La sicurezza definita dalla gestione delle identità e dal controllo degli accessi. Regole, soluzioni e governance per gestire il ciclo di vita end-to-end delle identità di cose e persone, e l’accesso a tutte le risorse aziendali sia on-premise sia in cloud

La gestione delle identità digitali? «Una tematica percepita e compresa soprattutto dall’IT». Non ha dubbi Pier Luigi Rotondo, membro del Comitato Scientifico di CLUSIT, l’associazione Italiana per la sicurezza informatica, nell’identificare l’area che maggiormente spinge per un riordino dei processi di definizione e gestione di cose e dei ruoli di utenti (personale dipendente, collaboratori esterni, partner, clienti) e gruppi, e per l’adozione di tecnologie IAM/PAM. Quelle soluzioni cioè che consentono di identificare un utente, autenticarlo e autorizzarlo all’accesso a dati e risorse a seconda del profilo assegnato, ossia a diritti e limiti collegati alla sua identità digitale. «Parliamo dei cosiddetti sponsor aziendali» – afferma Rotondo. «Dei responsabili della sicurezza informatica aziendale. Di chi controlla il business. Dell’’IT esteso. Quasi mai però del top management che ancora fatica a comprendere la centralità in termini di sicurezza della gestione delle identità digitali».

L’identità oltre a dover essere mantenuta, va modificata e monitorata lungo tutto il ciclo di vita: dall’assegnazione di diritti e limiti all’onboarding dell’utenza, dal provisioning del servizio alla sua cancellazione in presenza di determinate condizioni. «Tutti siamo consapevoli degli attacchi di phishing» – osserva Rotondo. «Ma che la soluzione al problema possa essere una buona gestione dell’identity e access management è un collegamento a volte mancante all’interno della direzione aziendale». Neppure la compliance, in generale più attigua al modo di pensare del management, ha sottratto la tematica dalla ristretta cerchia di specialisti. «Parliamo di un ambito normato da sempre» – conferma Rotondo. «Prima con i provvedimenti del Garante della privacy sulla responsabilità degli amministratori di sistema e più di recente con l’introduzione del GDPR». Interventi che hanno lanciato tutto il filone dei progetti IAM/PAM, rivitalizzati più di recente dagli adempimenti previsti dal Regolamento europeo. Il cui dettato – maggiore sicurezza nella protezione dei dati e nei controlli sugli accessi – ha accresciuto l’importanza di questi sistemi nelle strategie di sicurezza aziendali.

STRATEGIE DI SICUREZZA

«Per adempiere alle richieste del Garante non servono neppure soluzioni tecniche particolari» – continua l’esperto di CLUSIT. «Ma se la loro presenza ci mette al sicuro dal punto di vista normativo, anche in caso di controlli, lo stesso non può dirsi di fronte agli attacchi informatici». Basati come sappiamo spesso sul furto di credenziali. «La corretta gestione e la protezione delle identità sono un tema centrale che le organizzazioni devono affrontare» – spiega Giacomo Parravicini, direttore di Net Studio, società del gruppo Indra che in Italia opera come Minsait. «Infatti, con la crescente adozione del lavoro da remoto e più in generale, con il trend della trasformazione digitale che sta investendo tutti i settori, le aziende devono dotarsi delle migliori best practice e degli strumenti tecnologici più adatti al loro business per far fronte alle minacce di cybersecurity, in particolare sui temi della Digital Identity. Secondo i dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, l’81% dei data breach sono legati a problemi di credenziali trafugate o troppo deboli».  Gli analisti attribuiscono agli “attori interni” oltre il 60% dei data breach. «Senza considerare le esposizioni dovute a imperizia ed errori» – aggiunge Francesco Ascheri, global sales support portfolio and vendor manager di S3K. «Molteplici attori e ruoli si avvicendano nella fruizione e gestione di servizi ed è difficile esercitare un controllo puntuale, soprattutto in momenti di cambiamento o pressione in caso di circostanze avverse. Certamente – prosegue Ascheri – la criticità aumenta in caso di utilizzo malevolo di credenziali appartenenti ad account privilegiati, in grado di accedere ai sistemi con ruoli power user».

