IAM: che cos’è l’Identity and Access Management?

Il flusso di dati generati e consumati ogni giorno cresce sempre di più e questo comporta delle conseguenze per aziende, governi e altre organizzazioni: gestire i dati di migliaia e migliaia di utenti, con diversi permessi di accesso, su un’ampia gamma di piattaforme e sistemi. Che gli utenti siano clienti, partner aziendali, dipendenti o fornitori di cloud, tutti accedono alla rete. L’Identity Management ha perciò raggiunto un livello che spesso oltrepassa l’infrastruttura interna dell’azienda.

Tuttavia, questo non è l’unico motivo che induce le aziende e le autorità a occuparsi così intensamente della gestione e archiviazione dei dati. Infatti, in base alle regole della compliance, esse sono obbligate a gestire costantemente i permessi di accesso.

Lo scopo dell’Identity and Access Management, abbreviato IAM, è quindi la gestione delle identità degli utenti e dei loro permessi di accesso.

In seguito alla decentralizzazione dei sistemi, all’accesso al cloud a livello mondiale, e al maggiore utilizzo di dispositivi mobili, l’IAM sta diventando la soluzione principale per la gestione dei dati. Senza un Identity and Access Management è quasi impossibile identificare quando e per quale motivo un certo utente necessita di determinati permessi e soprattutto come li utilizza su un dato dispositivo. L’IAM offre quindi la possibilità di navigare in questo labirinto di dati.

Più grande è un’azienda, un’organizzazione o un governo, più identità, accessi e autorizzazioni devono essere gestiti. Qui entra in gioco l’Identity and Access Management. L’IAM semplifica e automatizza la raccolta, il controllo e la gestione delle identità degli utenti e dei corrispondenti permessi di accesso. Solo questo fornisce un contributo di per sé enorme, in più il sistema di gestione garantisce anche il rispetto delle norme di compliance. L’IAM, infatti, garantisce che ogni individuo e servizio sia correttamente autenticato, autorizzato e verificato e che tutti i permessi di accesso siano conformi tanto alle direttive generali, quanto al ruolo dell’utente all’interno dell’azienda.

L’IAM consente agli utenti un accesso rapido e sicuro a vari sistemi, applicazioni, strutture cloud, ecc. Questa procedura è chiamata provisioning, tradotto come “approvvigionamento”. Anche il processo opposto, il deprovisioning, può essere effettuato tramite IAM. Tali principi sono alla base dell’Identity and Access Management, un sistema articolato in ruoli e regole.

In molti casi, gli accessi e le autorizzazioni di accesso possono essere stabiliti dagli utenti stessi. A questo proposito, affinché il controllo e la sicurezza non sfuggano mai di mano, sono comunque coinvolti tutti i soggetti responsabili tramite un portale self-service o procedure di richiesta e approvazione completamente automatizzate.

Breve ABC dell’IAM:

• L’Access Management è utilizzato per monitorare e controllare l’accesso in rete.
• Il Context-aware Network Access Control è un metodo, basato su linee guida, che regola l’accesso alle risorse di rete prendendo in considerazione il contesto dell’utente.
• L’Identity Lifecycle Management comprende tutti i processi e le tecnologie utilizzate per memorizzare, cancellare e conservare le identità digitali.
• L’Identity Synchronisation assicura che tutti i sistemi ricevano le stesse informazioni su una determinata identità digitale.
• L’autenticazione a più fattori (MFA) si utilizza quando è richiesto più di un singolo fattore (password e nome utente) per l’autenticazione, come avviene ad esempio nell’ autenticazione a due fattori.
• L’autenticazione basata sulla valutazione del rischio (RBA) è una variante flessibile dell’autenticazione che, ad esempio, consente all’utente di accedere alla rete da una nuova posizione.
• Il Security Information and Event Management (SIEM) fornisce una visione d’insieme della sicurezza IT, compresi gli eventi sospetti e le tendenze attuali di attacchi informatici.
• La User Behaviour Analytics (UBA) analizza il comportamento degli utenti per rilevare possibili rischi per la sicurezza.

Il compito principale dell’IAM è quello di assegnare un’identità digitale a ciascun utente. Una volta creata, questa viene conservata, aggiornata e monitorata. L’Identity and Access Management fornisce agli amministratori gli strumenti necessari per modificare il ruolo degli utenti nella loro rete, monitorare tutte le attività, creare report o semplicemente far rispettare le politiche di sicurezza.

L’Identity and Access Management è progettato in maniera tale da mappare i permessi di accesso di un’intera rete, incluse tutte le norme di compliance interne ed esterne. Per questo il sistema IAM comprende una vasta gamma di tecnologie, strumenti, software e applicazioni, inclusi il password manager, il software di provisioning e le app necessarie per garantire le politiche di sicurezza, report e monitoraggio.

Queste caratteristiche sono necessarie per rendere i sistemi IAM flessibili, potenti e abbastanza sicuri da soddisfare le esigenze odierne. Autenticare o monitorare gli utenti all’interno di un sistema non è più sufficiente.

Per questo motivo l’Identity and Access Management va ben oltre: esso offre una gestione semplice dei permessi di accesso degli utenti, indipendentemente dalla loro posizione o dalla rete a cui sono connessi, tanto per i clienti quanto per i dipendenti in smart working. Ciò è valido anche in ambienti informatici ibridi, dal SaaS fino alla moderna gestione BYOD. Inoltre, le funzioni dell’IAM rendono il sistema così flessibile da funzionare su tutte le principali architetture informatiche, come Windows, Mac, Android, iOS, UNIX e persino su dispositivi IoT.

