SPONSORED STORY

Identity and access management, la sicurezza dei network passa dall’automazione e semplificazione

Maggiore visibilità sugli accessi alle risorse aziendali e user experience semplificata anche per i collaboratori in smart working. Ecco cosa si può ottenere implementando una soluzione avanzata di gestione delle identità. Parlano Giovanni Napoli, Presales Director di SecurID (An Rsa Business) e Roberto Branz, Channel Account Executive di SecurID

25 Mar 2022
cyber- cybercrime- cybersecurity3

Massimizzare l’efficienza e la sicurezza nei processi di gestione delle identità e degli accessi è oggi essenziale per qualsiasi azienda che voglia trovare un punto di equilibrio tra flessibilità e resilienza organizzativa. Lo smart working sarà infatti centrale nel cosiddetto new normal, ma il modello ibrido risulterà realmente efficace solo quando gli utenti potranno accedere a strumenti, dati e applicazioni con un sistema di autenticazione semplice da gestire per gli owner dei processi e in grado al tempo stesso di garantire ai collaboratori una user experience fluida.

Cosa prevede l’approccio Zero Trust

Il tema della gestione dei permessi e dei privilegi all’interno dei sistemi informatici, però, è ben più complesso. Come ormai purtroppo molti responsabili IT sanno, le intrusioni vengono spesso scoperte solo a distanza di mesi. Il che rende assai più difficile contenere i danni di un data breach o intervenire tempestivamente per contrastare un attacco Cyber che, sempre più spesso, assume connotati distruttivi sui dati aziendali coinvolti o di un ricatto (Ransomware). “Non sono pochi i casi in cui i cybercriminali sfruttano credenziali di accesso collegate a profili aziendali ancora attivi, ma non più utilizzati (account orfani). Credenziali magari associate ad account over-privileged, il cui ruolo è certamente ignoto agli amministratori di sistema ma anche ai vari application e business owner che, non disponendo di strumenti di revisione, di governance e di cancellazione automatica di questi diritti, finiscono per dimenticarsene e lasciarli a disposizione degli attaccanti”. A parlare è Giovanni Napoli, Presales Director di SecurID, azienda che offre soluzioni di sicurezza informatica basate su tecnologia cloud e con un forte indirizzo all’adozione di un approccio Zero Trust.

“Anche se parliamo di un concetto definito ed elaborato già da qualche anno, in molte imprese non c’è ancora piena consapevolezza di cosa questa metodologia implichi davvero”, dice Napoli. “C’è chi tende ad associare l’idea di Zero Trust a un set di prodotti, quando in realtà bisognerebbe pensare a un vero e proprio nuovo paradigma rispetto ai temi della sicurezza e dell’accessibilità ai sistemi. Un mindset che tenga conto del fatto che ormai i network delle imprese hanno perimetri estremamente porosi. E che per offrire agli impiegati, spesso ormai dislocati fuori sede, tutti gli strumenti di cui hanno bisogno per svolgere il loro lavoro, è necessario prevedere meccanismi di autenticazione ed autorizzativi in grado di accertare l’identità e i diritti di individui, software e dispositivi in maniera costante e regolare. Ciò deve soprattutto avvenire in maniera sempre più automatizzata e, laddove possibile, in maniera trasparente per l’utente finale”.

Le funzioni di una piattaforma avanzata di identity and access management

I sistemi aziendali infatti non sono tutti uguali, e una piattaforma avanzata di identity and access management non deve limitarsi a offrire metodi di identificazione standard, con fattori multipli e necessariamente forti. Deve piuttosto elaborare e fornire credenziali e metodi di autenticazione da tarare sull’effettivo grado di rischio associato a un contesto e relativo processo o un applicativo, tenendo conto della user experience del lavoratore o dell’utente finale: inutile stressarlo con procedure troppo complesse quando non sono giustificate dall’effettivo rischio, la possibilità che qualcosa possa accadere non corrisponde alla probabilità (e quindi il rischio) che la cosa accada.