ESPANSIONE DEL MERCATO

Le aziende di tutti i settori oggi operano in mercati digitali iperconnessi. Adottando modelli operativi distribuiti nei quali il perimetro di business, non più delimitato dal data center locale o dalla rete aziendale, tende a dilatarsi e a caratterizzarsi per il numero sempre maggiore di utenti che necessita di accedere a risorse on-premise oppure in cloud, utilizzando connessioni e device eterogenei. Uno scenario che di certo non contribuisce ad attenuare le preoccupazioni legate alla protezione di dati, sistemi, identità e accessi. «Le aziende vogliono e devono evitare che eventuali attacchi informatici possano andare a buon fine» – spiega Diego Pandolfi, research & consulting manager di IDC Italia. «Una complessità a fronte della quale aziende ed enti pubblici stanno incrementando i propri investimenti in soluzioni di security». In particolare, IDC rileva la crescita sostenuta nelle componenti di gestione delle identità digitali. Con una spesa che nel 2022 crescerà in questo segmento del 12% rispetto all’anno precedente in Italia. Investimenti che copriranno oltre il 30% della spesa in soluzioni software di sicurezza. «Una conferma – prosegue Pandolfi – della loro decisiva importanza, al fianco di soluzioni come quelle di endpoint e network security, security analytics, intelligence, response & orchestration». A rappresentare una domanda che coagula numerose esigenze espresse in modo più o meno esplicito da parte di aziende e organizzazioni. «L’espansione del mercato riflette le sfide che le aziende continuano ad affrontare nel day-by-day sul tema della gestione delle identità e degli accessi» – continua Pandolfi. «Un contesto in cui molte realtà si trovano a dover abilitare una forza lavoro distribuita, utilizzando un insieme sempre più ampio di applicazioni e account utente basati su cloud e on-premise».

Leggi anche:  Enel, la legal transformation con Wolters Kluwer Italia

INTEROPERABILITÀ E INTEGRAZIONE

Le principali esigenze delle aziende si riferiscono anzitutto alla necessità di utilizzare soluzioni interoperabili con i nuovi ambienti ibridi, dotate di opzioni predefinite di integrazione, in grado di supportare i team di sicurezza a gestire la complessità dell’implementazione e della gestione dei controlli. «Le organizzazioni –spiega Pandolfi – necessitano di soluzioni in grado di automatizzare e orchestrare i processi di gestione delle identità e degli accessi, attraverso advanced analytics e machine learning per abilitare controlli contestuali, tenendo conto del livello di rischio e degli elementi comportamentali, per esempio, sugli eventi di autenticazione o sul provisioning e de-provisioning» . L’applicazione di intelligence e automazione ai workload e all’applicazione delle policy è in grado di semplificare la gestione delle identità e degli accessi per i team di sicurezza e di ridurre in questo modo il rischio di compromissioni relative all’identità stessa. I ritmi elevati di crescita di queste soluzioni variano a seconda di diversi fattori. Uno di questi – come rileva Rotondo, Clusit – è la diversa sensibilità al tema tra piccole e grandi e aziende. «La risposta cambia sulla base della dimensione dell’organizzazione e del numero di addetti. Le grandi tendono ad avere piani e soluzioni più strutturati per la gestione delle identità. Le piccole invece sono meno inclini a separare le funzioni, fermandosi spesso agli accessi base senza costruire una vera e propria gestione dell’identità. Il che le espone a rischi di abuso degli accessi sia dall’interno dell’organizzazione che dall’esterno».