Tuttavia, tutte queste possibilità aumentano anche i rischi per la sicurezza, dato che in un ambiente informatico sempre più complesso, anche l’ambiente di rischio diventa più complicato. Inizialmente, l’IAM regola l’accesso attraverso i classici metodi di autenticazione come password, token hardware, certificati digitali o sistemi di carte di pagamento. Nei sistemi di Identity and Access Management moderni, si utilizza anche l’autenticazione biometrica, come l’impronta digitale o il riconoscimento facciale negli smartphone.

Peraltro, per consentire una protezione ottimale dei dati degli utenti, al giorno d’oggi vengono utilizzati anche il machine learning e l’intelligenza artificiale. Le aziende si affidano oggi a dei sistemi IAM con un’autenticazione a più fattori, come ad esempio la password scelta dall’utente, il suo smartphone e l’autenticazione associata tramite impronta digitale, riconoscimento facciale o oculare. Si tratta già di tre fattori che assicurano che l’utente nel sistema sia quello autorizzato.

Le funzioni dell’IAM, oltre a essere sicure, sono anche pratiche. Ad esempio, l’Identity and Access Management fornisce un meccanismo che consente agli utenti di utilizzare un unico login per più reti, particolarmente diffuso oggi nell’uso di smartphone. Anche il login alle applicazioni che di norma richiedono un processo di registrazione può essere completato tramite il login su un solo account (ad esempio Google o Facebook). Questa funzionalità è particolarmente apprezzata dagli utenti privati, in quanto consente di ovviare la necessità di creare nuovi dati di accesso per ogni account.

Si parla in questo caso di Identity and Access Management federato, cioè basato sulla cooperazione e la fiducia delle parti. Provider come Google e Facebook garantiscono per i loro utenti, permettendo loro di accedere a siti o applicazioni partner con i propri account. La funzione tecnica che permette tutto questo si chiama Single Sign-On (SSO) e consente agli utenti di accedere con la loro identità, già verificata, da una rete all’altra. L’autenticazione tra i partner passa inosservata all’utente e avviene attraverso un protocollo di identità come, ad esempio, il Security Assertion Markup Language.

Per capire meglio i vantaggi dell’IAM è opportuno considerare gli svantaggi che comporterebbe l’assenza di un sistema di gestione delle identità o l’utilizzo di un sistema molto semplificato. Infatti, se una piattaforma non è in grado di identificare chiaramente i suoi utenti e di assegnare loro i rispettivi permessi di accesso, i problemi non tarderanno ad arrivare. Più grande è la piattaforma, più problemi ci saranno. Un sistema di Identity and Access Management intelligente semplifica e automatizza i processi di raccolta e controllo dei dati degli utenti, assicura la compliance alle norme vigenti e monitora tutti i comportamenti degli utenti e i servizi della piattaforma.

Il più grande vantaggio dell’IAM è la sua funzione onnicomprensiva. Sia che venga utilizzato su un dispositivo mobile, in modo decentralizzato da un sistema IT o a livello globale tramite il cloud, l’Identity and Access Management può essere applicato ovunque.

Invece, un piccolo svantaggio è che bisogna per prima cosa individuare l’IAM consono alle proprie esigenze. I requisiti per l’IAM sono in realtà gli stessi in tutti i sistemi, di modo tale da poter essere adattato ovunque. Tuttavia, ogni azienda ha le proprie procedure, i propri sistemi, strumenti, e priorità, così come una propria filosofia interna.

In effetti, questo è spesso un ostacolo che le aziende e i governi incontrano nell’implementare un sistema IAM: la gestione dell’identità deve essere supportata sistematicamente da tutti i reparti e non può essere responsabilità del solo dipartimento informatico. Per questo, a domande fondamentali come “Chi ha accesso a cosa?” vanno trovate risposte e definizioni a priori. A seguire, bisogna interrogarsi su “Chi controlla l’accesso?” e “Cosa succede se qualcosa non ha la sua validità?”. I concetti di accesso e di ruolo possono essere stabiliti solo nel loro insieme.

Il passo successivo è quello di creare un sistema di architettura. È importante ricordare di prendere in considerazione altri sistemi oltre agli utenti, come partner, società affiliate, fornitori, clienti, dipendenti e così via. A seconda del settore, può essere necessario stabilire le autorità di regolamentazione e di controllo, come, ad esempio, per la scalabilità del numero di utenti.

Un sistema così centralizzato è naturalmente un bersaglio allettante per gli hacker. Di conseguenza gli IAM più recenti incorporano già un sistema di protezione blockchain che impedisce agli hacker di rintracciare o raccogliere le credenziali di accesso.

L’Identity and Access Management entra in gioco ogniqualvolta bisogna autenticare o autorizzare degli utenti. Al giorno d’oggi la gestione delle identità degli utenti e dei loro permessi di accesso alle reti, applicazioni e altri sistemi digitali avviene quasi ovunque.

Se un utente vuole utilizzare un sistema o un’applicazione, deve normalmente dimostrare di essere autorizzato a farlo. Nella maggior parte dei casi, ciò avviene tramite il login con un nome utente, un indirizzo e-mail e una password. I sistemi più moderni utilizzano anche combinazioni di keycard, autenticazione biometrica e smartphone.

Tuttavia, oggigiorno un’azienda non può permettersi di operare senza IAM, anche per motivi piuttosto pratici. Infatti, i numerosi processi che la gestione delle identità consente di automatizzare alleggeriscono il lavoro dell’IT. L’assistenza per di più non deve più occuparsi manualmente di processi dispendiosi in termini di tempo, come il ripristino delle password utente.

Soprattutto, l’Identity and Access Management obbliga le imprese, le autorità e le altre organizzazioni a definire le proprie direttive in materia di dati in modo olistico, a vantaggio non solo di tutte le reti, ma anche di una maggiore sicurezza per tutti i dati.