La gestione dell’accesso all’identità (identity access management) è una tipologia di controllo in ambito cybersecurity per proteggere i propri dati e i propri sistemi informatici. È un processo che garantisce l’accesso alle risorse solo alle persone autorizzate ed è fondamentale in un contesto in cui i dati sono di grande valore e le minacce alla sicurezza informatica sempre più frequenti.
Indice degli argomenti
Cos’è l‘identity access management
Con identity access management si fa riferimento a un insieme di processi, tecnologie e policy aziendali che consentono alle organizzazioni la gestione e sicurezza delle identità digitali e degli accesi da parte del personale autorizzato ai propri sistemi informatici, nonché ai dati, alle applicazioni e alle risorse in essi contenute. Ciò permette di garantire la protezione delle risorse e facilitare la conformità alle normative vigenti in termini di protezione dei dati personali e, più in generale, cybersicurezza.
Attraverso questa soluzione è pertanto possibile per un’organizzazione creare, gestire o monitorare le identità degli utenti, oltre che definire i relativi permessi di accesso ai sistemi in relazione ai distinti ruoli e alle responsabilità di ciascuno.
In breve, tale sistema permette l’identificazione degli utenti, la loro conseguente autenticazione (attraverso una sostanziale verifica che l’identità del soggetto sia reale) e, successivamente, l’autorizzazione, alla quale può far seguito anche un’attribuzione delle attività che possono svolgere e dei dati ai quali possono aver accesso.
Accesso mediante identity access management
Tale processo di identificazione, autenticazione, autorizzazione e successiva gestione degli account utente prende avvio da una possibile diversa tipologia di accesso: PAM (Privileged Access Management) in cui l’accesso privilegiato è riservato ad amministratori che modificano regolarmente applicazioni e database o RBAC (Role-Based Access Management), il quale effettua una distinzione in base al ruolo o alle attività svolte dall’utente all’interno dell’organizzazione. Il sistema di gestione degli accessi avviene – tra gli altri – sulla base di strumenti di autenticazione moderni come, ad esempio, Single Sign-On (SSO) o autenticazione a più fattori (MFA).
Il primo permette all’utente di effettuare una singola autenticazione che gli consente l’accesso a molteplici risorse informatiche (applicazioni o software). Il secondo consiste invece nella richiesta non soltanto di credenziali costituite da nome utente e password ai fini dell’accesso, bensì di presentare fattori di autenticazioni ulteriori (ad esempio, un codice monouso come l’OTP – One Time Password).
Come accennato sopra, tuttavia, il processo non si limita alla fase relativa all’autenticazione, ma anche a quelle di autorizzazione, per l’attribuzione di permessi di accesso differenziato alle risorse, nonché di gestione e monitoraggio, per analizzare le attività degli utenti per finalità connesse alla sicurezza e conformità interna.
L’importanza dell’identity access management in azienda
I vantaggi che possono essere sfruttati da un’organizzazione attraverso il ricorso all’identity access management sono molteplici.
In primo luogo, alla luce delle diffuse modalità di lavoro da remoto e smart working, oltre che del grande quantitativo di dati su supporto informatico che le aziende conservano, occorre considerare come queste ultime si trovano nella condizione di gestire molti dati ripartiti in ambienti cloud. La superficie di attacco per i cybercriminali si è dunque ampliata e, con essa, i casi di violazioni di sicurezza con al centro la compromissione delle credenziali. In questa prospettiva l’identity access management costituisce valido alleato per una sensibile diminuzione del rischio, oltre a portare con sé il un ulteriore vantaggio, ossia quello connesso all’aumento di un’efficienza operativa: una gestione degli accessi che sia non solo centralizzata ma anche automatizzata, consente di ridurre tempi e costi relativi alle attività di creazione, modifica, gestione e rimozione degli account.
Inoltre – ma non di secondaria importanza – l’identity access management permette non solo di facilitare sul piano strettamente operativo la fase di accesso ai sistemi da parte degli utenti (anche a vantaggio di questi ultimi dato che, ad esempio, sarà loro richiesto di ricordare una sola credenziale), ma di porre l’organizzazione nella condizione di conformarsi a quanto richiesto da specifiche normative o ai fini di meccanismi di certificazione.
