Il flusso di dati generati e consumati ogni giorno cresce sempre di più e questo comporta delle con­se­guen­ze per aziende, governi e altre or­ga­niz­za­zio­ni: gestire i dati di migliaia e migliaia di utenti, con diversi permessi di accesso, su un’ampia gamma di piat­ta­for­me e sistemi. Che gli utenti siano clienti, partner aziendali, di­pen­den­ti o fornitori di cloud, tutti accedono alla rete. L’Identity Ma­na­ge­ment ha perciò raggiunto un livello che spesso ol­tre­pas­sa l’in­fra­strut­tu­ra interna dell’azienda.

Tuttavia, questo non è l’unico motivo che induce le aziende e le autorità a occuparsi così in­ten­sa­men­te della gestione e ar­chi­via­zio­ne dei dati. Infatti, in base alle regole della com­plian­ce, esse sono obbligate a gestire co­stan­te­men­te i permessi di accesso.

Lo scopo dell’Identity and Access Ma­na­ge­ment, ab­bre­via­to IAM, è quindi la gestione delle identità degli utenti e dei loro permessi di accesso.

In seguito alla de­cen­tra­liz­za­zio­ne dei sistemi, all’accesso al cloud a livello mondiale, e al maggiore utilizzo di di­spo­si­ti­vi mobili, l’IAM sta di­ven­tan­do la soluzione prin­ci­pa­le per la gestione dei dati. Senza un Identity and Access Ma­na­ge­ment è quasi im­pos­si­bi­le iden­ti­fi­ca­re quando e per quale motivo un certo utente necessita di de­ter­mi­na­ti permessi e so­prat­tut­to come li utilizza su un dato di­spo­si­ti­vo. L’IAM offre quindi la pos­si­bi­li­tà di navigare in questo labirinto di dati.

ABC dell’IAM

Più grande è un’azienda, un’or­ga­niz­za­zio­ne o un governo, più identità, accessi e au­to­riz­za­zio­ni devono essere gestiti. Qui entra in gioco l’Identity and Access Ma­na­ge­ment. L’IAM sem­pli­fi­ca e au­to­ma­tiz­za la raccolta, il controllo e la gestione delle identità degli utenti e dei cor­ri­spon­den­ti permessi di accesso. Solo questo fornisce un con­tri­bu­to di per sé enorme, in più il sistema di gestione ga­ran­ti­sce anche il rispetto delle norme di com­plian­ce. L’IAM, infatti, ga­ran­ti­sce che ogni individuo e servizio sia cor­ret­ta­men­te au­ten­ti­ca­to, au­to­riz­za­to e ve­ri­fi­ca­to e che tutti i permessi di accesso siano conformi tanto alle direttive generali, quanto al ruolo dell’utente all’interno dell’azienda.

L’IAM consente agli utenti un accesso rapido e sicuro a vari sistemi, ap­pli­ca­zio­ni, strutture cloud, ecc. Questa procedura è chiamata pro­vi­sio­ning, tradotto come “ap­prov­vi­gio­na­men­to”. Anche il processo opposto, il de­pro­vi­sio­ning, può essere ef­fet­tua­to tramite IAM. Tali principi sono alla base dell’Identity and Access Ma­na­ge­ment, un sistema ar­ti­co­la­to in ruoli e regole.

In molti casi, gli accessi e le au­to­riz­za­zio­ni di accesso possono essere stabiliti dagli utenti stessi. A questo proposito, affinché il controllo e la sicurezza non sfuggano mai di mano, sono comunque coinvolti tutti i soggetti re­spon­sa­bi­li tramite un portale self-service o procedure di richiesta e ap­pro­va­zio­ne com­ple­ta­men­te au­to­ma­tiz­za­te.

