni con nuovi business partner, rispettando al contempo le esigenze di sicurezza e compliance». Identificare sin dalle battute iniziali obiettivi raggiungibili può essere la chiave di volta per un progetto di successo. «Capita spesso che un’azienda ponga degli obiettivi che, sebbene fattibili da un punto di vista tecnologico, non possano essere applicati ai loro processi di gestione» – spiega Fabrizio Patriarca, security systems client technical professional di IBM Italia (www.ibm.com/it). Non solo. «A fronte di queste criticità – continua Patriarca – i progetti possono naufragare e, paradossalmente, può succedere che non vengano raggiunti neanche quelli meno ambiziosi, come il provisioning automatizzato delle identità sui sistemi aziendali». Secondo Giovanni Bobbio, senior manager security di Exprivia (www.exprivia.it) qualsiasi soluzione IAM deve essere in grado di soddisfare al meglio due requisiti fondamentali, talvolta in conflitto fra loro: la coerenza con il background organizzativo dell’azienda e la possibilità di arrivare a soluzioni realistiche, che non comportino eccessive inefficienze e macchinosità nella realizzazione. «E’ importante – osserva Bobbio – che nella fase di analisi del contesto si mantenga sempre il massimo rispetto di quello che si trova sul campo, senza pretendere di stravolgere l’organizzazione e senza perdere mai di vista le effettive capacità dello strumento a disposizione». Per Angelo Colesanto, presales system engineer di RSA (www.italy.rsa.com) l’ambito organizzativo è quello in cui un progetto IAM produce gli effetti più evidenti: «Talvolta i clienti approfittano di questa opportunità per rivedere o riorganizzare del tutto, strutture e processi solo parzialmente legati all’ambito reale del progetto». E ciò in qualche circostanza finisce per allungare i tempi dando una percezione negativa sull’esito finale. «A causa della rigidità di alcuni prodotti – osserva Colesanto – talvolta si è costretti a numerose revisioni in corso d’opera, con ripercussioni sui tempi di realizzazione e sui risultati finali». Come abbiamo detto, ogni progetto dovrebbe essere preceduto da una definizione chiara dei requisiti e delle soluzioni che meglio rispecchiano le esigenze delle aziende che le adottano. «Tuttavia ciò non sempre è sufficiente, poiché – osserva Colesanto – è difficile prevedere cosa potrà accadere in fase di messa in opera, sia perché i cicli di vita sono particolarmente lunghi, sia perché gli aspetti organizzativi sono fortemente in evoluzione. Per questo, un progetto IAM non può lasciarsi sorprendere da questi eventi, ma deve essere adattivo».

Leggi anche:  AI, rischio o opportunità?

INTEGRARE LA TECNOLOGIA IAM

Una volta acquisita una solida conoscenza dei meccanismi di attribuzione e validazione delle identità digitali e delineati gli obiettivi del progetto, siamo pronti per formulare una strategia articolata almeno su due piani. Il primo è quello delle policy e delle procedure che individuano le tipologie di accesso più appropriato al proprio contesto organizzativo: qui si stabiliscono le misure per limitare i rischi di sicurezza a un livello accettabile; ed è qui che si formalizza come utilizzare in modo ottimale le risorse. Inutile dire che non esiste una soluzione buona per tutte le stagioni. Ogni azienda ha le sue caratteristiche, una sua cultura, e si muove in un contesto in continua evoluzione. Il secondo piano è quello dove, invece, sono individuate le soluzioni tecniche che meglio supportano le policy formulate. Qui le regole stabilite in precedenza e che definiscono la strategia complessiva, trovano esecuzione e realizzazione mediante la tecnologia, sia essa già presente in azienda o da acquisire.

