L’espressione Identity and Access Management (IAM, letteralmente Gestione delle identità e degli accessi) indica il sistema adottato dalle imprese per organizzare e gestire l’accesso alle proprie risorse informatiche (postazioni, applicativi, aree riservate, specifiche funzionalità) dei propri dipendenti, clienti/utenti o di chiunque altro abbia l’esigenza di accedere a tali risorse.
Identity and Access Management contro i rischi interni
Sebbene le preoccupazioni delle aziende relative ai rischi sulla sicurezza tendano a focalizzarsi più sulle minacce esterne (virus, spyware, trojan e affini) in realtà molte violazioni sono commesse da chi opera in azienda.
Il più delle volte si tratta di violazioni commesse in maniera involontaria, ma non si escludono casi di dolo. Chi lavora in un’azienda e ne conosce bene i sistemi informatici è in grado di sfruttare eventuali punti deboli.
Una corretta gestione delle identità digitali serve a ridurre, se non a eliminare, questo rischio interno. La maggior parte delle organizzazioni ha piena coscienza delle potenziali minacce interne. Molte conoscono la necessità di adottare un sistema di Identity and Access Management, come dimostrano i dati di settore in crescita riportati in questo articolo.
In poche, tuttavia, hanno già adottato o hanno intenzione di adottare una soluzione IAM per aumentare la loro sicurezza informatica.
Perché l’IAM è importante per le organizzazioni
L’uso oramai diffusissimo di sistemi informatici per servizi sia interni sia esterni porta con sé una maggiore complessità. Un’azienda può trovarsi ad avere centinaia di applicazioni, numerosi partner commerciali, migliaia di dipendenti e clienti.
Tutti potrebbero avere la necessità di accedere agli applicativi e ai dati aziendali. È fondamentale, pertanto, garantire a ogni utente un accesso sicuro, rispettoso delle procedure aziendali e conforme alle norme.
Tutto ciò costituisce un’attività complessa, ma una corretta ed efficace gestione dell’Information Technology risulta cruciale per quelle aziende che puntano ad avere la flessibilità necessaria per rispondere adeguatamente alle minacce e nel contempo cogliere le opportunità dell’innovazione tecnologica.
L’efficacia di un sistema IAM consiste nell’automatizzare la gestione del ciclo di vita degli utenti, come clienti, partner, dipendenti o consulenti. Questo partendo dalla creazione del codice di identificazione e del profilo di ogni utente (ciascuno diverso in termini di diritti di accesso ad applicazioni, sistemi elaborativi, file, risorse critiche e anche altre risorse aziendali non informatiche quali telefoni, uffici o postazioni) passando per la gestione di tutte le modifiche che si rendono necessarie nel tempo e fino ad arrivare alla definitiva cancellazione, qualora quello specifico utente non dovrà più avere accesso alle risorse interne aziendali.
Quali sono i vantaggi dell’Identity and Access Management
Ecco i vantaggi che un’efficiente gestione delle identità digitali può dare alle aziende.
Flessibilità
Le infrastrutture spesso hanno ambienti informatici che sono il frutto di interventi differenti e stratificati nel tempo. Ciò può aprire una serie di falle nella sicurezza aziendale.
I servizi di security sono incorporati nella logica delle singole piattaforme e applicazioni, causando elevati costi di manutenzione. Ogni applicazione e ogni piattaforma tende ad avere il proprio archivio di identità digitali e privilegi di accesso, da gestire e aggiornare separatamente. Un modello simile non è flessibile.
Ciò compromette la capacità di rispondere rapidamente alle mutate esigenze di sicurezza e legali. La mancanza di flessibilità nell’infrastruttura IT ne fa lievitare i costi di manutenzione e riduce di conseguenza le risorse per gli investimenti strategici. L’adozione di un sistema IAM incrementa la flessibilità e accelera i processi operativi.
Aumento di produttività
La temuta telefonata del dipendente che dice “Non ricordo più la password” è ancora un grosso problema per gli amministratori IT.
In ogni azienda i problemi legati alle password e al blocco degli account rappresentano una percentuale significativa del carico di lavoro dell’help desk, un costo e un rischio, a causa dei potenziali errori umani.
La gestione manuale di tali problemi penalizza la produttività di chi deve attendere che i necessari diritti d’accesso gli vengano forniti.
Quando poi ci sono partner o altri soggetti esterni all’azienda che accedono ai nostri sistemi IT, la gestione interna dei loro profili è poco pratica. È necessario, invece, dotarsi di processi e tecnologie che consentano di delegare parte di tale gestione, in maniera flessibile e nella massima sicurezza.
Conformità normativa
Negli ultimi anni sono aumentate le preoccupazioni delle aziende sulla confidenzialità dei dati personali trattati, a causa di episodi terroristici e nuove norme in materia di informativa finanziaria, sicurezza e privacy.
Implementando un’adeguata soluzione di Identity and Access Management basata su ruoli chiaramente definiti, un’azienda che ad esempio sia sottoposta a controllo tributario può facilmente rispondere a domande sulla titolarità dei diritti d’accesso ai dati, nonché sulle occasioni e motivi d’accesso agli stessi.
Una soluzione IAM prevede anche la suddivisione dei compiti, perciò, ad esempio, chi avvia il processo di creazione di una fattura non si occuperà della sua approvazione. Inoltre, se chi emette le fatture cambia ruolo, il sistema di IAM provvederà ad aggiornare i suoi privilegi d’accesso alle relative applicazioni aziendali.
Grazie allo IAM, inoltre, in ogni momento si ha un quadro generale dei privilegi di accesso di ogni utente e si riduce quindi il rischio di utenti con autorizzazioni eccessive rispetto alle reali esigenze.