Gli investimenti nella sicurezza e nella protezione delle identità hanno raggiunto un massimo storico. Quest'anno si prevede che il valore del mercato globale della gestione delle identità e degli accessi (IAM) raggiungerà i 20,75 miliardi di dollari. Non c'è da stupirsi: Gartner ha recentemente stimato che circa il 75% di tutti i fallimenti della sicurezza sono attribuibili a una cattiva gestione di identità, accesso e privilegi. Cosa riserva il futuro alla gestione delle identità?
Nonostante l'aumento degli investimenti nel rilevamento delle minacce all'identità e nella risposta (ITDR), le organizzazioni hanno ancora difficoltà nell'implementazione. Spesso i reparti all'interno di un'organizzazione sono fondamentalmente scollegati, il che vanifica qualsiasi possibilità di promuovere una cultura dell'identità sostenibile. Secondo Denis Ontiveros Merlo, vicepresidente delle piattaforme aziendali di bp, questa disconnessione non è qualcosa che le aziende possono risolvere internamente.
"Abbiamo costruito un intero ecosistema che, senza rendersene conto, ha creato degli anti-pattern [in nome della sicurezza] che vanificano l'obiettivo finale di rendere l'identità senza attriti, sicura e protetta", spiega Ontiveros Merlo. "Le persone adottano questi modelli perché pensano che sia la cosa giusta, e finiamo in un circolo vizioso. È necessario fare molta formazione per liberarci da questa situazione".
La formazione sulle più recenti funzionalità di gestione delle identità è il primo passo verso il futuro della gestione delle identità. Ma non è l'unica sfida che le organizzazioni incontreranno lungo il percorso.
Inciampare in un nuovo panorama di gestione delle identità
Per molti versi, il settore enterprise si sta ancora riprendendo dal cambiamento di paradigma avvenuto durante la pandemia. Ora tutto è digitale, distribuito e federato, indipendentemente dalla nostra volontà. Questo cambiamento rappresenta una sfida notevole per le organizzazioni abituate a gestire infrastrutture e team centralizzati.
"Quando si tratta di applicare un certo senso di governance, non c'è più una gola da strozzare, come si suol dire", afferma Ontiveros Merlo. Mentre prima tutto era monolitico, ora abbiamo una moltitudine di piccoli componenti che lavorano insieme". Insieme alla trasformazione digitale e al lavoro a distanza, l'architettura a microservizi sta diventando la norma.
"Tutti questi componenti devono autenticarsi e fidarsi l'uno dell'altro", continua. "Ogni utente, macchina, applicazione, dispositivo e sensore. È una sfida notevole, ma credo che sia anche un'opportunità. Lo vediamo con Azure B2B, che si potrebbe considerare l'inizio dell'identità decentralizzata".
La follia di costringere la gestione dell'identità in una scatola
Ci piace l'idea che esista una soluzione unica per l'ITDR. Tuttavia, le organizzazioni hanno capacità, vincoli e requisiti diversi. Le tecnologie e le strategie che funzionano per un'azienda possono fallire completamente per un'altra.
"Ho sempre trovato interessante il fatto che, quando si tratta di sfide legate all'identità come l'accesso privilegiato, tendiamo a costruire soluzioni ed ecosistemi che alla fine tendono alla deriva della configurazione", riflette Ontiveros Merlo. "Il modello ideale sarebbe invece quello di spingere il codice in modo dichiarativo attraverso la continuous integration/continuous delivery (CI/CD). Tuttavia, prima di arrivare a questo punto, dobbiamo essere più consapevoli e attenti ai pregiudizi che possiamo avere quando adottiamo una nuova tecnologia e agli anti-pattern in cui possiamo cadere".
"Dobbiamo anche essere più consapevoli di come incorporiamo la tecnologia nell'organizzazione", aggiunge.
La gestione dell'identità non è solo per gli amministratori
La gestione dell'identità è stata tradizionalmente considerata una questione amministrativa. Tuttavia, l'identità è importante per molto più che per gli amministratori.
