Identità e accesso, i nuovi confini della governance

Come le soluzioni di privileged access management (PAM) possono irrobustire le soluzioni di identity and access management (IAM). Gestione delle identità e controllo accessi punti critici della strategia di sicurezza ma anche acceleratori di business. Regole e modelli per definire e utilizzare le identità digitali in modo produttivo

Per effetto dei recenti provvedimenti varati dal governo Draghi, in materia di lavoro agile nella PA, la marea potrebbe parzialmente rientrare. Tra le tendenze che l’emergenza sanitaria ha accelerato, il fenomeno dello smart working ha assunto dimensioni epocali. Fino a prima della pandemia pur con un numeri in crescita (+ 15% nel 2019 rispetto all’anno precedente), lo smart working rappresentava una tendenza interessante ma lontana dal riscuotere un successo di massa nel nostro Paese. Ma nei mesi più difficili dell’emergenza sanitaria – secondo i dati dell’Osservatorio Smart Working della School of Management del Politecnico di Milano – abbiamo assistito a un vero e proprio boom, passando da 570mila smart worker a oltre 6,5 milioni (+ 1.050%), interessando il 97% delle aziende, il 94% delle Pubbliche Amministrazioni e il 58% delle PMI. Oggi, secondo le recenti rilevazioni dell’Istituto Nazionale per l’Analisi delle Politiche Pubbliche (INAPP), i lavoratori agili sono circa cinque milioni, suddivisi tra grandi imprese (oltre un lavoratore su due – 54%) e PA. Esperienza, forzata ma inevitabile per sopravvivere, che necessita ora di essere gestita. Atteso che – anche per il post pandemia, molte continueranno lungo questo solco, con il lavoro da casa, il cloud e con nuovi investimenti in capitale umano e ricerca di nuovi modelli organizzativi – la riflessione su molti aspetti investiti dal fenomeno, e uno di questi è senz’altro la sicurezza, non potrà arrestarsi.

Anzitutto per cercare di mettere una toppa sulle falle aperte dalla nuova modalità di lavoro che espongono aziende e organizzazioni a pericoli assortiti. Non sappiamo quante siano consapevoli dei pericoli che corrono né quante siano quelle che si stanno muovendo per securizzare la nuova postura organizzativa. Ma i numeri del cybercrime confermano che per molte di loro questa cesura è costata cara. La dilatazione della superficie d’attacco per effetto delle misure adottate, per continuare a lavorare da remoto durante l’emergenza, ha portato a una recrudescenza nell’incremento degli attacchi. Phishing, frodi, estorsioni, spesso supportate da campagne social mirate, sono in forte crescita. Secondo i dati forniti dal CNAIP, gli attacchi registrati nel 2020 segnano un preoccupante + 246% rispetto all’anno precedente.

«Nel corso dell’ultimo anno – spiega Diego Pandolfi, Research & Consulting manager di IDC Italia – le aziende si sono confrontate con la necessità di abilitare l’accesso da remoto a risorse e dati per una massiva quantità di utenti; dipendenti dislocati in luoghi differenti rispetto alle sedi aziendali, ma anche clienti che hanno incrementato l’utilizzo di servizi e prodotti digitali». In questo contesto – continua Pandolfi – «le soluzioni di identity and access management (IAM) e soprattutto di privileged access management (PAM) ricoprono un ruolo chiave per garantire la protezione dei dati e delle informazioni di business, permettendo l’accesso alle risorse ai soli utenti che detengono i diritti».

Oggi più che in passato, la gestione degli accessi è un elemento critico e centrale nell’ambito della strategia di data protection e nel piano di sicurezza aziendale. «In un’ottica in cui l’accesso ai sistemi è stato stravolto dallo smart working, arginare i rischi e le minacce per la sicurezza e la data protection è diventato un imperativo» – concorda Gianluca Marianecci, che in Bludis, distributore di Okta, ricopre il ruolo di business developer manager per l’area Security. La gestione di identità e accessi è il punto di partenza di ogni strategia di sicurezza. Tematica peraltro legata a doppio filo ai temi ampi e complessi della resilienza IT e della continuità aziendale. «Nessuno di questi ambiti può prescindere dall’identità» – afferma Marco Misitano, membro del Comitato Direttivo di CLUSIT. «Senza validazione della identità, i temi di compliance, resilienza e business continuity sarebbero costruiti su fondamenta deboli e tutti gli sforzi potrebbero vanificarsi di fronte a utenti anonimi, sconosciuti o semplicemente autorizzazioni a maglie troppo larghe e poco specifiche».