VALUTARE I REQUISITI

Sarebbe interessante conoscere le percentuali di successo di questi progetti rispettivamente tra piccole e grandi aziende. Di certo, buona parte di queste implementazioni sono spesso foriere di emicranie e mal di pancia assortiti. È sempre scontato ribadirlo, ma prima di trovarsi nella spiacevole situazione di cercare una spalla su cui piangere, è meglio pianificare per tempo una serie di azioni che preparino il terreno a una messa a terra efficiente e mirata. Molti progetti finiscono per sforare abbondantemente tempi e budget pianificati. Le ragioni possono essere le più varie. In genere però, si tende a gettare la croce addosso al vendor/system integrator di turno. In realtà, è più probabile che nella fase di preparazione, obiettivi e pianificazione scontassero più di un errore. «Ottenere la consapevolezza del proprio “stato dell’arte” e la scelta del “to be” sono fasi fondamentali» – sottolinea Fabio Torlini, chief information officer di SSG Scai Solution Group. «Soprattutto se si prevede di intraprendere un percorso di migrazione in cloud o un cambio infrastrutturale importante. Spesso però i processi approvativi interni relativi allo stanziamento del budget, in aziende molto strutturate, hanno comunque durate non indifferenti che possono allungare e frammentare i tempi di progetto».

RIPENSARE I PROCESSI

Il successo – come suggerisce la quasi totalità degli esperti con cui abbiamo parlato – dipende dalla capacità di pensare i processi in maniera efficace. Attività questa che per essere definita nei dettagli richiede tempo. Soprattutto se si è commesso l’errore di non discuterli e concordarli prima di entrare nella fase realizzativa. Inutile sottolineare che è ancora nella prima fase che dovranno essere discussi e definiti i concetti di ruolo e provvedere alla loro separazione tra tecnici e specialistici. Allo stesso modo, occorrerà definire senza ambiguità i flussi relativi alle richieste dei diritti di accesso, modifica e cancellazione. E naturalmente, stabilire le modalità di verifica periodica della situazione.

INTERESSI IN CONFLITTO

A complicare le cose però ci sono gli interessi divergenti delle aree aziendali coinvolte. L’IT in genere ha una visione e una visibilità del progetto molto diversa rispetto alle risorse umane o alla produzione. Quasi sempre poi, l’applicazione della normativa esistente introduce un ulteriore strato di complessità nel percorso di definizione dei flussi lavorativi. Rotondo di CLUSIT sottolinea l’opportunità di garantirsi sin dalle fasi iniziali il supporto degli “stakeholder” più importanti interni all’organizzazione. «Il top management, per esempio. O le risorse umane. Una strategia che aiuterà a risolvere velocemente eventuali problemi nell’accettazione della soluzione a mano a mano che viene implementata». Secondo Parravicini di Net Studio, ci sono tre fattori principali da considerare: «Il primo è lo scenario di partenza, ovvero se siamo di fronte ad uno scenario “Green Field” oppure davanti a una trasformazione di un’architettura esistente che richiede ovviamente un tempo maggiore. Il secondo è relativo ai perimetri di progetto che vengono identificati sia in ambito Identity Governance (IGA) che in ambito Gestione Utenze Privilegiate (PAM). Il terzo è il tipo di adozione tecnologica. Un’adozione di tecnologie “cloud” ottimizza sicuramente i tempi di implementazione a discapito, a volte, di flessibilità implementative dato che questo tipo di soluzioni spesso non hanno le stesse possibilità di customizzazione dei prodotti on-premise». Nella gestione unificata delle identità la tecnologia scelta gioca un ruolo fondamentale concorda Ascheri di S3K. «La pila PAM dovrebbe essere dispiegata con maggior priorità, con un approccio bottom-up che porta vantaggi significativi in tempi brevi. Una soluzione unificata IAM/PAM certamente è utile per ridurre frizioni e integrazioni perigliose».

CYBERSECURITY AWARENESS

Purtroppo la tecnologia, per quanto importante e necessaria nella costruzione del sistema di protezione, non è sufficiente e non ci mette al riparo dagli attacchi – avverte Maurizio Zacchi, marketing & digital learning director di Cyber Guru. «Se è vero, come è vero, che al crimine informatico basta uno spiraglio per infilarsi in una rete e danneggiare un’intera azienda o organizzazione, va da sé che nessuno spiraglio deve essere lasciato aperto o incustodito. Per questo motivo, il sistema di protezione deve essere studiato nei minimi dettagli, a partire dalla gestione dell’identità digitale che va curata a 360 gradi. Gli hacker la conoscono bene e sanno come aggirarla facendo leva principalmente sull’errore umano». È sempre quest’ultimo, infatti, alla base del danno, che può propagarsi velocemente su tutta la filiera – continua Zacchi. «Soprattutto se chi compie l’errore è un fornitore di servizi IT su infrastrutture cloud e on-premises di diversi clienti finali. La base strutturale di una buona difesa è dunque un irrobustimento della postura digitale di ogni dipendente ma anche di ogni fornitore e di ogni individuo che si relazioni digitalmente con l’azienda, attraverso percorsi formativi di cyber security continuativi e sempre aggiornati».

