Che cos'è la gestione delle identità e degli accessi dei clienti (CIAM)?

Il CIAM si trova all'intersezione tra esperienza del cliente e cybersecurity.

Le organizzazioni utilizzano le soluzioni CIAM per creare esperienze di registrazione e accesso degli utenti coerenti e personalizzate nei loro ecosistemi digitali, dai siti web e dalle app mobili ai dispositivi Internet of Things (IoT) e altro ancora. Gli strumenti CIAM aiutano anche ad automatizzare e semplificare la raccolta dei dati dei clienti in ogni punto dell'ecosistema, consentendo all'organizzazione di assegnare a ciascuno di essi un'identità utente definita. Ovunque vadano, gli utenti vedranno lo stesso portale di accesso e lo stesso account.

Allo stesso tempo, gli strumenti CIAM proteggono gli account e i dati personali dei clienti da frodi e abusi implementando controlli di sicurezza come la verifica dell'identità, l'autenticazione a più fattori e il rilevamento delle anomalie.

Le prime soluzioni CIAM si concentravano esclusivamente sulle identità dei consumatori. Alcuni strumenti si sono poi evoluti per supportare la gestione del ciclo di vita delle identità per tutti i tipi di utenti esterni alla forza lavoro dell'organizzazione, inclusi partner, fornitori, cittadini e clienti business-to-business (B2B). 

La gestione delle identità e degli accessi (IAM) è una disciplina ampia che governa come gli utenti accedono alle risorse digitali nelle reti aziendali. Il CIAM è un sottoinsieme dell'IAM che si concentra sulla gestione degli accessi per i clienti e le altre persone esterne a un'organizzazione, anziché per i dipendenti e gli utenti interni.

Le organizzazioni trattano il CIAM come un ramo distinto dell'IAM perché clienti esterni e dipendenti interni hanno esigenze e priorità diverse nella gestione delle proprie identità e nell'utilizzo delle risorse.

Le differenze fondamentali fra IAM e CIAM sono tre.

I dati dei clienti sono estremamente preziosi, ma chiederne troppi può essere controproducente. Gli strumenti e i processi CIAM aiutano le organizzazioni a creare workflow ottimizzati per invitare (e invogliare) gli utenti a condividere i propri dati personali.

Al contrario, le pratiche tradizionali di gestione dell'accesso alle identità si concentrano meno sull'acquisizione dei dati. Se un'organizzazione ha bisogno di informazioni da parte dei dipendenti, può semplicemente chiederle.  

I clienti desiderano esperienze digitali fluide. Se si imbattono in ostacoli, potrebbero desistere, anche abbandonando i carrelli a metà dell'acquisto. Per evitare di danneggiare la customer retention, gli strumenti e i processi CIAM devono trovare un equilibrio tra sicurezza, raccolta di dati ed esperienza.

Le soluzioni IAM tradizionali si concentrano sulla sicurezza piuttosto che sulla convenienza per diversi motivi. Innanzitutto, gli aggressori possono causare più danni con l'account di un dipendente rubato che con l'account di un cliente. In secondo luogo, i dipendenti hanno una maggiore tolleranza per esperienze di livello inferiore. Per dirla senza mezzi termini, anche se non apprezzano i sistemi aziendali, non possono comunque rinunciarvi. 

Poiché le soluzioni IAM servono principalmente utenti interni, devono ospitare solo decine o al massimo centinaia di migliaia di utenti. I sistemi CIAM, invece, devono essere scalabili per poter servire milioni o addirittura centinaia di milioni di clienti. Pertanto, i CIAM spesso enfatizzano la gestione self-service degli account e l'infrastruttura cloud scalabile.

Sebbene le organizzazioni abbiano bisogno di approcci leggermente diversi per IAM e CIAM, non devono necessariamente utilizzare soluzioni separate. Sempre più spesso, infatti, gli strumenti IAM sono in grado di gestire sia la forza lavoro che i casi d'uso CIAM.

Il CIAM è uno sforzo interdisciplinare che, in genere, coinvolge gli stakeholder dell'IT, della sicurezza, del marketing e di altri settori aziendali. Molte organizzazioni costruiscono i propri processi CIAM attorno a quattro pilastri chiave: acquisizione dei dati, coinvolgimento degli utenti, autogestione e amministrazione del sistema.

• Acquisizione dati: creazione di workflow convenienti e semplificati di apertura degli account e raccolta dei dati per motivare gli utenti a registrarsi e a condividere i propri dati.
  
  
• Coinvolgimento degli utenti: utilizzo di accessi semplici e sicuri e di una profilazione progressiva per coinvolgere i clienti e farli tornare.
  
  
• Autogestione: dare agli utenti il controllo dei propri profili, inclusa la possibilità di scegliere quali dati sensibili condividere e come utilizzarli.
  
