La maggior parte delle organizzazioni implementa la tecnologia nel tentativo di apportare miglioramenti, fornire maggiore valore, e compiere meglio la propria missione. Quello che stanno realmente cercando di fare è consentire alle persone di accedere ai dati di cui hanno bisogno con tutti gli strumenti necessari per fare ciò che devono. Ma gli auditor e le policy interne richiedono che tutto ciò sia fatto correttamente.
L’Identity and Access Management (IAM) aiuta a garantire che le cose vangano fatte correttamente. Ma l’IAM non riguarda una cosa sola – può coinvolgere l’amministrazione degli utenti e tutto ciò ad essa associato, la governance, con tutte le sue implicazioni su una moltitudine di sistemi e tipi di utente, e persino i rischi e le opportunità connessi all’accesso privilegiato di “super user” o amministratori. L’IAM è un obiettivo in continuo movimento che è diventato il fondamento per gran parte delle operazioni IT – infatti, nonostante l’IAM riguardi solo gli utenti e i loro diritti, le implicazioni sono molteplici .
1.Sicurezza e conformità sono un percorso, non una destinazione
Spesso, la sicurezza si basa su un approccio “punto per punto”. Il mio consiglio è di avvicinarsi alla sicurezza e alla compliance (e l’IAM è uno dei principali sottoinsiemi della sicurezza) attraverso un approccio che io chiamo “get to one”. Più ci si avvicina a un set unico di policy di controllo da applicare a tutti i sistemi, una singola user identity che include tutto il necessario per accedere in maniera adeguata a sistemi e dati, un unico insieme di parametri che controlla l’accesso e definisce gli utenti, e un unico punto di gestione che mette il potere nelle mani delle persone che conoscono il motivo per cui qualcuno dovrebbe accedere a qualcosa, meglio sarà. Questo approccio unificato alla sicurezza non è mai completo, ma qualsiasi cosa riservi il futuro, si è consapevoli che il fondamento è saldo, e ci assicurerà che tutte le minacce abbiano vita dura .
2. È impossibile risolvere i problemi che non si vedono
Un risultato diretto della complessità insita nel panorama IAM odierno è la serie estremamente estesa di cose che possono danneggiarsi o essere sfruttate.
Più un approccio IAM è unificato, più sarà facile capire realmente i diritti e le attività degli utenti. Gli approcci tradizionali all’IAM coprono la complessità con ulteriore complessità; mentre un approccio corretto riduce effettivamente tale complessità e unifica i vari elementi. Questo approccio assicura che le persone che hanno di più in gioco siano effettivamente consapevoli di coloro di cui sono responsabili.
3.Gli amministratori sono persone volenterose… e questo è il problema
Il modo corretto di trattare le richieste di accesso e di adempimento è quello di rimuovere le barriere e automatizzare i controlli su processo decisionale e provisioning. Immaginate un approccio all’IAM che permette di richiedere rapidamente e facilmente l’accesso a tutto ciò che si desidera, controllando al contempo in maniera automatica e immediata tale richiesta rispetto alle policy di sicurezza stabilite (e unificate), elaborando la richiesta con tutte le autorizzazioni necessarie e soddisfacendola automaticamente nel caso in cui i parametri sono rispettati. Immaginate se questo stesso sistema facesse tutto ciò senza l’intervento dell’IT, tracciando al contempo l’intera transazione. Si ottiene l’accesso necessario, mentre il responsabile IT riuscirà a fare il suo vero lavoro.
4. A differenza di te, i criminali non hanno nulla di meglio da fare
I criminali vogliono arrivare ai gioielli della corona della vostra organizzazione – i dati che sono la linfa vitale di tutto ciò che fate. Cercano di sfruttare i punti deboli dei vostri sistemi e del comportamento dei vostri utenti. Hanno un sacco di tempo e un sacco di creatività. Voi, d’altro canto, avete un lavoro da svolgere e probabilmente non include guardare ogni utente e punto di ingresso in cerca di attività sospette.
Naturalmente le normali misure di sicurezza sono necessarie – firewall, policy a livello di password, distruzione di documenti, ecc. – ma l’IAM può migliorare notevolmente le vostre probabilità quando i criminali inevitabilmente vengono a ficcare il naso. Implementare una soluzione di provisioning (e de -provisioning ) automatizzata, business-driven e basata su policy può garantire che non vi siano casi di accesso non consentito che possono essere sfruttati. Eliminando i pericoli di account privilegiati condivisi e implementando un modello di privilegi minimi per l’accesso dell’amministratore chiude un altro buco importante perché quasi tutti gli attacchi coinvolgono lo sfruttamento di qualche sorta di privilegio amministrativo scarsamente protetto. E tecnologie semplici come l’autenticazione a più fattori, il single sign-on e il monitoraggio dell’attività dell’utente, possono puntellare ancor più le mura della fortezza.