LA COSTRUZIONE DEL TEAM

Una volta comunicato il progetto in azienda è importante che dipendenti e collaboratori inizino a familiarizzare con gli obiettivi principali. In questa fase, l’IT ha il compito di individuare le modalità più adeguate a rappresentare sia il proprio punto di vista che quello del team di progetto. Un passaggio importante considerato l’impatto che i sistemi IAM/PAM avranno su tutti i reparti dell’azienda. Perciò è essenziale impostare un flusso di lavoro in grado di bilanciare le esigenze del mondo IT con quelle del resto dell’azienda. Definendo in anticipo e senza ambiguità quali sistemi dovranno essere collegati alle tecnologie di gestione di identità e accessi. «L’esperienza insegna che è preferibile un’implementazione graduale della soluzione, proteggendo dapprima solo alcuni servizi o applicazioni, oppure coinvolgendo solo alcuni gruppi di utenti. Per poi estendere gradualmente la soluzione all’intera organizzazione» – rileva Rotondo di CLUSIT. L’implementazione deve dunque tenere conto di numerosi fattori. Ma se c’è qualcosa che contraddistingue i progetti IAM/PAM: la semplicità non è una di queste. Al contrario, la variabile tempo è sempre una delle osservate speciali. «Affinché un progetto resti all’interno degli obiettivi di budget e di tempo, è fondamentale una precisa mappatura di persone, accounts, ruoli, relazioni e accessi da proteggere» – sottolinea Rotondo. «Se queste informazioni non sono disponibili, è opportuno prima di iniziare con l’implementazione della soluzione recuperarle intervistando i ruoli aziendali coinvolti».

Leggi anche:  Mobile Threats Report 2021: minacce sempre più complesse per rubare credenziali bancarie e per il gaming

LA VALUTAZIONE DEL RISCHIO

Quale che sia la complessità della situazione di partenza. la messa a terra del progetto si può sempre gestire partendo dalle priorità. In questo senso, partire con un’attività di risk-assessment oltre a verificare il grado di maturità del cliente consente di individuare le criticità più importanti e di intervenire per chiudere le vulnerabilità maggiori. «Partire dai sistemi più critici in termini di esposizione del rischio permette di velocizzare i tempi di installazione» – concorda Sunil Venanzini, Europe solution architect – SASE and Zero Trust di Trend Micro. Soprattutto, se uno strumento come quello del risk assessment – «è nativamente supportato da prodotti in grado di individuare e prioritizzare i rischi in base a diversi fattori, caratteristiche delle identità, scenario di conformità, policy aziendali» – sottolinea Francesco Ascheri di S3K.

LA SFIDA DELL’INTEGRAZIONE

In base agli ultimi dati di una ricerca sulla sicurezza condotta a livello europeo da IDC nel corso di quest’anno, il 28% delle organizzazioni utilizza ancora una piattaforma di identità on-premise, mentre il 4% utilizza una soluzione custom sviluppata internamente e circa una su cinque utilizza più soluzioni di identità separate tra loro e fornite da diversi fornitori. «Dati che evidenziano le principali sfide da affrontare per le aziende. Un accumulo di differenti prodotti, spesso sviluppati da diversi team e divisioni, per i quali è difficile guidare programmi unificati di sostituzione ed evoluzione tecnologica per portare tutta l’azienda su una piattaforma di identità unificata» – spiega Pandolfi di IDC Italia. Una prospettiva all’origine di molti problemi: l’onere operativo della gestione degli utenti, delle identità e dell’accesso; la mancanza di standard e interoperabilità tra i prodotti; la necessità di integrare, gestire e mantenere così tanti prodotti; i rischi di lacune e gap tecnologici che non assicurano la massima sicurezza e protezione delle identità e degli accessi. Ragioni che contribuiscono a innalzare il livello di complessità dei progetti sia in termini di integrazione con i sistemi di sicurezza presenti che di risorse e competenze necessari. A questo proposito Rotondo di CLUSIT suggerisce di valutare l’opportunità di iniziare dall’integrazione di una soluzione PAM – «solitamente più veloce da implementare e in grado peraltro di proteggere con minor sforzo gli account amministrativi e privilegiati che pongono le maggiori minacce all’organizzazione. Iniziare da una soluzione PAM, per estenderla poi a una soluzione IAM può essere una buona sequenza di implementazione».