Breve ABC dell’IAM:

  • L’Access Ma­na­ge­ment è uti­liz­za­to per mo­ni­to­ra­re e con­trol­la­re l’accesso in rete.
  • Il Context-aware Network Access Control è un metodo, basato su linee guida, che regola l’accesso alle risorse di rete prendendo in con­si­de­ra­zio­ne il contesto dell’utente.
  • L’Identity Lifecycle Ma­na­ge­ment comprende tutti i processi e le tec­no­lo­gie uti­liz­za­te per me­mo­riz­za­re, can­cel­la­re e con­ser­va­re le identità digitali.
  • L’Identity Syn­chro­ni­sa­tion assicura che tutti i sistemi ricevano le stesse in­for­ma­zio­ni su una de­ter­mi­na­ta identità digitale.
  • L’au­ten­ti­ca­zio­ne a più fattori (MFA) si utilizza quando è richiesto più di un singolo fattore (password e nome utente) per l’au­ten­ti­ca­zio­ne, come avviene ad esempio nell’ au­ten­ti­ca­zio­ne a due fattori.
  • L’au­ten­ti­ca­zio­ne basata sulla va­lu­ta­zio­ne del rischio (RBA) è una variante fles­si­bi­le dell’au­ten­ti­ca­zio­ne che, ad esempio, consente all’utente di accedere alla rete da una nuova posizione.
  • Il Security In­for­ma­tion and Event Ma­na­ge­ment (SIEM) fornisce una visione d’insieme della sicurezza IT, compresi gli eventi sospetti e le tendenze attuali di attacchi in­for­ma­ti­ci.
  • La User Behaviour Analytics (UBA) analizza il com­por­ta­men­to degli utenti per rilevare possibili rischi per la sicurezza.

Il compito prin­ci­pa­le dell’IAM è quello di assegnare un’identità digitale a ciascun utente. Una volta creata, questa viene con­ser­va­ta, ag­gior­na­ta e mo­ni­to­ra­ta. L’Identity and Access Ma­na­ge­ment fornisce agli am­mi­ni­stra­to­ri gli strumenti necessari per mo­di­fi­ca­re il ruolo degli utenti nella loro rete, mo­ni­to­ra­re tutte le attività, creare report o sem­pli­ce­men­te far ri­spet­ta­re le politiche di sicurezza.

Identity and Access Ma­na­ge­ment: obiettivi, funzioni e compiti

L’Identity and Access Ma­na­ge­ment è pro­get­ta­to in maniera tale da mappare i permessi di accesso di un’intera rete, incluse tutte le norme di com­plian­ce interne ed esterne. Per questo il sistema IAM comprende una vasta gamma di tec­no­lo­gie, strumenti, software e ap­pli­ca­zio­ni, inclusi il password manager, il software di pro­vi­sio­ning e le app ne­ces­sa­rie per garantire le politiche di sicurezza, report e mo­ni­to­rag­gio.

Queste ca­rat­te­ri­sti­che sono ne­ces­sa­rie per rendere i sistemi IAM fles­si­bi­li, potenti e ab­ba­stan­za sicuri da sod­di­sfa­re le esigenze odierne. Au­ten­ti­ca­re o mo­ni­to­ra­re gli utenti all’interno di un sistema non è più suf­fi­cien­te.

Per questo motivo l’Identity and Access Ma­na­ge­ment va ben oltre: esso offre una gestione semplice dei permessi di accesso degli utenti, in­di­pen­den­te­men­te dalla loro posizione o dalla rete a cui sono connessi, tanto per i clienti quanto per i di­pen­den­ti in smart working. Ciò è valido anche in ambienti in­for­ma­ti­ci ibridi, dal SaaS fino alla moderna gestione BYOD. Inoltre, le funzioni dell’IAM rendono il sistema così fles­si­bi­le da fun­zio­na­re su tutte le prin­ci­pa­li ar­chi­tet­tu­re in­for­ma­ti­che, come Windows, Mac, Android, iOS, UNIX e persino su di­spo­si­ti­vi IoT.

Tuttavia, tutte queste pos­si­bi­li­tà aumentano anche i rischi per la sicurezza, dato che in un ambiente in­for­ma­ti­co sempre più complesso, anche l’ambiente di rischio diventa più com­pli­ca­to. Ini­zial­men­te, l’IAM regola l’accesso at­tra­ver­so i classici metodi di au­ten­ti­ca­zio­ne come password, token hardware, cer­ti­fi­ca­ti digitali o sistemi di carte di pagamento. Nei sistemi di Identity and Access Ma­na­ge­ment moderni, si utilizza anche l’au­ten­ti­ca­zio­ne bio­me­tri­ca, come l’impronta digitale o il ri­co­no­sci­men­to facciale negli smart­pho­ne.