  
• Amministrazione del sistema: la gestione continua degli strumenti e dei processi CIAM, compresa l'integrazione di nuove applicazioni, l'acquisizione di nuovi utenti e il monitoraggio delle attività per prevenire le frodi e ricavare insight.

Al centro di ogni processo CIAM c'è una soluzione CIAM. Queste soluzioni unificano gli asset digitali e i servizi di un'organizzazione in un'unica esperienza coerente e personalizzata. Indipendentemente da dove gli utenti accedono (un sito desktop, un'app mobile e persino il sito web di un marchio affiliato), verranno indirizzati allo stesso account utente.

Dal lato back-end, il CIAM acquisisce i dati dei clienti da tutti questi punti di contatto in un archivio centralizzato e sicuro, creando un'unica identità per ciascuno nell'intero ecosistema digitale dell'organizzazione.

La maggior parte degli strumenti CIAM viene fornita sotto forma di soluzioni software-as-a-service (SaaS) basate sul cloud. Le soluzioni SaaS possono scalare via via che i clienti si registrano e possono connettersi alle varie proprietà digitali dell'organizzazione. I fornitori stanno inoltre iniziando a fornire soluzioni CIAM come microservizi flessibili, in grado di adattarsi meglio alle sempre più diffuse architetture di identity fabric. 

Gli utenti gestiscono autonomamente i propri account, dalla creazione e dall'onboarding dell'account fino alla cancellazione (se necessario), possono impostare le preferenze relative all'account e alle comunicazioni, aggiornare i propri profili ed effettuare la reimpostazione della password senza bisogno di aiuto da parte dell'organizzazione. 

I CIAM acquisiscono e memorizzano in modo sicuro i dati importanti dei clienti, come i dettagli demografici, le informazioni di pagamento e la cronologia degli ordini.

Molti CIAM supportano la "profilazione progressiva": invece di richiedere agli utenti di completare i propri profili al momento della registrazione, chiedono i dati in più fasi e solo quando necessario. Ad esempio, un nuovo utente di un sito di e-commerce può fornire solo un nome utente e una password al momento della registrazione, senza dover aggiungere l'indirizzo o i dati della carta di credito finché non effettua un acquisto.

Molti CIAM possono connettersi a sistemi interni, come data warehouse e strumenti di gestione delle relazioni con i clienti (CRM), in modo che i dati dei clienti possano essere utilizzati a scopi di analytics e business intelligence.

La maggior parte dei CIAM dispone di strumenti self-service di gestione del consenso, in cui gli utenti possono concedere o negare alle organizzazioni il permesso di utilizzare i propri dati personali in determinati modi. Questo può aiutare le organizzazioni a rispettare le leggi sulla privacy dei dati che impongono di ottenere il consenso dell'utente per il trattamento.

Alcuni CIAM includono strumenti di conformità aggiuntivi, come il monitoraggio delle attività, l'audit e l'applicazione delle politiche di governance dei dati. 

Le soluzioni CIAM in genere supportano più metodi di autenticazione degli utenti che, solitamente, includono:

• Autenticazione di base con nome utente e password.
  
  
• Autenticazione a più fattori (MFA), in cui agli utenti viene richiesto di fornire almeno due prove per dimostrare la loro identità.
  
  
• L'autenticazione adattiva, che utilizza l'intelligenza artificiale (AI) e il machine learning (ML) per analizzare il comportamento degli utenti e modificare i requisiti di autenticazione in tempo reale quando cambia il livello di rischio.
  
  
• Autenticazione senza password, che utilizza qualcosa di diverso dalla password per verificare l'identità dell'utente, per esempio l'autenticazione biometrica o le chiavi di accesso.
  
  
• Single sign-on (SSO), che consente agli utenti di accedere a più app e servizi con un unico set di credenziali di accesso. I sistemi SSO utilizzano protocolli aperti come Security Assertion Markup Language (SAML) e OpenID Connect (OIDC) per condividere i dati di autenticazione tra i servizi.

I sistemi CIAM supportano anche l'autorizzazione, ovvero l'atto di concedere a utenti verificati i corretti permessi in un sistema. Il controllo degli accessi per i clienti è semplice: l'autenticazione permette di accedere al proprio account e nient'altro. Le organizzazioni possono invece utilizzare sistemi più granulari, come il controllo degli accessi basato sui ruoli (RBAC), per fornitori, collaboratori e altri partner. 

Molti sistemi CIAM offrono dashboard e report che gli amministratori possono utilizzare per tenere monitorare le attività del sistema e degli utenti, come autenticazioni, utilizzo delle app, tendenze di accesso e altri dati. Questi strumenti aiutano le organizzazioni a comprendere meglio sia i processi CIAM che gli utenti. 

Per offrire un'esperienza clienti ottimale, le soluzioni CIAM devono integrarsi con vari asset e sistemi. La maggior parte delle soluzioni CIAM dispone di application programming interface (API) predefinite, kit di sviluppo software (SDK) e altri strumenti e connettori per funzionare su app, siti web, dispositivi e altre esperienze digitali.