IN CLOUD OPPURE ON PREMISE?

Un altro classico bivio è la scelta tra una installazione on-premise oppure in cloud. «L’adozione di una tecnologia on-premise rimane, ad oggi, una strada ancora valida, da valutare attentamente rispetto allo scenario che si affronta» – afferma Parravicini di Net Studio. «Molte aziende hanno implementato negli ultimi 15 anni, soprattutto nel mercato finance, soluzioni IAM con un altissimo grado di customizzazione, spesso corredate da strumenti esterni a supporto. In questi scenari, l’adozione di soluzioni cloud è da valutare attentamente per limitare al massimo i compromessi tra “requisiti” e “capabilities” di prodotto. È chiaro che nel prossimo futuro ci aspettiamo un’evoluzione significativa delle capabilites dei prodotti cloud e una conseguente riduzione del gap tra requisito di business e capability di prodotto».

Secondo Venanzini di Trend Micro, implementare una soluzione di IAM on-premise è consigliabile nel caso che i sistemi da proteggere, e le relative utenze, siano presenti in aree critiche e segregate o in ambito di aree certificate con le direttive di sicurezza nazionali. «Inoltre – laddove si è dinanzi a un centro servizi IT completamente on-premise, siano essi erogati tramite sistemi di virtualizzazione o sistemi agili composti da containers e serverless service – per poter mantenere la stessa efficienza produttiva, potrebbe essere consigliabile avere soluzioni di IAM on-premise». Per Rotondo di CLUSIT, la scelta migliore è quella lasciare all’organizzazione decidere dove vuole tenere i propri dati e dove vuole eseguire i propri workload. «Il cloud ibrido, oggi una realtà, può connettere dati e applicazioni in sistemi diversi. La tecnologia permette di salvaguardare le scelte strategiche e gli investimenti di ciascuna organizzazione. Per esempio, un’azienda può decidere di lasciare i propri dati in database ospitati on-premise nei propri data center, ma eseguire la computazione su cloud pubblici». Mentre per Torlini di SSG, non esiste una regola aurea per definire se è meglio indirizzare una soluzione IAM on-premises oppure in cloud. «In generale, i sistemi IAM devono esistere a stretto ridosso di quelli che gestiscono le identità e, vista la sensibilità del dato, devono essere il più possibile isolati dal resto del mondo. Una risposta può essere data quindi in maniera coerente solo a valle della conoscenza dell’architettura generale che implementa il servizio».

Leggi anche:  Sicurezza delle informazioni, la nuova ISO/IEC 27002 è tra noi

PROGETTI E SOLUZIONI PAM/IAM

Nei prossimi mesi, il tema della gestione delle identità e degli accessi continuerà ad attrarre interesse e soprattutto investimenti da parte di organizzazioni e aziende. IDC prevede un progressivo passaggio verso piattaforme integrate di gestione delle identità digitali e degli accessi prevalentemente basate sul cloud. «Tuttavia, persisterà la necessità di gestire l’accesso a workload on-premise» – afferma Pandolfi di IDC Italia. «I vendor in grado di fornire una soluzione evoluta per la gestione dell’identità in ambienti ibridi avranno quindi un chiaro vantaggio a lungo termine. Inoltre, mentre il mercato si sta progressivamente spostando verso le piattaforme di identità, cresce la consapevolezza che non tutti i fornitori potranno fornire tutte le capacità di gestione delle identità secondo uno standard best-in-class». Questo significa che ci saranno sempre opportunità per fornitori specializzati in aree come la gestione degli accessi privilegiati (PAM) o in quella dell’identity governance e administration (IGA). «I fornitori di piattaforme di identità manterranno alleanze strategiche e assicureranno strette integrazioni con tali partner per garantire ai clienti la possibilità di soddisfare tutte le loro esigenze di identità e accesso».