"Dobbiamo chiederci chi sia il cliente in questa situazione", afferma Ontiveros Merlo. "Poiché l'identità tende a essere un servizio condiviso, viene spesso utilizzata come punto di riferimento per la governance. Ma la realtà è che la governance e la responsabilità sono responsabilità di tutti".
Non possiamo aspettarci che i team che si occupano di identità affrontino questioni come la privacy o la segregazione dei compiti. Quando sviluppiamo e implementiamo soluzioni di gestione delle identità, dobbiamo anche considerare l'esperienza dell'utente e il modo in cui i nostri processi e le nostre policy vi contribuiscono. Sicurezza e convenienza non possono più essere in contrasto.
Andare oltre il RBAC
A lungo termine, secondo Ontiveros Merlo, il controllo degli accessi basato sui ruoli (RBAC) potrebbe non essere il più adatto per un futuro distribuito. Questo cambiamento ha il potenziale per essere abbastanza dirompente.
L'RBAC andava bene in sistemi più vecchi e monolitici, dove non c'erano grandi cambiamenti. Tuttavia, oggi il panorama aziendale e i ruoli sono molto dinamici.
"Quando l'organizzazione cambia e i ruoli non cambiano, si crea un attrito", spiega Ontiveros Merlo. "Gli utenti finiscono per avere troppo o troppo poco accesso. L'accesso basato su criteri è molto più dinamico, ed è per questo che negli ultimi anni abbiamo assistito a un'evoluzione degli standard di autenticazione".
Sebbene l'autenticazione si sia evoluta, l'autorizzazione sembra essere in ritardo. Solo ora stiamo iniziando a vedere nuove tecnologie che esternalizzano e standardizzano i concetti di autorizzazione. La ricertificazione, in particolare per quanto riguarda gli asset contestuali, è un'altra sfida importante per la gestione delle identità che il settore deve superare.
Evitare gli anti-pattern della gestione delle identità
La comunità della sicurezza ha la spiacevole tendenza a trincerarsi dietro i talloni quando crede di aver trovato il modo "giusto" di fare qualcosa, e questo è pericoloso.
"Quando chiudiamo le conversazioni senza considerare esattamente il loro significato, spingiamo le cose in un canale molto meno sicuro", afferma Ontiveros Merlo. "Soprattutto con i sistemi complessi, tendiamo a scivolare in comportamenti prestabiliti. Dobbiamo tutti essere un po' più consapevoli del contesto, dei nostri pregiudizi, del settore in generale e di ciò che gli altri dipartimenti possono insegnarci sui nostri".
Ontiveros Merlo raccomanda di applicare le pratiche ingegneristiche e psicologiche alla gestione delle identità: abbracciare un approccio ampio e multidisciplinare che si concentri sulla soluzione dei problemi attraverso i dati, la centralità del cliente e il pensiero critico.
"In definitiva, trattate l'identità come un prodotto e siate curiosi di conoscere l'attrito che crea ai vostri clienti", afferma. "Potrebbero essere utenti finali, sviluppatori di applicazioni o anche sviluppatori che stanno reinventando il percorso di registrazione e login. Chiunque siano, cercate di ridurre il carico cognitivo di questi team distribuiti, in modo che possano concentrarsi su ciò che sanno fare meglio".
Siamo tutti coinvolti in questa situazione
Lo spazio delle identità si è evoluto a passi da gigante negli ultimi anni, ma le sfide più grandi devono ancora arrivare. Le identità delle macchine si stanno unendo a quelle dei clienti e delle aziende, poiché più imprese ed entità lavorano insieme attraverso catene di fornitura intricate e connesse. Inevitabilmente, un'azienda dovrà concedere l'accesso a identità di cui non è la fonte autorevole.
In questo scenario la collaborazione non è semplicemente una raccomandazione, ma rappresenta l'unica strada da percorrere.
"Utilizzeremo i dati molto di più per l'analisi comportamentale e per fornire un contesto alle identità", prevede Ontiveros Merlo. "E per gestire tutto, dalla ricertificazione alla sicurezza delle transazioni. Nessuno sarà in grado di risolvere problemi come questo da solo. In futuro avremo bisogno di un'impollinazione incrociata. Avremo bisogno di partnership e collaborazioni tra aziende e discipline diverse".