Peraltro, per con­sen­ti­re una pro­te­zio­ne ottimale dei dati degli utenti, al giorno d’oggi vengono uti­liz­za­ti anche il machine learning e l’in­tel­li­gen­za ar­ti­fi­cia­le. Le aziende si affidano oggi a dei sistemi IAM con un’au­ten­ti­ca­zio­ne a più fattori, come ad esempio la password scelta dall’utente, il suo smart­pho­ne e l’au­ten­ti­ca­zio­ne associata tramite impronta digitale, ri­co­no­sci­men­to facciale o oculare. Si tratta già di tre fattori che as­si­cu­ra­no che l’utente nel sistema sia quello au­to­riz­za­to.

Le funzioni dell’IAM, oltre a essere sicure, sono anche pratiche. Ad esempio, l’Identity and Access Ma­na­ge­ment fornisce un mec­ca­ni­smo che consente agli utenti di uti­liz­za­re un unico login per più reti, par­ti­co­lar­men­te diffuso oggi nell’uso di smart­pho­ne. Anche il login alle ap­pli­ca­zio­ni che di norma ri­chie­do­no un processo di re­gi­stra­zio­ne può essere com­ple­ta­to tramite il login su un solo account (ad esempio Google o Facebook). Questa fun­zio­na­li­tà è par­ti­co­lar­men­te ap­prez­za­ta dagli utenti privati, in quanto consente di ovviare la necessità di creare nuovi dati di accesso per ogni account.

Si parla in questo caso di Identity and Access Ma­na­ge­ment federato, cioè basato sulla coo­pe­ra­zio­ne e la fiducia delle parti. Provider come Google e Facebook ga­ran­ti­sco­no per i loro utenti, per­met­ten­do loro di accedere a siti o ap­pli­ca­zio­ni partner con i propri account. La funzione tecnica che permette tutto questo si chiama Single Sign-On (SSO) e consente agli utenti di accedere con la loro identità, già ve­ri­fi­ca­ta, da una rete all’altra. L’au­ten­ti­ca­zio­ne tra i partner passa inos­ser­va­ta all’utente e avviene at­tra­ver­so un pro­to­col­lo di identità come, ad esempio, il Security Assertion Markup Language.

Vantaggi e svantaggi dell’Identity Access Ma­na­ge­ment

Per capire meglio i vantaggi dell’IAM è opportuno con­si­de­ra­re gli svantaggi che com­por­te­reb­be l’assenza di un sistema di gestione delle identità o l’utilizzo di un sistema molto sem­pli­fi­ca­to. Infatti, se una piat­ta­for­ma non è in grado di iden­ti­fi­ca­re chia­ra­men­te i suoi utenti e di assegnare loro i ri­spet­ti­vi permessi di accesso, i problemi non tar­de­ran­no ad arrivare. Più grande è la piat­ta­for­ma, più problemi ci saranno. Un sistema di Identity and Access Ma­na­ge­ment in­tel­li­gen­te sem­pli­fi­ca e au­to­ma­tiz­za i processi di raccolta e controllo dei dati degli utenti, assicura la com­plian­ce alle norme vigenti e monitora tutti i com­por­ta­men­ti degli utenti e i servizi della piat­ta­for­ma.

Il più grande vantaggio dell’IAM è la sua funzione on­ni­com­pren­si­va. Sia che venga uti­liz­za­to su un di­spo­si­ti­vo mobile, in modo de­cen­tra­liz­za­to da un sistema IT o a livello globale tramite il cloud, l’Identity and Access Ma­na­ge­ment può essere applicato ovunque.

