Identity and Access Management, o IAM, è la disciplina di sicurezza che consente alle entità (persone o sistemi) di utilizzare le risorse (applicazioni o dati) quando ne hanno bisogno, con le corrette autorizzazioni e rispettando le policy aziendali.
IAM comprende i sistemi e i processi che consentono agli amministratori IT di assegnare un'unica identità digitale a ciascuna entità, autenticarli quando effettuano l'accesso, autorizzarli ad accedere a risorse specificate e monitorare e gestire tali identità per tutto il loro ciclo di vita.
IAM non è più solo per i dipendenti. Le organizzazioni sempre di più utilizzano collaboratori o servizi esterni e devono essere in grado di fornire un accesso sicuro a tutti, anche per gli utenti remoti e dotati di dispositivi mobili. Gli ambienti IT ibridi multicloud e le soluzioni SaaS (Software as a Service) complicano ulteriormente il panorama IAM.
Poiché si pone tra gli utenti e le risorse aziendali critiche, la gestione delle identità e degli accessi è una componente fondamentale di qualsiasi programma di sicurezza aziendale.
Utilizzato correttamente, IAM aiuta a garantire la produttività aziendale e il funzionamento senza problemi dei sistemi digitali.
I dipendenti possono lavorare senza problemi, ovunque si trovino, mentre la gestione centralizzata fa in modo che essi accedano solo alle risorse specifiche di cui hanno bisogno per il loro lavoro. Inoltre l'apertura di sistemi a clienti, appaltatori e fornitori può aumentare l'efficienza e ridurre i costi.
Governance
Il valore maggiore delle soluzioni IAM è che introducono la governance delle identità, ovvero: il ciclo di vita Creazione-Autorizzazione-Chiusura di ogni singola identità viene formalizzato e allineato ai processi interni aziendali, in modo che sia allineato alle esigenze del business. Il risultato è che il processo diventa formale ma, allo stesso tempo, rapido perché i workflow autorizzativi sono già stati definiti e, dove possibile, automatizzati.
Entriamo ora nel dettaglio dei vari processi per capire meglio la gestione del ciclo di vita.
Photo by Alessandro Lia
Processo di gestione del ciclo di vita di una identità
Integrazione con HR
Per tutte le persone che lavorano in azienda esiste un sistema dove vengono inizialmente censite e gestite. Ad esempio, per i dipendenti, è il sistema di gestione delle risorse umane o HR che le gestisce con informazioni vitali per la sicurezza come: data di assunzione, mansione aziendale, eventuale data di fine rapporto. Sistemi analoghi possono esistere per i consulenti.
Il fatto che lo IAM recuperi i dati delle persone dal sistema deputato a gestirle, ovvero una fonte “autoritativa”, consente di allineare lo stato delle utenze sui sistemi allo stato dell'anagrafica della persona.
Richieste self-service
Non tutte le autorizzazioni ai sistemi aziendali sono strettamente legate alla mansione aziendale: spesso ci sono degli applicativi che sono utilizzati da diversi teams, ad esempio lo strumento di gestione delle note spese, oppure anche all’interno dello stesso team ci possono essere livelli di autorizzazione differenti. Ci sono in pratica differenti casi dove l’utilizzatore stesso potrebbe avere bisogno di un applicativo non presente di default nel suo profilo e il modo migliore di gestire queste eccezioni sono le richieste self service, ovviamente associate ad un workflow approvativo nei casi in cui si ritenga necessario.
Validazione SOD
Uno dei principi fondamentali della sicurezza nei processi è la Segregation of Duties, ovvero la separazione dei compiti in modo tale che una singola persona non abbiamo tutte le autorizzazioni a completare i processi più critici, ad esempio gli acquisti. In realtà complesse non sempre è possibile garantirla a priori, diventa fondamentale un sistema che, in maniera preventiva, esegua una verifica prima di modificare le autorizzazioni di una persona.
Photo by Alessandro Lia
Principali funzionalità di una soluzione IAM
Business Roles
Il concetto di Business Role è molto semplice: un insieme di credenziali, su differenti sistemi, con le autorizzazioni sufficienti ad eseguire le attività previste dalla propria mansione, all’interno della unità organizzativa in cui si è allocati. Questo strumento consente allo IAM di dare una profilazione di base all’utente appena viene definito, e a modificarla in caso di cambio di mansione o di unità organizzativa.
Reportistica
Essendo lo IAM per definizione uno strumento centralizzato e autoritativo per la gestione delle utenze e della profilazione, nel suo database tutte le informazioni su utenze e autorizzazioni sono disponibili per tutte le necessità di compliance, comprese le informazioni storiche e dei workflow autorizzativi.
Conclusione
In conclusione, il valore maggiore di una soluzione IAM è quella di consentire il governo della gestione delle utenze e della profilazione delle stesse, secondo le policy di sicurezza, in maniera formale e documentabile.