Identità digitali: una questione di sicurezza
Mitigazione del rischio e maggiore efficienza organizzativa sono tra gli obiettivi che SailPoint propone di raggiungere a chi si occupa di cybersecurity, IT Operations e auditing e compliance nelle organizzazioni di ogni dimensione e settore.
Oggi chi opera all’interno di un’organizzazione accede a più risorse informatiche utilizzando sistemi di autenticazione di vario tipo ciascuno dei quali basato su tecnologie variegate. Questo scenario è amplificato dalla trasformazione digitale e richiede un sistema di identity security in grado di verificare che i processi che coinvolgono le identità siano conformi alle regole e privi di rischi. È questo il concetto che sta alla base dell’offerta di SailPoint, società globale fondata a Austin in Texas nel 2007 per proporre sul mercato l’idea di identity security.
“All’epoca ci si focalizzava sulla creazione automatica di account e permessi e non esistevano verifiche su quanto successivamente accadeva. L’idea è stata invece di mettere al centro la visibilità su chi fa che cosa in azienda, gestendo i relativi processi in termini organizzativi anziché puramente tecnologici, facendo sì che ogni individuo possa accedere in modo più semplice, immediato, sicuro e conforme alle policy, alle risorse informatiche necessarie allo svolgimento della sua attività quotidiana,” spiega Andrea Solaroli, Sale Lead di SailPoint in Italia, illustrando uno scenario in cui oggi le minacce sono sempre più mirate e specifiche e riguardano in primo luogo le persone e i rispettivi ruoli operativi in un contesto che, anche a causa della pandemia di COVID-19, ha accelerato ulteriormente e improvvisamente la digitalizzazione delle imprese. E di fatto è sull’individuo che si concentrano i maggiori rischi per cui oggi si parla di zero trust security laddove ogni attività e interazione con gli asset informatici deve essere verificata in termini di autorizzazioni e permessi, proprio mentre la superficie esposta si è notevolmente ampliata e la cybersecurity – e di conseguenza l’identity security – rappresenta un elemento fondamentale per il business di ogni comparto.
“L’identità digitale è un anello di congiunzione tra processi IT e di business e la sua sicurezza rappresenta il primo passo per garantire la digitalizzazione e trasformazione dei processi. Il suo governo ne è un abilitatore fondamentale e consente di creare valore in un contesto in cui sono coinvolte più tecnologie che possono variare in base al settore e nel tempo e con le quali le nostre piattaforme si integrano e interagiscono, presiedendo ogni elemento tecnico e contribuendo a quello organizzativo”, prosegue Solaroli.
Uno scenario multi tecnologico
L’autenticazione degli utenti che accedono alle risorse digitali coinvolge più tecnologie che vanno dalle tradizionali password ai sistemi multi fattore fino alla biometria, considerando anche temi quali gli accessi privilegiati o la correlazione degli eventi dei sistemi SIEM (Security Information and Event Management), tutti elementi che vanno a comporre i sistemi di sicurezza aziendali. “Questi possono svolgere un ruolo più o meno importante, ma devono essere coordinati e coniugati con il governo delle identità digitali, prerequisito di tutte le scelte tecnologiche a valle. In tal senso la nostra piattaforma è pronta a interagire ‘out of the box’ grazie a una raccolta di connettori già pronti e tramite protocolli di comunicazione standard. È un sistema modulare e scalabile, adattabile ai sistemi informativi con cui si trova a dover interagire. La componente principale è quella analitica che raccoglie le informazioni, correlandole e consolidandole, per poi usare le logiche di conformità e segregazione sia in ottica di visibilità sia di enforcement, arrivando ad applicare le politiche di sicurezza in modo esteso e immediato”, prosegue Solaroli. “Una seconda componente è quella di automazione di attività tradizionali come creazione account, richieste di permessi e gestione del relativo workflow. Una terza componente estende poi la logica di compliance e governo anche ai dati non strutturati, un asset importante da monitorare in congiunzione con le identità digitali, analizzandoli per verificare ad esempio la presenza di dati sensibili a fini del regolamento GDPR, di eventuali informazioni esposte a rischio e così via”.