APPROCCIO ZERO TRUST

Secondo una recente ricerca di IDC, gestire gli utenti, le identità e gli accessi è una priorità per oltre il 30% delle aziende italiane. «Il dato – spiega Pandolfi – conferma che le aziende comprendono la necessità di dotarsi di soluzioni in grado di gestire in modo centralizzato e ottimale le identità digitali, gli accessi, le autenticazioni e i privilegi, con una crescente attenzione a tutte le attività di monitoraggio e di tracking delle sessioni». La necessità di profilare gli utenti e di assegnare loro ruoli e privilegi risale agli albori dell’informatica. Per anni, assolta dagli strumenti nativi dei principali sistemi operativi e più di recente con l’ausilio di soluzioni dedicate di gestione delle identità e degli accessi (IAM) e in seguito di gestione degli accessi privilegiati (PAM). Comuni a entrambi gli strumenti quattro elementi fondamentali: 1) una directory dei dati personali, utilizzata dal sistema per identificare e definire le caratteristiche dei singoli utenti; 2) un set di funzionalità per aggiungere, modificare ed eliminare i dati; 3) un sistema di gestione dei privilegi per regolare l’accesso degli utenti a dati e applicazioni; 4) l’integrazione di un meccanismo di controllo e reportistica. Soluzioni che da un punto di vista tecnico differiscono per la natura delle identità che gestiscono: il primo, in generale, degli amministratori di un sistema IT, il secondo, del resto della popolazione aziendale.

«Lo IAM orchestra l’intero ciclo di vita delle identità in modalità end-to-end, dall’assegnazione alla rimozione dei privilegi di accesso, sostituendo i processi manuali. Il PAM gestisce e controlla gli account e i privilegi d’accesso degli utenti che necessitano di un accesso a particolari risorse» – sintetizza Sandro Visaggio, BU Cyber Security manager di SCAI Solution Group. L’architettura Zero Trust (ZTA) – nome in codice SP 800-207, come definita dal National Institute of Standards & Technology (NIST), l’agenzia statunitense interna al Dipartimento del Commercio USA, che sviluppa standard, tecnologie e metodologie atte a favorire la produzione e il commercio – rappresenta uno degli approcci alla security più studiato e implementato. Il termine identifica un set in evoluzione di paradigmi di sicurezza informatica che spostano le difese da perimetri statici basati sulla rete per concentrarsi invece su utenti, asset e risorse.

«Il NIST – spiega Giovanni Motta, IAM/PAM Business Line manager S2E Information Security – fornisce indicazioni generali per la gestione degli account privilegiati e molte di queste si applicano direttamente ad Active Directory. Le raccomandazioni riguardano anche la rimozione di accessi, autorizzazioni e account non necessari. L’implementazione Zero Trust in Active Directory – continua Motta – però presenta alcune sfide, poiché gli strumenti nativi consentono solo autorizzazioni statiche». Un limite superabile con l’impiego della metodologia di accesso Just-in-Time (JIT) una funzionalità tipica di queste soluzioni che consente di elevare i livelli di privilegio degli utenti – umani e macchine – in tempo reale e al contempo di restringere la finestra temporale a disposizione per approfittare dei privilegi legati a un accesso effettuato come account privilegiato, garantendo così un livello più elevato di sicurezza.

«Secondo l’approccio Zero Trust – spiega Enzo Mudu, IBM Security technical sales leader per l’Italia – il Privileged Access Management (PAM) è forse una delle parti più delicate nella gestione delle identità e degli accessi ai dati o alle applicazioni aziendali. Fondamentale soprattutto – continua Mudu – nella gestione degli accessi di quelle utenze privilegiate che nelle aziende hanno un livello di autorizzazione troppo ampio o, comunque, non limitato. Esponendole a enormi rischi sia dal punto di vista della confidenzialità dell’informazione che di esfiltrazione dei dati, in caso di attacchi interni o esterni. Grazie alle soluzioni PAM, diventa possibile gestire le utenze di questo tipo proteggendo i dati più importanti dell’azienda».

Soluzioni che, secondo i dati forniti da IDC, sono sempre più diffuse nelle aziende di medio-grandi dimensioni. «Le soluzioni PAM sono già oggi in uso o pianificate da oltre il 60% delle aziende italiane, dato in linea con quello dell’UE nel suo complesso» – conferma Pandolfi di IDC Italia. «Inoltre, cresce la percentuale di aziende dotate di soluzioni di advanced authentication per far fronte alla necessità di una massiva gestione di accessi e identità. Priorità che sono al centro delle strategie di sicurezza del business digitale».

