Sicurezza e privacy

Identity access management, cos’è e cosa serve

L’ introduzione del GDPR ha aumentato la rilevanza dei sistemi di Identity access management (IAM) che aumentano la conformità alle normative sulla tutela della privacy. Infatti la gestione dell’identità e degli accessi è una priorità della sicurezza informatica. Inoltre apporta benefici in termini di taglio dei costi e aumento della produttività

Pubblicato il 17 Dic 2021

Identity Access Management

Nell’era dei sistemi decentralizzati, dell’accesso al cloud, IoT, Edge o fog computing, della diffusione dei dispositivi mobili e delle piattaforme digitali (anche ibride) a livello globale, la gestione dell’identità digitale è una pietra miliare dell’approccio sicurezza zero trust, ma anche nel “continuous adaptive trust”, dove serve una fiducia in adattamento continuo. L’Identity access management (IAM), dunque, permette a imprese, organizzazioni e governi di convalidare l’identità di utenti con permessi di accesso, nel crescente flusso di dati su una vasta gamma di piattaforme e sistemi.

Standardizzando e automatizzando i processi di autenticazione, IAM riduce i costi IT. Incrementando la sicurezza, aumenta la produttività dei dipendenti.

Identity access management (IAM): cos’è

L’Identity access management è l’insieme di processi aziendali per gestire le identità digitali degli utenti e i loro permessi di accesso.

L’IAM permette quindi di convalidare le identità digitali degli utenti e i privilegi attribuiti a ogni profilo.

Un sistema di gestione delle identità comprende quattro elementi chiave:

  • una directory dei dati personali che il sistema sfrutta per delineare i singoli profili;
  • una gamma di strumenti per gestire i dati: il ciclo di vita degli accessi (aggiungere, cambiare, eliminare i dati);
  • un sistema che regolamenta l’accesso degli utenti, applicando policy di sicurezza e privilegi di accesso: può configurare domande di sicurezza, fattori di identificazione personale, password usa e getta;
  • un sistema di controllo e reportistica: in grado di monitorare cosa accade nel sistema.

Identity access management

A cosa serve l’Identity access management

L’Identity access management (IAM) serve a capire chi è un utente e cosa gli è permesso fare, per evitare:

  • accessi non autorizzati;
  • rischio di compromissione delle chiavi di accesso;
  • di commettere errori come usare un’unica password per innumerevoli servizi (infatti IAM permette di ricordare tutte le password diversificate per ogni servizio, come è giusto che sia).

Quindi, consente di identificare un utente, autenticarlo e offrirgli l’autorizzazione per accedere al profilo secondo il ruolo assegnato dalla propria identità digitale:

  • evitando di fornire a un utente un livello di accesso superiore a quello richiesto per svolgere il proprio lavoro o di ritardare di eliminare i privilegi di coloro che non hanno più rapporti con l’azienda;
  • garantendo allo stesso tempo la privacy, la sicurezza e l’affidabilità di un prodotto o di un servizio online.

Grazie a un’infrastruttura di supporto ad hoc, l’IAM consente di generare, mantenere e utilizzare le identità digitali in un ambito legale: pubblico o privato, amministrativo o commerciale. I sistemi IAM infatti sostengono la compliance normativa del GDPR: un’azienda che lo implementa, rispetta le normative privacy in conformità col regolamento europeo.

Inoltre, l’Identity access management è un fattore abilitante per impedire cyber attacchi basati sull’identità nel cloud computing. E monitora anche gli accessi da bot, smart object, dispositivi IoT.

Identity access management, cos'è e cosa serve

Il ruolo dell’Identity access management nella sicurezza cloud

Il cloud computing, l’IoT e il fog o l’edge computing rappresentano le nuove sfide per l’Identity access management, dal momento che hanno reso obsoleta e virtuale ogni strategia di cyber sicurezza fondata sulla protezione del perimetro fisico aziendale.

Infatti, la nuova linea di difesa deve far affidamento sull’identità digitale e sulla gestione degli accessi. In questa prospettiva, i sistemi IAM sono essenziali per prevenire violazioni nel cloud computing e aiutare a gestire i team che lavorano in mobilità, da remoto, in smart working, e comunque fuori dal classico ufficio aziendale.

Dalla difesa del perimetro di rete al cloud

I servizi disponibili in cloud computing archiviano i dati in remoto e l’accesso avviene via Internet. Gli utenti si connettono alla Rete da ogni luogo e dispositivo digitale, eseguendo l’accesso tramite browser o un’app per accedervi.

Poiché non importa più il perimetro di rete (da dove e con quale dispositivo si accede), a diventare cruciale è il concetto di identità digitale dell’utente, ciò che controlla l’accesso, determinando sia il diritto di accesso sia a quali dati del cloud accedere.

Prima dell’avvento del cloud, un cyber criminale doveva scavalcare il perimetro di rete per accedere ai dati sensibili. Nell’era della nuvola, invece, al cyber criminale è sufficiente rubare le credenziali di accesso di un dipendente (in generale, nome utente e password) per accedere ai dati.

Nel dettaglio, i dispositivi Internet of Things (IoT), connessi al cloud, devono assicurare che la propria identità venga certificata lungo tutta la catena del valore, fino al cloud.

L’Identity access management serve dunque a impedire i cyber attacchi basati sull’identità e violazioni di dati derivanti dall’aumento dei privilegi.