DEFINIZIONE DI UN SISTEMA IAM

Quando si parla di gestione di sistemi di identità, alcuni subito pensano al single sign-on (SSO). Per altri invece è sinonimo di un sistema di federation delle credenziali di accesso su più sistemi eterogenei. Qualcuno potrebbe obiettare che alla fine si tratta di un meccanismo per centralizzare una serie di informazioni associate al singolo utente aziendale. Senza dubbio, tutti questi meccanismi sono connessi ai sistemi di gestione delle identità, ma nessuno di essi – da solo – esaurisce le molteplici sfaccettature del concetto. In estrema sintesi, una soluzione IAM consente di identificare gli utenti all’interno di un sistema informativo e di controllare il loro accesso alle risorse del sistema, associando a ogni identità specifici privilegi e diritti. Perciò un sistema IAM dovrebbe assicurare che i soggetti autorizzati dispongano di un accesso rapido e sicuro alle risorse necessarie per svolgere il loro lavoro e allo stesso tempo assicurare che i cattivi rimangano fuori dalla porta. Detto questo, ogni soluzione di identity e access management ha caratteristiche e punti di forza che la rendono più o meno adatta a soddisfare specifiche esigenze. Qui ci chiediamo quali motivazioni portano le PMI a valutare progetti in ambito IAM e quali soluzioni si adattano meglio alle loro esigenze. «La complessità delle aziende medio-piccole non è necessariamente inferiore a quella delle grandi aziende – osserva Fabrizio Patriarca (IBM Italia) – spesso, però, in questi contesti è necessario integrare più soluzioni proprietarie e al tempo stesso c’è la necessità di business di aprirsi, per ottenere maggiore efficienza e flessibilità. Per questi motivi, le soluzioni di web access management e di federazione possono abilitare le aziende a fare business attraverso canali alternativi». Maurizio Martinozzi, sales manager engineering di Trend Micro (www.trendmicro.it/) osserva invece come l’elevato livello di integrazione di una soluzione comporti maggiori rischi sia in termini di analisi iniziale, sia di gestione. «Detto questo però – quelle integrate sono le soluzioni che meglio si adattano alle esigenze delle aziende medio piccole, soprattutto in un momento economico delicato come questo. Le PMI devono, infatti, limitare il più possibile il ricorso all’outsourcing e ottimizzare le risorse umane e IT, già disponibili al proprio interno. Attraverso l’impiego di soluzioni integrate, quindi, è possibile ridurre i costi, semplificare la gestione delle informazioni e ottimizzare il servizio che è erogato». Anche per Angelo Colesanto (RSA) le motivazioni che portano le PMI a valutare progetti in ambito IAM non sono molto diverse da quelle delle grosse aziende. «L’unico limite delle piccole è forse nella capacità d’investimento: in un progetto IAM i costi d’implementazione sono solitamente più del doppio dei costi dei prodotti. Per risparmiare è quindi fondamentale dotarsi di tecnologie semplici e flessibili». Diverso, invece, il parere di Orlando Arena (SafeNet Italia), secondo cui per le PMI la complessità del contesto è limitata: «Qui possono non essere necessarie tutte le funzionalità di uno IAM. A prescindere da quale tecnologia possa essere più adatta, è opportuno valutare le possibilità offerte dai servizi cloud che possono coniugare facilità di implementazione, flessibilità, controllo dei costi e sicurezza. Giovanni Bobbio (Exprivia) rileva invece che non esiste una soluzione unica adattabile alle molte tipologie di PMI italiane: «Credo sia estremamente importante saper identificare le varie peculiarità di ogni azienda per meglio adattare l’offerta tecnologica». Per Maurizio Martinozzi (Trend Micro), nel momento in cui un’azienda sceglie di implementare queste tecnologie, «si deve valutare l’adozione di un approccio centralizzato alla gestione delle informazioni», trattandosi di una categoria di dati sensibili estremamente critica, dal momento che definisce in modo univoco l’identità degli utenti. «Inoltre, visto che non esiste ancora uno standard condiviso nella gestione delle informazioni, lo staff IT può trovarsi di fronte alla necessità di dover migrare le tecnologie legacy proprietarie verso sistemi più adeguati alle piattaforme in uso».

Leggi anche:  OLIDATA: nuova soluzione di cyber digital intelligence per la PA

IN CONCLUSIONE

Costi a parte, l’eccessiva complessità – per progettare un modello che rappresenti il baricentro ideale fra disponibilità, sostenibilità e rispondenza ai requisiti – è stata uno dei maggiori ostacoli alla diffusione dei sistemi IAM. A essi, è demandato il non agevole compito di rendere sicuro ed efficace il modo di lavorare degli utenti senza introdurre complessità, automatizzando al contempo le procedure. In taluni contesti, occorre integrare più soluzioni proprietarie, cresciute in casa senza una reale pianificazione, né una strategia coerente. La buona notizia è che le architetture evolvono verso schemi più semplici, infrastrutture e applicazioni più omogenee e standardizzate. Questi processi richiesti innanzitutto dal business, pur lenti, continuano a rappresentare uno dei modi più efficaci per conseguire risparmi duraturi nella gestione del servizio IT. Nel prossimo futuro, le modalità di autenticazione esistenti (token, smart card, riconoscimento vocale…) saranno sempre di più integrate all’interno delle infrastrutture esistenti. Aumentando i metodi di identificazione si otterrà una notevole flessibilità di accesso alla risorsa, con benefici per tutta l’organizzazione. Allo stesso tempo, la necessità di business di aprirsi, adottando nuovi modelli – il cloud per esempio – consente già di ottenere maggiore efficienza e flessibilità.

Panda Security

Panda Security (www.pandasecurity.com/italy) – “the cloud security company” – ha sviluppato Panda Cloud Systems Management, la nuova piattaforma remota studiata per la gestione, il controllo e la manutenzione dell’intero comparto delle risorse IT. Panda Cloud Systems Management permette agli amministratori di rete di eseguire audit, monitorare e gestire i computer da remoto, riducendo così i costi e semplificando i processi. Panda Cloud Systems Management è lo strumento intuitivo e facile da utilizzare, che permette di monitorare nella cloud l’intera infrastruttura e consente il controllo del funzionamento dei pc, l’installazione delle applicazioni, fino al deployment delle stesse in modalità mobile da un’unica consolle.

«Questo nuovo servizio, disponibile attraverso una piattaforma, che si posiziona oltre i confini dei software antivirus, è l’ulteriore testimonianza dell’impegno che Panda Security rivolge ai propri partner e clienti, mettendo a disposizione una soluzione completa che riduce la complessità di gestione della sicurezza» – commenta Alessandro Peruzzo, amministratore unico di Panda Security Italia.