AREE DI MIGLIORAMENTO

I prossimi mesi non stravolgeranno il volto di queste soluzioni. Interesse e investimenti verso queste tecnologie devono però essere alimentati. Migliorando le funzionalità esistenti e in alcuni casi aggiungendone di nuove. «I sistemi IAM di prossima generazione dovrebbero integrare maggiormente soluzioni di Intelligence in grado di verificare l’uso dell’identità digitale non soltanto sui servizi interni aziendali, ma anche esternamente al perimetro aziendale» afferma Venanzini, Trend Micro. «Inoltre è necessaria una maggiore integrazione tra i sistemi IAM e quelli di risk assessment, XDR e SIEM. In maniera tale da avere piena visibilità dell’uso ed esposizione dei servizi aziendali, on-prem e in cloud». Parravicini di Net Studio sottolinea invece la maggiore rilevanza che queste soluzioni dovranno riservare alla sicurezza dell’infrastruttura d’identità. «Nelle soluzioni di prossima generazione si dovrà dare maggiore rilevanza alla sicurezza dell’infrastruttura d’identità stessa, affinché possa proteggere i controlli d’identità di accesso, rilevando le minacce ed avviando rapida azione correttiva». Azione che potrebbe essere messa in atto attraverso l’utilizzo di strumenti di Identity Threat Detection and Response (ITDR), ovvero l’insieme di strumenti e best practice per l’identificazione e il rimedio di minacce dovute dall’utilizzo improprio di applicazioni di business da parte degli utenti interni all’organizzazione. Per Torlini di SSG, invece sarà importante – «implementare gli algoritmi di machine learning e di conseguenza un sistema di AI per la gestione e la messa in sicurezza degli accessi (privilegiati o meno) ottenendo quindi il doppio beneficio di “predire” eventuali attacchi sulla base delle analisi comportamentali degli utenti e ridurre i costi di “gestione” del servizio». Ascheri di S3K sottolinea invece l’importanza di aumentare la diffusione dell’autenticazione a più fattori. «Un punto sul quale ci troviamo in posizione arretrata rispetto ad altri Paesi europei».

COSTI E SVILUPPI FUTURI

Sul fonte dei costi, se quelli relativi alla progettazione non saranno soggetti a particolari variazioni rispetto al passato – prevede Parravicini di Net Studio – «quelli di mantenimento in esercizio possono essere ridotti, se non annullati, quando si parla di aggiornamenti tecnologici, in uno scenario di adozione cloud. Anche grazie a una buona progettazione dei processi di gestione della soluzione». Le soluzioni di gestione delle identità digitali, negli ultimi 24/36 mesi si sono evolute sia a livello di standard che di servizi. Tuttavia – secondo CIO e CISO – sono ancora molti i margini di miglioramento. «Per loro, le funzionalità maggiormente rilevanti saranno quelle di autenticazione avanzata, in grado di includere fattori biometrici e di autenticazione continua multifattoriale» – afferma Pandolfi di IDC. Sebbene la biometria continuerà a orientare i metodi di autenticazione, il fattore di autenticazione più importante continuerà a essere il “contesto” in cui gli utenti operano e da cui effettuano gli accessi che continueranno a incidere nella stesura delle policy. Le altre funzionalità – che secondo IDC acquisiranno sempre maggiore considerazione da parte dell’IT – sono quelle di single sign-on e passwordless. «E questo per garantire una migliore esperienza degli utenti ma anche per abilitare approcci architetturali Zero Trust» – spiega Pandolfi. «Senza tralasciare le funzionalità di privileged access management, con opzioni just-in-time e idonee alle architetture a microservizi o software-defined che caratterizzano oggi gli ambienti applicativi enterprise».