5. Gli utenti prenderanno nota delle password, ma ricorderanno la propria
Alcuni aspetti relativamente semplici dell’IAM possono migliorare notevolmente le possibilità di evitare una violazione relativa alla password. Se gli utenti possono avere una password unica e forte invece di decine, le probabilità che se la ricordino (e non la debbano scrivere) aumentano. Le tecnologie di Single Sign-On (SSO) possono garantire l’uso di una password per tutti i sistemi. Inoltre rimuovere lo stigma di chiamare l’IT e ammettere che si è dimenticata la propria password, consentendo di reimpostarla personalmente, rende a tutti la vita più facile, e più sicura.
6. Se misurate il rischio di minacce interne sulla base dell’umore degli amministratori IT… avete un problema
Molte delle violazioni di sicurezza più dannose e di alto profilo degli ultimi anni sono state il risultato di personale interno che ha utilizzato un accesso privilegiato per azioni malevole.
L’account superuser è inevitabile, ma le pratiche comuni che lo mettono a rischio non lo sono. Spesso, nello sforzo di garantire che le attività IT critiche possano essere fatte in modo efficiente e tempestivo, le organizzazioni condividono l’onnipotente password amministrativa indistintamente con tutto il personale che potrebbe mai avere bisogno di usarla. Un approccio migliore è quello di non dare mai la password a nessuno e adottare invece un approccio senza privilegi che la rilascia automaticamente, secondo le policy, e con una visibilità completa delle attività associate. Inoltre, ove possibile, si consiglia di implementare un modello di accesso con privilegi minimi, in cui sottoinsiemi di credenziali amministrative complete sono delegati a singoli amministratori, dando loro solo i diritti necessari per svolgere il loro lavoro – niente di più , niente di meno.
7. Spostare il workflow nel cloud non renderà magicamente più semplice definizione o comprensione
Di fatto, molti degli aspetti critici di una buona IAM – nello specifico workflow unificato, business-driven e basato su policy – diventano ancora più critici quando si spostano al di fuori del vostro controllo diretto. Quando tali aspetti di controllo di IAM possono essere unificati, automatizzati e controllati dall’azienda, piuttosto che dall’IT, le specifiche di implementazione – che siano on premise o nel cloud – diventano molto più gestibili. Consiglierei che ogni progetto IAM futuro prenda in considerazione la prontezza della soluzione per indirizzare i dati e le applicazioni su cloud. Perché duplicare gli sforzi solo perché qualcosa è nel cloud?
8. Se il progetto IAM risale a più di sei mesi fa… probabilmente è da aggiornare
Come accennato in precedenza l’IAM è un bersaglio in movimento. Per anni è stato il mondo di soluzioni purpose-built altamente personalizzate per ogni organizzazione, le sue tecnologie e la sua base di utenti. Il problema è quando questi elementi vengono definiti nell’anno zero, la soluzione è prevista per il terzo anno e viene consegnata (o quasi) il quinto anno. Ovviamente non corrisponde minimamente alle reali esigenze del momento.
Il mio consiglio è di avvicinarsi all’IAM con una filosofia strategica di alto livello che non lega la soluzione a una tecnologia o fornitore specifici. Cercate soluzioni che possono essere implementate rapidamente per risolvere oggi il problema odierno, ma con un occhio a quello che potrebbe portare domani. Assicuratevi di non rimanere bloccati in uno stack tecnologico che diventerà obsoleto prima che il progetto sia completo. Piuttosto, cercate soluzioni modulari e integrate che includono la flessibilità di poter cambiare qualsiasi aspetto dell’infrastruttura IAM senza modificarne la base.
9. Se non è possibile che i dirigenti utilizzino uno strumento, come si può pensare che ne usino cinque differenti?
Unificando IAM (identità, policy, workflow, attestation, ecc.), con un occhio a ciò che i dirigenti devono fare, perché, e come preferiscono farlo, la metà della battaglia politica IAM è già vinta. Immaginate se un dirigente potesse rivolgersi a una semplice dashboard e vedere tutti i dipendenti di cui è responsabile e il quadro completo di ciò a cui ciascuno può accedere, comprese cronologia, eccezioni e violazioni. Pensate che i dirigenti utilizzerebbero questo strumento? Questo è il mondo dell’IAM moderno.
10. È molto difficile soddisfare sia l’efficienza che la sicurezza, e tale difficoltà è direttamente proporzionale alla complessità dell’ambiente
È una battaglia continua. “Vuoi protezione o efficienza?” Naturalmente la risposta è “entrambe!”
Eliminando la complessità – o almeno riducendola il più possibile – aumenteranno notevolmente le probabilità di ottenere sia la sicurezza che l’efficienza. Con ridurre la complessità intendo cercare le aree dove la ridondanza non è necessaria. Unificando queste componenti critiche dell’IAM per quanto possibile, la sicurezza è ciò che ne deriva naturalmente, seguita dall’efficienza.
Ecco, queste sono le mie dieci verità universali sull’IAM. Alcuni temi comuni che emergono:
• Ridurre la complessità.
• Mettere il controllo nelle mani delle persone adeguate.
• Unificare gli aspetti importanti dell’IAM che controllano tutto.
• Automatizzare tutto ciò che è possibile.
Alessandro Festa – Sr System Consultant