Quando si parla di identità digitali si fa anche riferimento alle infrastrutture di cloud computing e ai servizi che queste erogano alle imprese, nelle loro varie accezioni. ”È un tema che seguiamo con un ventaglio di soluzioni per una gestione puntuale del mondo as-a-service che in quanto IaaS (infrastructure as-a-service) ha una serie di regole in termini di accessi, governo e sicurezza da indirizzare in modo specifico e rendere coerente con le policy delle aziende stesse. A questo affianchiamo una componente specifica per l’utilizzo e l’accesso alle licenze delle applicazioni SaaS (software as-a-service) per affrontare il fenomeno sempre più diffuso dello Shadow IT, per cui gli utenti tendono a servirsi di applicazioni di questo tipo al di fuori del controllo centralizzato sfuggendo quindi al necessario governo. Nel dettaglio, si verificano quali e quante licenze sono utilizzate, se ce ne sono da dismettere, se sono conformi alle regole aziendali, i costi associati, e così via, focalizzandosi anche su sistemi complessi come quelli ERP (enterprise resource planning) che prevedono diverse regole e logiche da seguire a volte separate dal resto dell’infrastruttura e che invece vanno coniugate con le altre per produrre una visione di insieme”.
Utilizzare l’intelligenza artificiale e il machine learning
Tra le tecnologie di cui oggi si parla maggiormente quando si affronta il supporto all’evoluzione digitale delle imprese ci sono anche l’intelligenza artificiale e il machine learning che, nel caso di SailPoint, entrano in azione per automatizzare la mitigazione dei rischi. “Operiamo tramite algoritmi brevettati e, in particolare, sono disponibili dashboard analitiche puntuali per la creazione di report approfonditi sui KPI più importanti e un motore di analisi che suggerisce la corretta configurazione dei ruoli in termini di permessi, attributi e profili corretti a seconda del reparto e ufficio di appartenenza e responsabilità della persona operativa in azienda. Si tratta di attività molto onerose che mutano parallelamente alle variazioni che via via l’organizzazione vive, quando si introducono nuovi asset tecnologici, processi aziendali, ecc. Ecco che il nostro motore di intelligenza artificiale suggerisce la corretta aggregazione degli individui in funzione di questi ruoli oppure identifica eventuali profili anomali che potrebbero essere oggetto di una particolare analisi in quanto possibili fonti di rischio in assenza dei corretti attributi. In funzione di questi parametri di rischio, i suggerimenti vengono poi utilizzati da chi si occupa delle decisioni finali in tempo reale”, sottolinea Solaroli.
Ecco che il tema dell’identity security emerge come trasversale all’interno delle organizzazioni, agendo su vari livelli a partire di nuovo dal concetto di allineamento tra IT e business. “Si tratta di qualcosa che ha ricadute positive su chi si occupa di cybersecurity che può servirsi di uno strumento in grado di declinare logiche di mitigazione del rischio allineandole alle strategie di difesa in atto e rendendo quest’ultima omogenea a tutto l’ecosistema IT. Secondo, chi si occupa di IT Operations guadagna efficienza potendo automatizzare e semplificare i processi diminuendo anche l’errore umano sulle attività di basso livello. E ancora chi è incaricato di svolgere attività di auditing e compliance ha in mano uno strumento da usare immediatamente per verificare che le politiche di risk management vengano applicate, eventualmente forzandole e intervenendo in caso di violazione. Senza dimenticare il reparto risorse umane che può appoggiarsi alla nostra piattaforma quando introduce una nuova persona in organico”, afferma Solaroli aggiungendo che in ogni caso non è necessario essere dotati di competenze tecniche per utilizzare tali strumenti:chiunque può richiedere accesso a una determinata risorsa innescando i relativi processi di compliance.
Tutto questo con la fase di implementazione che può essere più o meno breve a seconda del tipo di realtà e dei rispettivi modelli di business, e producendo comunque nell’immediato una diminuzione del livello di rischio, grazie alla visibilità su chi fa che cosa in azienda e alle relative autorizzazioni e conformità impostate nel modo più corretto.
“Va in ogni caso specificato che l’identity security non è un progetto bensì un programma che l’organizzazione deve seguire nel corso della sua evoluzione, un’attività continuativa e costante che richiede semplicità ma anche flessibilità e capacità di integrazione e dialogo con i vari sistemi. Il tutto in modo non intrusivo e tramite connettori pronti all’uso, API e web service con protocolli di comunicazione standard. In definitiva si tratta di un tema decisamente trasversale per cui abbiamo clienti in ogni settore dal finance al manifatturiero, passando per media, logistica e trasporti fino a telecomunicazioni, oil e gas. Tenendo sempre conto della pressione in termini di regolamenti e della varietà dei sistemi target”, conclude Solaroli.
