Per i governi e agenzie federali e statali, l'identità è il fulcro di un'implementazione solida della sicurezza. Molte persone divulgano quotidianamente i propri dati personali a enti commerciali e pubblici, il che richiede che le istituzioni governative adottino rigorose misure di sicurezza per proteggere i propri asset.
Questa esigenza di una solida sicurezza, sottolineata dall'Ordine Esecutivo 1402, pubblicato a maggio 2021, richiede il miglioramento del livello nazionale in materia di cybersecurity. L'ordine esecutivo sottolinea l'importanza di proteggere gli asset digitali e mitigare le minacce informatiche, sottolineando la modernizzazione dei sistemi di gestione delle identità e degli accessi (IAM). Parallelamente, il programma Federal Identity, Credential, and Access Management (FICAM) è stato fondamentale nel plasmare l'approccio del governo alla sicurezza dell'identità e dell'accesso.
Questo articolo approfondisce questi principi, illustra i vantaggi dell'implementazione dei sistemi FICAM e fornisce indicazioni sulle best practice di implementazione.
La Federal Identity, Credential, and Access Management (ICAM) è un framework completo di protocolli di sicurezza progettato per aiutare le organizzazioni federali nella gestione, nel monitoraggio e nella sicurezza dell'accesso alle proprie risorse. FICAM garantisce che solo individui autorizzati possano accedere alle risorse autorizzate per motivi legittimi, proteggendo le organizzazioni da tentativi di accesso non autorizzati.
FICAM (Federal Identity, Credential, and Access Management) è un'estensione dei protocolli, metodologie e sistemi ICAM per gli enti federali. Permette loro di regolare l'accesso a risorse protette come file, reti, server e località fisiche.
La sicurezza ICAM si basa su tre pilastri fondamentali: identità, credenziali e accesso. Nelle sezioni successive, illustriamo ogni concetto e dimostriamo in che modo vengono implementati da FICAM
L'identità si riferisce a un insieme di attributi che definiscono un individuo. In un contesto federale, solitamente questo comprende le informazioni personali o biometriche raccolte dalle agenzie. La gestione delle identità è l'orchestrazione di politiche che permettono alle organizzazioni di stabilire, sostenere ed eliminare le identità degli utenti, elementi cruciali per verificarle, gestire gli account utente e mantenere registri contabili accurati.
Una parte fondamentale della gestione dell'identità è la governance, che guida le funzioni e le attività dell'ICAM, fra cui l'analytics per identificare rischi di sicurezza e non conformità.
Gestione delle credenziali: le credenziali, in sostanza, confermano l'identità di un individuo. La gestione delle credenziali consente alle organizzazioni di emettere, monitorare, rinnovare e revocare le credenziali di accesso, collegando identità attraverso una logica specifica, essenziale per la registrazione degli account, la manutenzione e l'emissione delle risorse.
La gestione degli accessi consente solo agli individui autorizzati di accedere alle risorse o di eseguire azioni specifiche su di esse. Inoltre, i principi di gestione degli accessi comprendono una componente operativa della Federazione che consente alle agenzie di accettare identità, attributi e credenziali rilasciati da altri. Questo rafforza l'interoperabilità e facilita decisioni di accesso intelligenti. È fondamentale per definire politiche e regole di accesso, determinare i permessi, autenticare e autorizzare gli utenti.
FICAM delinea cinque obiettivi strategici volti a migliorare la sicurezza e l'efficacia delle esperienze tecnologiche del governo. Questi obiettivi sono anche pensati per facilitare il rispetto delle leggi federali, semplificare l'accesso ai servizi di governo digitali, rafforzare la sicurezza e favorire un ambiente affidabile, interoperabile ed economico.
L'architettura dei segmenti ICAM delinea come le organizzazioni dovrebbero identificare, autenticare e autorizzare individui provenienti da diversi segmenti, consentendo affidabilità e
accesso interoperabile alle risorse. Aiuta a migliorare il livello di sicurezza ed efficienza, a ridurre i rischi di furto d'identità e violazioni dei dati, e a rafforzare la protezione delle informazioni di identificazione personale (PII).
In sostanza, FICAM è un framework completo per le agenzie che si concentra sulle pratiche di identità aziendale, sulle politiche e sulle discipline di sicurezza informatica. Fornisce un framework comune per i sistemi IT, le app e le reti e informa i lettori sugli standard e le politiche che definiscono FICAM.
Diverse leggi, politiche e standard federali regolano i principi architettonici alla base della progettazione dei programmi FICAM, tra cui la circolare OMB A-108, OMB 19-17, l'Ordine Esecutivo 13883 e il NIST SP 800-63-3. Un elenco completo degli standard è disponibile qui.
Sfruttando la tecnologia IBM, puoi implementare il campione architettonico fornito per facilitare una distribuzione FICAM:
La figura fornita è un'architettura di riferimento per evidenziare gli elementi necessari all'implementazione di FICAM. Per garantire coerenza e standardizzazione delle decisioni di accesso, si consiglia di adottare un unico punto decisionale e di applicazione delle politiche. Le decisioni di sicurezza possono quindi essere migliorate sfruttando componenti OOTB di un fornitore o integrandosi con una soluzione esistente presente all'interno dell'agenzia. Questi componenti possono arricchire l'architettura FICAM fornendo funzionalità come l'autenticazione a più fattori, l'analisi dei dispositivi endpoint e i feed di minacce da strumenti SIEM.