Invece, un piccolo svan­tag­gio è che bisogna per prima cosa in­di­vi­dua­re l’IAM consono alle proprie esigenze. I requisiti per l’IAM sono in realtà gli stessi in tutti i sistemi, di modo tale da poter essere adattato ovunque. Tuttavia, ogni azienda ha le proprie procedure, i propri sistemi, strumenti, e priorità, così come una propria filosofia interna.

In effetti, questo è spesso un ostacolo che le aziende e i governi in­con­tra­no nell’im­ple­men­ta­re un sistema IAM: la gestione dell’identità deve essere sup­por­ta­ta si­ste­ma­ti­ca­men­te da tutti i reparti e non può essere re­spon­sa­bi­li­tà del solo di­par­ti­men­to in­for­ma­ti­co. Per questo, a domande fon­da­men­ta­li come “Chi ha accesso a cosa?” vanno trovate risposte e de­fi­ni­zio­ni a priori. A seguire, bisogna in­ter­ro­gar­si su “Chi controlla l’accesso?” e “Cosa succede se qualcosa non ha la sua validità?”. I concetti di accesso e di ruolo possono essere stabiliti solo nel loro insieme.

Il passo suc­ces­si­vo è quello di creare un sistema di ar­chi­tet­tu­ra. È im­por­tan­te ricordare di prendere in con­si­de­ra­zio­ne altri sistemi oltre agli utenti, come partner, società affiliate, fornitori, clienti, di­pen­den­ti e così via. A seconda del settore, può essere ne­ces­sa­rio stabilire le autorità di re­go­la­men­ta­zio­ne e di controllo, come, ad esempio, per la sca­la­bi­li­tà del numero di utenti.

Un sistema così cen­tra­liz­za­to è na­tu­ral­men­te un bersaglio al­let­tan­te per gli hacker. Di con­se­guen­za gli IAM più recenti in­cor­po­ra­no già un sistema di pro­te­zio­ne bloc­k­chain che impedisce agli hacker di rin­trac­cia­re o rac­co­glie­re le cre­den­zia­li di accesso.

L’utilizzo di sistemi IAM

L’Identity and Access Ma­na­ge­ment entra in gioco ogni­qual­vol­ta bisogna au­ten­ti­ca­re o au­to­riz­za­re degli utenti. Al giorno d’oggi la gestione delle identità degli utenti e dei loro permessi di accesso alle reti, ap­pli­ca­zio­ni e altri sistemi digitali avviene quasi ovunque.

Se un utente vuole uti­liz­za­re un sistema o un’ap­pli­ca­zio­ne, deve nor­mal­men­te di­mo­stra­re di essere au­to­riz­za­to a farlo. Nella maggior parte dei casi, ciò avviene tramite il login con un nome utente, un indirizzo e-mail e una password. I sistemi più moderni uti­liz­za­no anche com­bi­na­zio­ni di keycard, au­ten­ti­ca­zio­ne bio­me­tri­ca e smart­pho­ne.

N.B.

L’IAM è dunque la porta di accesso alla rete. In molte si­tua­zio­ni, le or­ga­niz­za­zio­ni sono persino tenute, in base alle leggi e ai requisiti del Re­go­la­men­to generale europeo sulla pro­te­zio­ne dei dati, a fornire questo tipo di sistema. La vio­la­zio­ne delle norme di com­plian­ce può essere se­ve­ra­men­te punita.

Tuttavia, og­gi­gior­no un’azienda non può per­met­ter­si di operare senza IAM, anche per motivi piuttosto pratici. Infatti, i numerosi processi che la gestione delle identità consente di au­to­ma­tiz­za­re al­leg­ge­ri­sco­no il lavoro dell’IT. L’as­si­sten­za per di più non deve più occuparsi ma­nual­men­te di processi di­spen­dio­si in termini di tempo, come il ri­pri­sti­no delle password utente.

So­prat­tut­to, l’Identity and Access Ma­na­ge­ment obbliga le imprese, le autorità e le altre or­ga­niz­za­zio­ni a definire le proprie direttive in materia di dati in modo olistico, a vantaggio non solo di tutte le reti, ma anche di una maggiore sicurezza per tutti i dati.

Vai al menu prin­ci­pa­le