Per facilitare i workflow di orchestrazione delle identità, molti CIAM supportano anche metodi no-code e low-code per creare processi di autenticazione e autorizzazione unificati tra sistemi eterogenei.

Molte soluzioni CIAM supportano il bring your own identity (BYOI) e gli accessi social, che utilizzano terze parti come siti di social media e altre forme di identità federata come provider di identità. Invece di creare i propri account da zero, gli utenti possono importare i dettagli del proprio profilo da queste terze parti, comprese le credenziali.

Per proteggere i dati degli utenti, i sistemi CIAM includono controlli di sicurezza integrati come rilevamento delle frodi, verifica dell'identità, protezione dal furto degli account, rilevamento delle anomalie e autenticazione adattiva.

I CIAM sono anche in grado integrarsi con strumenti di sicurezza esterni, come le soluzioni SIEM (gestione delle informazioni e degli eventi di sicurezza), per rilevare e prevenire meglio attività sospette e attacchi informatici.

Sebbene le soluzioni CIAM e CRM aiutino entrambe a gestire i dati dei clienti, hanno scopi distinti. Gli strumenti CIAM sono rivolti al cliente e si concentrano sul consentire agli utenti di gestire i propri account nell'ecosistema di un'organizzazione. Gli strumenti CRM sono rivolti all'azienda e ai concentrano su funzioni come la generazione di lead e le pipeline di vendita.

I nomi di questi strumenti aiutano a evidenziare la distinzione: gli strumenti CIAM gestiscono le identità degli utenti, mentre gli strumenti CRM tengono traccia delle relazioni di un'azienda con i suoi utenti.

Questi strumenti spesso lavorano insieme, con i CIAM che trasmettono i dati dei clienti agli strumenti CRM per ulteriori analisi, ma in definitiva si tratta di due strumenti diversi con diverse serie di funzionalità.

Le soluzioni CIAM sono utilizzate in vari settori, tra cui:

• Customer experience
• Business intelligence e dati 
• Cybersecurity
• Servizi di pubblica amministrazione
• Attività B2B

Una violazione dei dati media costa a un'organizzazione 4,44 milioni di dollari. Secondo il report di IBM Cost of a Data Breach, alla base del 10% di queste violazioni vi sono credenziali rubate o compromesse.

Gli hacker di solito non possono accedere a sistemi aziendali sensibili con un account cliente rubato, ma possono comunque provocare notevoli danni, per esempio rubando dati personali ed effettuando acquisti fraudolenti. Se i clienti non ritengono che i sistemi di un'organizzazione siano sicuri, potrebbero smettere di utilizzarli.

Le organizzazioni hanno molte ragioni per proteggere gli account utente, ma se i requisiti di sicurezza sono troppo gravosi, gli utenti potrebbero rifiutarsi. I business partner, gli appaltatori e i fornitori potrebbero avere una tolleranza leggermente più elevata, ma la loro pazienza non è comunque infinita. 

I CIAM aiutano a bilanciare l'esperienza utente e la sicurezza dei consumatori permettendo alle organizzazioni di costruire esperienze di accesso convenienti e facilitando al contempo l'accesso sicuro dei clienti attraverso mezzi come l'autenticazione adattiva, che chiede agli utenti credenziali aggiuntive solo quando i livelli di rischio sono elevati.   

I CIAM possono semplificare e snellire il processo di conformità alle leggi sulla privacy dei dati e sulla sicurezza come il Regolamento generale sulla protezione dei dati (GDPR). Gli strumenti self-service di gestione del consenso permettono agli utenti di impostare le proprie preferenze e alle organizzazioni di tenere traccia dei consensi e delle preferenze. La gestione del consenso aiuta le organizzazioni a coltivare la fiducia dei clienti e a evitare sanzioni in caso di mancata conformità. 

Nel creare un'esperienza unificata per tutti i clienti, un CIAM crea anche una singola fonte affidabile per i dati dei clienti. Quando l'attività dei clienti è legata a profili specifici, diventa più facile per le organizzazioni sbloccare il valore di quei dati.

Gli utenti possono interagire con diverse parti di un patrimonio digitale ma, nel back-end, un unico CIAM gestisce tutte queste esperienze di accesso. Tutti i dati dell'identità del cliente vengono inseriti nello stesso repository. Così facendo, le organizzazioni non hanno più bisogno di unire più set di dati per ottenere una comprensione di base dei propri clienti.

I CIAM aiutano anche ad eliminare i silo. Indipendentemente da dove o come vengono acquisiti i dati dei clienti (iscrizioni alla newsletter, ordini, accessi alle app), verranno memorizzati nello stesso storage dei dati. Da lì, i dati possono essere condivisi con data warehouse, app di BI, modelli AI e altri strumenti di analytics.