Le principali fasi per l’implementazione dell’identity access management
Senza scendere, in questa sede, nel dettaglio dell’analisi tecnica circa gli elementi e le diverse opzioni possibili ai fini dell’implementazione dell’IAM (che saranno piuttosto da calare nel contesto di riferimento), è possibile comunque sintetizzare una roadmap in merito alla pianificazione della sua adozione che, in ogni caso, non può prescindere da un’attenta riflessione su quelle che sono le esigenze specifiche dell’organizzazione:
- Assessment preliminare: occorre identificare il contesto e le relative esigenze, in termini operativi e di sicurezza, nonché dei costi di attuazione.
- Selezione delle tecnologie: come sopra accennato, un sistema di IAM è basato su diversi tipi di tecnologie di autenticazione. Occorre pertanto, anche attraverso il parere delle funzioni IT interne, individuare quelle che si ritengono più adatte e vantaggiose rispetto al contesto nel quale andranno a operare.
- Definizione delle politiche interne: il presupposto per un accesso diversificato è costituito da una preliminare distinzione in base ai ruoli e alle attività svolte dagli utenti che, dunque, dovrà essere preventivamente stabilita.
- Formazione del personale: una corretta formazione del personale circa l’utilizzo del sistema IAM di prossima introduzione appare senz’altro importante sia a tutela dell’utente, sia per consentire il corretto utilizzo o l’eventuale celere segnalazione di anomalie del sistema.
- Monitoraggio continuo: altrettanto fondamentale è l’effettuazione di capillari e sistematici controlli a cadenza regolare, al fine di garantire il corretto funzionamento del sistema. Al contrario, i richiamati vantaggi in termini di sicurezza verrebbero meno se il sistema presentasse guasti o anomalie.
Identity access management come misura di sicurezza adeguata in ambito GDPR
Come più sopra sottolineato, le aziende si trovano a gestire grandi quantitativi di dati, digitalizzati e conservati su supporto informatico e sistemi cloud. Una considerevole parte di tale patrimonio informativo è verosimilmente (in ragione dell’ampia definizione prevista dal legislatore europeo) costituita da “dati personali”, indicati ex art. 4 del Regolamento (UE) 2016/679 (GDPR) come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (cfr. art. 4, par. 1, punto 1 GDPR).
Proprio l’applicazione della normativa europea privacy, che si pone il fine di proteggere i dati personali, nonché i diritti e le libertà dei soggetti a cui i dati si riferiscono (c.d. “interessati”), richiede all’azienda (“titolare del trattamento”) il rispetto di specifici principi, nonché l’adozione di adeguate misure di sicurezza.
Il principio di “integrità e riservatezza” richiede al titolare che i dati vengano trattati in maniera da garantire “un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure di sicurezza adeguate […]” (art. 5, par. 1, lett. f) GDPR). Parimenti, è sul concetto di adeguatezza che si snodano gli articoli 24 e 32 della normativa europea, laddove richiedono al titolare l’adozione di misure di sicurezza adeguate al fine di garantire e dimostrare un livello di sicurezza altrettanto adeguato al rischio, nonché l’effettuazione di trattamenti in conformità con il regolamento.
L’intrinseca “flessibilità” del criterio di adeguatezza, che prevede in capo al titolare una necessaria responsabilizzazione in ordine alle scelte che sarà chiamato a effettuare sul piano sostanziale per determinare le misure da implementare, consente ragionevolmente di considerare l’identity access management quale papabile misura adeguata di sicurezza per la protezione dei dati personali (almeno in via astratta, ferma restando poi la necessità di contestualizzare in concreto il sistema in base alle sue caratteristiche).
Lo scenario futuro dell’identity access management
Le caratteristiche e i vantaggi connessi all’utilizzo di sistemi di IAM all’interno di un’organizzazione lo pongono quale elemento essenziale nell’ambito del relativo piano di sicurezza informatica da adottare.
La sua corretta integrazione nell’infrastruttura informatica e di rete non solo migliora l’efficienza interna, ma assicura un più elevato standard di sicurezza, indispensabile per rispondere a obblighi normativi e affrontare le imprescindibili sfide legate alla cybersicurezza e alla pianificazione di una corretta strategia digitale, in grado di contribuire a una tutela sostanziale del patrimonio informativo conservato e gestito dall’organizzazione.