“Naturalmente non ci si ferma qui: bisogna sapere esattamente cosa presuppone una determinata autorizzazione”, spiega Roberto Branz, Channel Account Executive di SecurID. “A quali ambienti, una volta autenticato, l’utente può avere accesso? Chi ha fornito i permessi? Sono temporanei o permanenti? Oltre a saper rispondere a queste domande, la piattaforma di identity and access management deve anche essere in grado di comprendere quali sono le risorse a cui ciascuna tipologia di utente ha accesso, e controllare che siano effettivamente le sole e uniche di cui ha bisogno”. Ma per gli esperti di SecurID ancora non basta: se un qualsiasi permesso viene revocato, la modifica deve essere riflessa sull’intera infrastruttura aziendale, tenendo naturalmente conto dei diversi ruoli ricoperti da ciascuno degli utenti. Infine, quando un collaboratore lascia l’azienda o semplicemente abbandona un progetto o un gruppo di lavoro, è necessario sincerarsi che tutti i permessi sui vari sottosistemi siano eliminati o, nel caso in cui sia previsto un suo ritorno, disabilitati, evitando pratiche di re-provisioning.

Il ruolo dell’automazione e la sfida del cloud

È evidente che una gestione così articolata e per tutto il ciclo di vita delle identità non può prescindere da una serie di soluzioni di automazione. “I nostri software tengono traccia dei sistemi a cui ciascun utente può avere accesso e integrano in modo trasparente le sottorisorse potenzialmente sfruttabili, sia in funzione degli attributi del profilo, sia considerando il ruolo dell’utente nella situazione specifica, sia valutando il grado di rischio connesso al contesto ed agli ambienti visitati”, racconta Napoli. “Il processo viene svolto in modo automatico e centralizzato, ed è aggiornato regolarmente per verificare che ciascun utente stia accedendo a determinate risorse sulla base dei permessi stabiliti e per svolgere effettivamente il proprio lavoro. Queste campagne di certificazione permettono agli application owner di individuare rapidamente qualsiasi tipo di anomalia, e sono la premessa per aiutare il sistema a mettere a disposizione dei responsabili automatismi ancora più intelligenti e supportarli nelle loro decisioni. La piattaforma impara infatti a riconoscere set di ruoli, attributi e relativi permessi identificando pattern di accesso comuni ed evidenziando per le funzioni simili quali regole di conformità risultano sotto o sovradimensionate”.

Una funzionalità del genere si rivela strategica nel momento in cui la responsabilità della sicurezza aziendale si fa sempre più distribuita e granulare tra i vari direttori di processo. “Se fino a poco tempo fa erano sostanzialmente le persone dell’IT a dover rendere conto dei rischi connessi all’accesso degli utenti alle risorse aziendali, oggi le cose sono cambiate”, avverte Branz. “È l’owner dell’applicazione che ne conosce sensibilità, livello di potenziale esposizione e comprensione del significato dell’accesso a sottorisorse, ed è lui la figura più idonea per stabilire se un utente possa o non possa godere di determinati privilegi, in funzione del ruolo che ricopre e dei compiti che gli vengono assegnati in uno specifico periodo. Il dipartimento IT può solo avere una vaga idea di questi fattori, senza contare che tipicamente il Cio non è al corrente del modo in cui funzionano i meccanismi operativi e di ownership”.

A cambiare però non sono solo ruoli, approcci e responsabilità. Anche i modelli tecnologici su cui si implementano e si sviluppano gli ambienti informatici stanno affrontando un momento di grande trasformazione, e chi come Rsa realizza soluzioni di security e identity and access management deve tenerne conto.

“Siamo in grado di supportare i nostri clienti che per innovare hanno scelto la via del cloud, ma siamo anche consapevoli che non tutte le aziende hanno lo stesso livello di preparazione e di maturità su questo fronte, il che ha effetti diretti sulla capacità di trasformazione in tempi brevi”, dice Branz. “Per questo, pur rimanendo convinti che il cloud e la modalità SaaS si dimostreranno vincenti sul piano della governance e di gestione delle identità, offriamo anche soluzioni on premise, con la possibilità comunque di orchestrare ambienti ibridi. Se nel medio periodo, l’intento è quello di salvaguardare gli investimenti fatti dai nostri clienti, l’obiettivo di lungo termine rimane quello di rivoluzionare il loro approccio all’utilizzo dei sistemi di autenticazione, superando la logica delle credenziali deboli, migliorando la visibilità per gli owner di processo e semplificando l’esperienza dell’utente finale”.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Aziende

S
SecurID

Approfondimenti

A
Access Management
C
cybersecurity
Z
zero trust

Articolo 1 di 3