PER MOLTI MA NON PER TUTTI

Secondo i dati di una ricerca IDC, attualmente in Europa oltre il 40% delle aziende ha pianificato l’adozione di un modello Zero Trust come parte della strategia di sicurezza. «Il modello – continua Pandolfi di IDC Italia – sposta il focus della protezione dal perimetro di rete alle identità, abilitando un livello di sicurezza adatto ai nuovi modi di operare, sfruttando appieno le soluzioni IAM e PAM. Attraverso soluzioni di autenticazione avanzata e di gestione dei privilegi, gli utenti e i dispositivi connessi sono abilitati ad accedere alle sole risorse per le quali detengono i diritti e solo in seguito alla stringente verifica della loro identità». Un’architettura di questo tipo consente inoltre di migliorare l’esperienza dell’utente che può accedere in questo modo alle risorse da qualsiasi rete e con qualsiasi dispositivo. Il presupposto del modello Zero Trust è che sia applicato un profilo di autorizzazione pervasivo a ogni risorsa di un sistema informativo in base all’identità. «Non può esistere Zero Trust senza gestione della identità e del loro ciclo di vita» – spiega Misitano di CLUSIT. «Lo stesso vale per gli accessi privilegiati, ancora più critici. Un compito che la tecnologia da sola non può assolvere. Serve invece un approccio strutturato nella definizione dei ruoli, delle risorse e degli accessi. Un inibitore allo Zero Trust è la sua complessità» – continua Misitano.

«Nella gestione delle identità c’è una componente procedurale che va gestita; occorre cioè definire chi fa cosa su un certo numero di sistemi. Tutto questo presuppone una buona preparazione aziendale. Anche se ci vengono proposte delle configurazioni standard, non c’è un default che vada bene per tutti. Occorre adeguare queste configurazioni di partenza alle proprie esigenze». Competenze che non sempre sono disponibili all’interno dell’organizzazione. «Una banca importante – rileva Misitano – non ha nessun problema a chiamare una delle Big Four e pagare un certo numero di consulenti per svolgere tutto il lavoro. Diverso è il caso della tipica media azienda italiana che, come ho visto tante volte, rinuncia a imbarcarsi in progetti di questo tipo». Uno scenario tutt’altro che nuovo. Come avviene per altre aree della security, anche nella gestione di accessi e identità sono richieste capacità specifiche per definire policy aziendali e procedure di sicurezza adatte e adattabili al contesto in cui ci si trova a operare. Regole che devono scaturire dalla conoscenza puntuale delle esigenze di collaboratori e partner in relazione agli applicativi e ai sistemi in modo da implementare una politica di sicurezza, non calata dall’alto, ma ritagliata sulle esigenze dell’organizzazione. «Il processo di identificazione, elemento cardine del modello Zero Trust  – come sottolinea Andrea Negroni, country leader cybersecurity di Cisco Italia – deve avere un forte focus sulla user experience. L’essere umano è al centro delle strategie di sicurezza aziendali e deve essere integrato all’interno di processi e tecnologia poco invasivi».

Complessità che si riverbera nella manutenzione del sistema, continuamente stressato dalla dinamicità delle aziende moderne. Qualsiasi strategia di sicurezza deve prevedere inoltre la possibilità per le organizzazioni di conservare un percorso di audit completo delle attività monitorate. Solo così sarà sempre possibile identificare chi ha fatto cosa su un certo sistema, quando e per quanto tempo. «La gestione del ciclo di vita delle identità e dell’accesso alle risorse aziendali critiche è indubbiamente un problema complesso» – concorda Riccardo Fiano, sales manager di Par-Tec. A partire dai tempi di implementazione delle soluzioni e di integrazione con quelle già esistenti. Tuttavia, anche nei casi più complessi – rileva Enzo Mudu di IBM Security – si può gestire la messa a punto di una soluzione PAM partendo dalle priorità. «L’approccio di IBM Security è quello di partire con un’attività di risk-assessment per individuare le criticità più importanti e su queste si riesce in genere in pochissimo tempo a intervenire con le misure che permettono di chiudere le falle più critiche. Poi si può procedere, a seconda delle criticità, con vari livelli di parallelizzazione che possono ridurre fortemente i tempi indicati, migliorando non solo l’approccio agli accessi esistente, ma infondendo una cultura Zero Trust più profonda».

Quando si parla di architetture distribuite è importante che l’infinita capacità elaborativa non abbia come effetto collaterale la perdita di controllo sulla sicurezza dei dati e delle applicazioni. «Mantenere un punto di controllo tecnologico uniforme, integrato in modo organico con ogni area dell’infrastruttura – spiega Fiano di Par-Tec – permette di sfruttare senza rinunce gli strumenti messi a disposizione dal cloud provider». Altrettanto auspicabile è che il vendor di sicurezza, in tandem con il system integrator, contribuisca a superare le sempre possibili resistenze del personale al cambiamento nelle procedure di identificazione e accesso alle risorse. «È fondamentale che l’inserimento di questi strumenti avvenga in modo trasparente, limitando ogni interferenza con le normali procedure di lavoro e mantenendo una user experience adeguata». Agilità di business e operatività di sicurezza devono tendere all’equilibrio non entrare in conflitto – come spiega Fabrizio Zarri, master principal technology architect di Oracle. «In questo ultimo periodo, abbiamo assistito a una forte evoluzione degli standard e dei servizi IAM e PAM, con l’introduzione di nuove tecnologie e modalità di identificazione utente e di accesso ai servizi digitali, per offrire la migliore esperienza d’uso all’utente e garantire al tempo stesso i più elevati standard di sicurezza e affidabilità». Grazie alla disponibilità di modalità di accesso efficaci e semplici da usare – continua Zarri – «i vendor di sicurezza possono contribuire al superamento delle resistenze, supportando al contempo le organizzazioni nell’acquisizione e nella diffusione della consapevolezza digitale».

