Sean Deuby, Principel Technologist di Semperis, racconta in dettaglio come le imprese dovranno prepararsi al futuro della gestione delle identità.
Gli investimenti nella sicurezza e nella protezione delle identità hanno raggiunto un massimo storico, si prevede che nel 2023 il valore del mercato globale della gestione delle identità e degli accessi (IAM) raggiungerà i 20,75 miliardi di dollari. Inoltre, Gartner ha recentemente stimato che circa il 75% di tutti i fallimenti della sicurezza sono attribuibili a una cattiva gestione di identità, accesso e privilegi.
Nonostante l’aumento degli investimenti nel rilevamento delle minacce all’identità e nella risposta (ITDR), le organizzazioni hanno ancora difficoltà nell’implementazione di questi sistemi poiché i. reparti all’interno di esse sono spesso scollegati, vanificando qualsiasi possibilità di promuovere una cultura dell’identità sostenibile. Secondo Denis Ontiveros Merlo, vicepresidente delle piattaforme aziendali di bp, questa disconnessione non è qualcosa che le aziende possono risolvere internamente.
“Abbiamo costruito un intero ecosistema che, senza rendersene conto, ha creato degli anti-pattern che vanificano l’obiettivo finale di rendere l’identità senza attriti, sicura e protetta”, spiega Ontiveros Merlo. “Le persone adottano questi modelli perché pensano che sia la cosa giusta, e finiamo in un circolo vizioso. È necessario fare molta formazione per liberarci da questa situazione”.
Formarsi sulle più recenti funzionalità di gestione delle identità è il primo passo verso il futuro. Ma non è l’unica sfida che le organizzazioni incontreranno lungo il percorso.
Imbattersi in una nuova prospettiva di gestione delle identità
Il settore enterprise si sta ancora riprendendo dal cambiamento di paradigma avvenuto durante la pandemia. Ora tutto è digitale, distribuito e federato, indipendentemente dalla nostra volontà. Questo cambiamento rappresenta una sfida notevole per le organizzazioni abituate a gestire infrastrutture e team centralizzati.
“Quando si tratta di applicare un certo senso di governance, non esiste più un unico interlocutore a cui rendere conto “, afferma Ontiveros Merlo. “Mentre prima tutto era monolitico, ora abbiamo una moltitudine di piccoli componenti che lavorano insieme”. Insieme alla trasformazione digitale e al lavoro a distanza, l’architettura a microservizi sta diventando la norma.
“Tutti questi componenti devono autenticarsi e fidarsi l’uno dell’altro”, continua. “Ogni utente, macchina, applicazione, dispositivo e sensore. È una sfida notevole, ma credo che sia anche un’opportunità. Lo vediamo con Entra B2B (precedentemente Azure), che si potrebbe considerare l’inizio dell’identità decentralizzata”.
La gestione dell’identità non può essere uguale per tutti
Benché ci piaccia l’idea che esista una soluzione unica per l’ITDR, le organizzazioni hanno capacità, vincoli e requisiti diversi a seconda dei casi, per cui le tecnologie e le strategie che funzionano per un’azienda possono fallire completamente per un’altra.
“Ho sempre trovato interessante il fatto che, quando si tratta di sfide legate all’identità come l’accesso privilegiato, cerchiamo di costruire soluzioni ed ecosistemi che tendono alla deriva della configurazione”, riflette Ontiveros Merlo. “Il modello ideale sarebbe invece quello di spingere il codice in modo dichiarativo attraverso la continuous integration/continuous delivery (CI/CD). Tuttavia, prima di arrivare a questo punto, dobbiamo essere più consapevoli e attenti ai pregiudizi che possiamo avere quando adottiamo una nuova tecnologia e agli anti-pattern in cui possiamo cadere. E dobbiamo anche essere più consapevoli di come incorporiamo la tecnologia nell’organizzazione “.
La gestione dell’identità non è un compito solo degli amministratori
La gestione dell’identità è stata tradizionalmente considerata una questione amministrativa ma la verità è che l’identità risulta importante per diversi soggetti coinvolti.
