Le violazioni alla sicurezza aziendale vengono più dall’interno che dall’esterno delle organizzazioni: la gestione delle identità digitali serve a ridurre, se non a eliminare, questo rischio

Sebbene l’attenzione tenda sempre a focalizzarsi su minacce esterne quali virus, spyware, trojan e affini, in verità è più probabile che molte violazioni siano commesse da qualcuno che opera all’interno, raramente con intento doloso, ma per lo più involontariamente.

Uno dei motivi principali è che chi opera dall’interno conosce bene i sistemi dell’azienda, perciò è in grado di localizzare e sfruttare gli eventuali punti deboli. La maggior parte delle organizzazioni ha piena coscienza di potenziali minacce interne, ed addirittura è anche consapevole che tali problemi permarranno nel tempo. Le aziende conoscono la necessità di adottare un sistema di Identity and Access Management (IAM), ma solo poche lo hanno già adottato, o ha intenzione di adottare una soluzione IAM nell’ambito delle procedure di sicurezza informatica.

 Qual è il problema?

Ma cos’è l’Identity & Access Management? Perché è importante per le organizzazioni? Cosa sono le “identità digitali” e perché è richiesta una loro gestione efficace ed efficiente?

Oggi, in un contesto di globalizzazione, ogni azienda ha la necessità di anticipare la concorrenza e di riuscire a fare di più con meno. Persino le grandi imprese stanno impegnandosi ad acquisire la stessa flessibilità ed agilità che contraddistingue le aziende di nuova costituzione. E’ cruciale che le imprese realizzino un utilizzo più efficace dell’Information Technology, per poter rispondere adeguatamente sia alle minacce sia alle opportunità. L’utilizzo oramai diffusissimo di sistemi informatici per servizi sia interni sia esterni porta con sé una maggiore complessità. Un’azienda può trovarsi ad avere centinaia di applicazioni, una serie di partner commerciali, migliaia di dipendenti e centinaia di clienti. Tutti potrebbero avere la necessità di accedere agli applicativi e ai dati aziendali in modo sicuro e tale da garantire l’osservanza delle regole e procedure aziendali, nonché la conformità alle più recenti norme di legge nazionali e in molti casi internazionali. Tutto questo costituisce un’attività complessa e cruciale per la gestione informatica nelle attuali realtà aziendali.

L’efficacia di un sistema IAM consiste nell’automatizzare la gestione del ciclo di vita degli utenti (clienti, partner, dipendenti, consulenti), a partire dalla creazione e modifica fino alla definitiva cancellazione del relativo codice di identificazione associato ovviamente al profilo autorizzativo (diritti di accesso ad applicazioni, sistemi elaborativi, file e risorse critiche ed altre risorse non informatiche dell’impresa quali telefoni, uffici, ecc.). Se è davvero così importante e può significare risparmi notevoli, perché le aziende non attingono al valore rappresentato dallo IAM in materia di protezione dei sistemi informatici? Esaminiamo quali sono i vantaggi che una efficiente gestione delle identità digitali può dare alle aziende.

Sistema di Identity and Access Management

 Infrastrutture flessibili

Le infrastrutture spesso presentano ambienti informatici cresciuti ed evoluti nel tempo, aprendo una serie di falle nella sicurezza aziendale. I servizi di security sono incorporati nella logica delle singole piattaforme e applicazioni, causando elevati costi di manutenzione e una mancanza di flessibilità. Ogni applicazione e ogni piattaforma tende ad avere il proprio archivio contenente le identità digitali e i privilegi di accesso che va gestito e aggiornato separatamente. Questo modello non è compatibile con la flessibilità.

Anche la capacità di rispondere al mutare delle esigenze di sicurezza e degli obblighi di legge, come il Testo unico in materia di privacy, ne risulta compromessa perché non è possibile configurare la sicurezza con flessibilità, senza vincoli e in modo indipendente.

Questi problemi fanno lievitare i costi di manutenzione dell’infrastruttura IT, riducono la flessibilità e diminuiscono la quantità di fondi disponibili per gli investimenti strategici.

L’adozione di un sistema di gestione delle identità digitali incrementa la flessibilità del processo di controllo delle identità e degli accessi ed accelera i processi operativi.

Aumento di produttività

La temuta telefonata che annuncia “Non riesco più a ricordare la password” è ancora un grosso problema per gli amministratori dell’IT.

In un’azienda i problemi legati alle password e al blocco degli account possono rappresentare una percentuale significativa del carico di lavoro dell’help desk. L’amministrazione manuale dei diritti di accesso  degli utenti può risultare eccessivamente costosa, oltre a costituire intrinsecamente un rischio, proprio a causa dei potenziali errori umani, e può persino penalizzare la produttività del personale, costretto ad attendere che i necessari diritti d’accesso gli vengano forniti. Questo problema assume un altro aspetto nel momento in cui entrano in gioco elementi esterni  che hanno bisogno di interagire in un ambiente sicuro. Quando si opera con dei partner, è poco pratico gestire tutti gli utenti finali dall’interno della propria organizzazione; è necessario che siano predisposti processi e tecnologie che consentono di delegare loro parte dell’amministrazione, anche se sotto il controllo dell’azienda primaria, il tutto ovviamente nella massima sicurezza. Poiché i diritti d’accesso dipenderanno dall’accordo stipulato con il singolo partner, è importante che il processo sia sufficientemente flessibile al fine di tener conto degli accordi presi dalle parti.

Inoltre, nel caso di amministrazione manuale del servizio l’onere per la configurazione dei diritti d’accesso per un nuovo assunto, o per un utente che cambia ruolo, risulta spesso molto elevato e, inoltre, la conclusione dell’operazione avviene dopo giorni: non è certo un livello di servizio accettabile e in alcune circostanze rischia addirittura di collidere con le norme vigenti.

Conformità normativa

Negli ultimi anni si è assistito a un notevole aumento nel numero degli scandali che colpiscono aziende di primaria importanza, con l’esplosione del terrorismo e sempre maggiori preoccupazioni sulla confidenzialità dei dati personali. Queste tendenze hanno innescato l’emanazione di nuove norme governative in materia di informativa finanziaria, sicurezza e privacy. Migliorando i processi di identity management si possono ridurre  i costi e aumentare le efficienze operative; ciò che più conta, però, è il fatto che, implementando un’adeguata soluzione di Identity and Access Management basata su ruoli chiaramente definiti, per un’azienda sottoposta a controllo tributario sarà relativamente facile rispondere a domande sulla titolarità dei diritti d’accesso ai dati, nonché sulle occasioni e motivi d’accesso agli stessi. Una soluzione IAM prevede anche la suddivisione dei compiti, perciò, ad esempio, chi avvia il processo di creazione di una fattura non sarà mai la stessa persona che si occuperà della relativa approvazione. Inoltre, qualora la persona incaricata all’immissione delle fatture, dotata delle necessarie regole d’accesso, cambi di ruolo, sarà il sistema di IAM a provvedere che vengano aggiornate le regole d’accesso relative.

Ancora più importante è che, grazie allo IAM, si riduce il rischio che gli amministratori creino utenze dotate di autorizzazioni eccessive e superflue rispetto alle reali esigenze. Interpellando l’IT Manager di una grande azienda per ottenere i dettagli sui vari privilegi d’accesso degli utenti, probabilmente, non si otterrebbe una risposta soddisfacente: con un sistema di Identity & Access management la risposta è chiara e precisa.

 


Autore: Raffaele Felicità

2 COMMENTS