Un processo evolutivo che consente di impiegare queste soluzioni sia in modalità ibrida che nel public cloud. Per rispondere alla situazione di emergenza creata dalla pandemia, le aziende europee hanno iniziato a ripensare le proprie strategie IT per supportare i dipendenti da remoto e le infrastrutture distribuite. Un cambio di prospettiva – come spiega Pandolfi di IDC Italia – che con l’adozione massiva di infrastrutture cloud rende probabile lo spostamento dell’offerta di queste soluzioni verso modalità as a Service. «Le soluzioni on-premise non possiedono in generale la flessibilità e il dinamismo necessario al nuovo contesto. Per questo, le aziende si stanno orientando verso soluzioni cloud, più agili e adatte al nuovo scenario di business. Le soluzioni di sicurezza as a Service, inoltre, forniscono ai clienti flessibilità e trasparenza nell’implementazione, aggiornamenti rapidi, costanti e automatici e l’estensione delle componenti di servizio in base alle singole esigenze».

In Europa – secondo le stime di IDC – la spesa in soluzioni as a Service di gestione delle identità crescerà a un CAGR del 20% fino al 2024, rappresentando di fatto la componente con i tassi di crescita maggiore nel mercato delle soluzioni di security as a Service. Ormai, le resistenze mentali legate al concetto di cloud sono superate» – afferma Sandro Visaggio di SCAI Solution Group. «L’implementazione di sistemi IAM/PAM in cloud comporta solo vantaggi. Tutta la parte fisica dei sistemi è gestita dall’infrastruttura cloud che rende inoltre più flessibili e scalabili le soluzioni e più agevoli gli aggiornamenti, demandati completamente al system integrator o al vendor».

ACCELERATORI DEL BUSINESS

In Europa, il mercato delle soluzioni IAM/PAM continua a crescere. «Anche per il 2021 – ci anticipa Pandolfi – IDC stima una crescita sostenuta di questi due segmenti, con una certa predominanza dell’ambito PAM, a dimostrazione dell’importanza della gestione avanzata delle identità e degli accessi nelle strategie di trasformazione digitale delle aziende europee di tutti i settori». Solo la difficile congiuntura economica potrebbe rallentare l’adozione di queste soluzioni. «Tra gli ostacoli principali – rileva Pandolfi – pesano nel 2021 il taglio dei budget e la necessità di ottimizzazione dei costi. Anche l’area della sicurezza, in alcuni casi, ha registrato per queste ragioni degli impatti negativi: se è vero, infatti, che una quota rilevante di aziende ha aumentato gli investimenti in tecnologie di security per far fronte alle nuove priorità di digitalizzazione, circa il 30% delle aziende dichiara una spesa in area sicurezza in calo».

La carenza di competenze è un altro aspetto critico: ben il 40% delle aziende italiane – in base ai dati di IDC – indica questo come un fattore che sta limitando la capacità di gestire le soluzioni di sicurezza, l’integrazione e il monitoraggio avanzato degli ambienti IT, degli utenti e delle loro attività. Tuttavia, la diffusione dello smart working inciderà positivamente sulla diffusione ed evoluzione di queste soluzioni. «L’ampia diffusione dello smart working – spiega Pandolfi – ha sicuramente dato una spinta all’adozione del cloud e di tecnologie di sicurezza anche in Italia. La spesa per servizi di public cloud è cresciuta di oltre il 20% nel 2020 e il percorso verso tecnologie as a Service sembra essere inarrestabile. Anche la spesa nella componente di security IAM e PAM registra una crescita molto importante nel nostro Paese: rispettivamente +19% (IAM) e +18% (PAM) a dimostrazione della centralità che queste soluzioni ricoprono per garantire la protezione dei nuovi modi di lavorare e del business digitale e cloud-based». Se le identità mappano il nuovo perimetro dell’azienda, la loro gestione, in tandem con quella degli accessi, non è più una mera questione di sicurezza, ma può trasformarsi in un acceleratore della crescita per aziende e organizzazioni. Una strategia IAM/PAM evoluta apre alla possibilità di creare nuove opportunità di ricavi dall’online, migliorare la soddisfazione di clienti e partner e stimolare l’innovazione e la crescita del business.