“Dobbiamo chiederci chi sia il cliente in questa situazione”, afferma Ontiveros Merlo. “Poiché l’identità tende a essere un servizio condiviso, viene spesso utilizzata come punto di riferimento per la governance. Ma la realtà è che la governance e la responsabilità sono responsabilità di tutti”.
Non possiamo aspettarci che i team che si occupano di identità affrontino questioni come la privacy o la segregazione dei compiti. Quando sviluppiamo e implementiamo soluzioni di gestione delle identità, dobbiamo anche considerare l’esperienza dell’utente e il modo in cui i nostri processi e le nostre policy vi contribuiscono. Sicurezza e convenienza non possono più essere in contrasto.
Andare oltre il controllo degli accessi basato sui ruoli
A lungo termine, secondo Ontiveros Merlo, il controllo degli accessi basato sui ruoli (RBAC) potrebbe non essere il più adatto per un futuro distribuito, un cambiamento potenzialmente dirompente.
L’RBAC risultava perfetto in sistemi più vecchi e monolitici, dove non c’erano grandi cambiamenti. Tuttavia, oggi il panorama aziendale e i ruoli sono molto dinamici.
“Quando l’organizzazione cambia e i ruoli non cambiano, si crea un attrito”, spiega Ontiveros Merlo. “Gli utenti finiscono per avere troppo o poco accesso. L’accesso basato su criteri è molto più dinamico, ed è per questo che negli ultimi anni abbiamo assistito a un’evoluzione degli standard di autenticazione”.
Sebbene l’autenticazione si sia evoluta, l’autorizzazione sembra essere in ritardo: solo ora stiamo iniziando a vedere nuove tecnologie che esternalizzano e standardizzano i concetti di autorizzazione. La ricertificazione, in particolare per quanto riguarda gli asset contestuali, è un’altra sfida importante per la gestione delle identità che il settore deve superare.
Come evitare gli anti-pattern della gestione delle identità
I professionisti della sicurezza hanno la spiacevole tendenza ad adagiarsi quando credono di aver trovato il modo “corretto” di fare qualcosa, un comportamento pericoloso questo.
“Quando chiudiamo le conversazioni senza considerare esattamente il loro significato, spingiamo le cose in un canale molto meno sicuro”, afferma Ontiveros Merlo. “Soprattutto con i sistemi complessi, tendiamo a scivolare in comportamenti prestabiliti. Dobbiamo tutti essere un po’ più consapevoli del contesto, dei nostri pregiudizi, del settore in generale e di ciò che gli altri dipartimenti possono insegnarci sui nostri”.
Ontiveros Merlo raccomanda di applicare le pratiche ingegneristiche e psicologiche alla gestione delle identità: abbracciare un approccio ampio e multidisciplinare che si concentri sulla soluzione dei problemi attraverso i dati, la centralità del cliente e il pensiero critico.
“In definitiva, trattate l’identità come un prodotto e siate curiosi di conoscere la percezione che i vostri clienti hanno.”, afferma. “Potrebbero essere utenti finali, sviluppatori di applicazioni o anche sviluppatori che stanno reinventando il percorso di registrazione e login. Chiunque siano, cercate di ridurre il carico cognitivo di questi team distribuiti, in modo che possano concentrarsi su ciò che sanno fare meglio”.
Tutte le organizzazioni sono coinvolte in questa situazione
Lo spazio delle identità ha fatto passi da gigante negli ultimi anni, ma le sfide più grandi devono ancora arrivare. Le identità delle macchine si stanno unendo a quelle dei clienti e delle aziende, poiché più imprese ed entità lavorano insieme attraverso supply chain intricate e connesse. Per questo motivo un’azienda dovrà inevitabilmente concedere l’accesso a identità di cui non è la fonte autorevole.
In questo scenario la collaborazione non è semplicemente una raccomandazione, ma rappresenta l’unica strada da percorrere.
“Utilizzeremo i dati molto di più per l’analisi comportamentale e per fornire un contesto alle identità”, prevede Ontiveros Merlo. “E per gestire tutto, dalla ricertificazione alla sicurezza delle transazioni. Nessuno sarà in grado di risolvere problemi come questo da solo. In futuro avremo bisogno di un’impollinazione incrociata. Avremo bisogno di partnership e collaborazioni tra aziende e discipline diverse”.