Per conformarsi a politiche e standard e implementare con successo ICAM, considera queste linee guida:
Scegli un fornitore come IBM® Security Verify SaaS, le cui soluzioni si basano su standard aperti e possono integrarsi con una miriade di partner, consentendo interoperabilità con integrazioni estese per una gestione robusta di identità e accessi.
L'autenticazione a più fattori attenua il rischio di violazione degli accessi e aumenta la fiducia nell'identità di ciascun utente. Migliora il tuo livello di sicurezza implementando metodi resistenti al phishing come passkey forniti da FIDO Alliance e prodotti certificati come Verify SaaS.
L'accesso adattivo, abbinato a feed di threat intelligence, fornisce una difesa robusta contro attacchi di autenticazione. Questa integrazione migliora sia l'analisi contestuale relativa agli accessi degli utenti, sia la raccomandazione di decisioni di accesso informate basate sui punteggi di rischio calcolati.
Quando si valuta un fornitore "adattivo", bisogna tenere presente la qualità della raccomandazione generata dal sistema. Non è sufficiente raccogliere un contesto "statico" come il tipo di agente utente, la geolocalizzazione, il rischio dell’indirizzo IP e così via. Prova ad ampliare il contesto valutando il contesto biometrico come la velocità di digitazione, i movimenti del mouse e altro. La maggior parte dei fornitori offre contesto statico, mentre pochi offrono funzionalità per rilevare cambiamenti biometrici, o persino rilevare la presenza di macchine virtuali su un endpoint.
Questo modello di controllo degli accessi stabilisce i privilegi di accesso in base agli attributi, consentendo agli amministratori flessibilità sulle politiche di accesso e colmando efficacemente eventuali lacune in termini di sicurezza, privacy dei dati e conformità. Consigliamo di associare questo strumento a uno di gestione degli accessi privilegiati per proteggere ulteriormente le informazioni di autenticazione più sensibili.
Per aumentare l'interoperabilità, distribuire funzionalità ICAM con standard aperti come OAuth2. Considera di implementare una gestione degli accessi API per proteggere queste risorse e rafforzare l'autenticazione.
Seguendo queste linee guida e sfruttando IBM® Security Verify SaaS, le organizzazioni possono migliorare il loro livello di sicurezza, mantenere la conformità e proteggere efficacemente le informazioni sensibili.
L'implementazione di FICAM consente alle agenzie federali di indirizzo le principali sfide legate alla sicurezza. Fornisce un framework per mitigare i rischi di furto d'identità e di violazione dei dati, facilitare la conformità e collegare le agenzie federali attraverso la federazione e la compatibilità delle credenziali per migliorare la sicurezza.
Sfruttare la tecnologia di gestione delle identità e degli accessi di IBM è fondamentale per le agenzie governative o federali che implementano un programma Federal Identity, Credential, and Access Management (FICAM). Le soluzioni di IBM sono meticolosamente progettate per integrarsi perfettamente con le infrastrutture esistenti, consentendo alle agenzie di migliorare la sicurezza senza dover apportare modifiche sostanziali ai loro sistemi attuali. L'interoperabilità è fondamentale perché consente di migliorare le misure di sicurezza senza interruzioni, soprattutto nei contesti governativi, dove spesso sono in funzione diversi sistemi legacy. Inoltre, la tecnologia IBM è abile nel supportare protocolli moderni come OAuth e FIDO2, aiutando le agenzie a mantenere un accesso ricco di sicurezza e facile da usare e a tutelare l'integrità e la riservatezza dei dati in ambienti digitali diversi e in evoluzione.
Inoltre, le soluzioni IBM offrono un ampio supporto per ambienti legacy, una caratteristica preziosa per le agenzie ancora dipendenti da tecnologie più vecchie. Ciò consente alle agenzie di continuare ad utilizzare i loro sistemi esistenti, beneficiando al contempo di funzioni avanzate di sicurezza e conformità, permettendo un approccio equilibrato e adattabile alla sicurezza. Inoltre, il supporto completo per le credenziali PIV (Personal Identity Verification) e CAC (Common Access Card) offerto dalla tecnologia IBM riveste un ruolo cruciale nello spazio federale. Facilita un accesso sicuro e affidabile a informazioni e sistemi sensibili, e offre alle agenzie un controllo meticoloso sull'accesso, proteggendo così da accessi non autorizzati e potenziali violazioni di sicurezza.
In sostanza, la tecnologia di gestione delle identità e degli accessi di IBM offre un approccio poliedrico e adattabile alla sicurezza. Consente alle agenzie governative di rafforzare il proprio livello di sicurezza, di salvaguardare beni sensibili, conformarsi agli standard di sicurezza in evoluzione e mantenere l'efficienza operativa e la comodità per l'utente, all'interno dei diversi paesaggi tecnologici delle operazioni governative.