What is Identity and access management | #IAM

What is Identity and access management | #IAM

Guarda questo video su YouTube

Video: Cos’è l’Identity Access Management (in inglese)

Soluzioni IAM

Le soluzioni IAM sono ideate e sviluppate per offrire visibilità e controllo centralizzati. Permettono di misurare e controllare attivamente i rischi intrinseci associati al sistema che si occupa della corrispondenza di risorse e utenti.

Inoltre, presentano funzionalità avanzate che incrementano sia la sicurezza che la produttività dei dipendenti. In base al ruolo, poi, ciascun utente sarà in grado di accedere a un ventaglio di dati su cui potrà eseguire un certo tipo di operazioni.

Lo scopo fondamentale dei sistemi IAM, infatti, consiste nell’identificare un utente, autenticarlo e concedergli l’autorizzazione per accedere al profilo, secondo il ruolo della sua identità digitale.

Dunque, le soluzioni di identità e gestione degli accessi servono non solo a stabilire l’identità digitale, ma anche a mantenerla, modificarla e monitorarla nell’intero corso del ciclo di vita del procedimento di accesso: durante il provisioning del servizio, l’onboarding dell’utenza, l’offboarding e la cancellazione al momento appropriato.

Esempi di soluzioni IAM

Negli anni hanno catalizzato crescente interesse le soluzioni:

  • basate su API security;
  • di Identity-as-a-service (IDaaS);
  • Customer identity and access management (CIAM) integrabili con i ERP e CRM (Google Identity è un customer Identity and access management – CIAM);
  • analytics sulle identità per monitorare e bloccare eventuali comportamenti sospetti, sfruttando sistemi di behavioural basati su machine learning e sistemi statistici;
  • Identity management and governance (IMG) per la gestione automatizzata e ripetibile del ciclo di vita delle identità;
  • Risk-based authentication (RBA) per gestire gli accessi a uno o due fattori, a seconda del profilo di rischio dell’utenza;
  • introduzione di fattori biometrici (come TouchID), apprendimento automatico, intelligenza artificiale (AI), autenticazione a due fattori o multi-fattoriale e basata sul rischio, per rendere sicure le identità digitali nell’era dei data breach, dell’identity sprawl e della Shadow IT.

identity access management

Software IAM

I sistemi IAM sono composti da:

  • strumenti di gestione delle password (One Time Password – OTP; standard Single Sign-On – SSO, per gestire gli ID federati; memorizzare le credenziali tramite sistemi di crittografia con hash code; offrire la possibilità agli utenti di ripristinare in condizioni di sicurezza le proprie password, sbloccando i propri account senza fare pressione sull’help desk.);
  • uso di TouchID e soluzioni biometriche;
  • software di provisioning e de-provisioning dinamica (attività da automatizzare);
  • software di applicazione delle policy di sicurezza;
  • app di reporting e monitoraggio;
  • app di archivi di identità.

I software IAM più evoluti rientrano nelle seguenti tipologie:

  • cloud IAM e Managed services, per gestire in maniera trasparente gli accessi del personale in smart working (monitorando l’attività di utenti in modo da identificare in tempo eventuali attività malevole);
  • identità decentralizzata, per verificare l’identità degli utenti che effettuano gli accessi tutelando la rispettiva privacy;
  • accesso just-in-time, per assicurare gli accessi soltanto per il tempo necessario a effettuare l’attività, concedendo unicamente le informazioni utili a tale scopo.

Esempi di software di Identity access management

Ecco una selezione di software di Identity access management:

  • Okta, che offre Single Sign-On, autenticazione Multi-fattotre, Lifecycle Management (Provisioning), Mobility Management, API Access Management eccetera;
  • JumpCloud, piattaforma di open directory;
  • Rippling, che mette insieme dati e sistemi IT per i dipendenti (buste paga, risorse umane, benefit eccetera);
  • Auth0 Identity Platform, piattaforma indipendente;
  • OneLogin, si distingue per l’accesso one-click;
  • Microsoft Azure Active Directory è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft, servizio SaaS (IDaaS), dedicato ai dipendenti in grado di effettuare l’accesso e utilizzare le risorse in: Risorse esterne, tra cui Microsoft 365, il portale di Azure e migliaia di altre applicazioni SaaS;
  • Ping Identity;
  • AWS Identity and Access Management (IAM) è un servizio online per monitorare in maniera sicura l’accesso alle risorse del cloud AWS (utilizza IAM per controllare chi è autenticato e autorizzato per usare le risorse. Permette di creare e gestire utenti e gruppi AWS, e usare i permessi per autorizzare o negare l’accesso alle risorse AWS);
  • ForgeRock;
  • SecureAuth Identity Platform;
  • SailPoint;
  • Salesforce Identity;
  • Avatier Identity Anywhere;
  • Google Cloud Identity & Access Management (IAM);
  • Oracle Identity Management, soluzione per gestire lifecycle end-to-end delle identità degli utenti su tutte le risorse di fascia enterprise, oltre il firewall e nel cloud: una piattaforma scalabile per la gestione delle identità, gestione dell’accesso e servizi directory;
  • IBM Security Verify: Ibm permette di sfruttare metodologie Agile e DevOps per implementare i servizi IAM, da migliorare con Ibm Security Services.
  • HelloId.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3