La governance e l'amministrazione delle identità (IGA) è la disciplina della cybersecurity che gestisce la conformità normativa per le identità digitali e i diritti di accesso degli utenti in un sistema informatico. L'IGA aiuta le organizzazioni a rispettare le normative e i mandati di sicurezza controllando chi ha accesso a quali risorse, perché e per quanto tempo.
Man mano che le organizzazioni gestiscono migliaia di account utente su sistemi on-premise, servizi cloud e app Software as a Service (SaaS), tracciando chi ha accesso a ciò che diventa sempre più complesso.
Ogni identità digitale, che rappresenti un utente, un dispositivo o un'applicazione, costituisce un potenziale punto di accesso a sistemi critici e dati sensibili. Senza una governance adeguata, questo ecosistema in continua espansione crea notevoli rischi per la sicurezza e sfide in materia di conformità.
Secondo il report IBM® Cost of a Data Breach, le credenziali sottratte o compromesse sono il vettore di violazione iniziale più comune e rappresentano il 16% delle violazioni dei dati. Quando gli hacker mettono le mani su credenziali legittime, possono spostarsi liberamente attraverso le reti, accedendo a dati e sistemi sensibili.
Le soluzioni di governance e amministrazione delle identità contribuiscono a proteggersi dagli attacchi basati sull'identità e a prevenire potenziali violazioni dei dati.
Gli strumenti IGA possono automatizzare il provisioning degli utenti, implementare politiche di accesso e condurre recensioni regolari degli accessi durante l'intero ciclo di vita dell'identità, dall'onboarding al deprovisioning e all'offboarding. Queste funzioni offrono alle organizzazioni una maggiore supervisione sulle autorizzazioni e sulle attività degli utenti, il che rende più facile rilevare e bloccare l'uso improprio e l'abuso dei privilegi.
Le soluzioni IGA aiutano anche a garantire la conformità normativa continua a mandati come il Regolamento generale sulla protezione dei dati (GDPR), l'Health Insurance Portability and Accountability Act (HIPAA) e il Sarbanes-Oxley(SOX) Act. L'IGA aiuta a garantire che l'accesso ai sistemi e ai dati sensibili sia assegnato correttamente e rivisto regolarmente, generando al contempo tracce di controllo per supportare gli audit interni ed esterni.
Newsletter di settore
Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e altro con la newsletter Think. Leggi l'Informativa sulla privacy IBM.
L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.
L'IGA e la gestione delle identità e degli accessi (IAM) sono framework correlati ma distinti nell'ambito della sicurezza delle identità. La gestione delle identità e degli accessi (IAM) si occupa del modo in cui gli utenti accedono alle risorse, mentre IGA aiuta a garantire che le persone utilizzino il loro accesso in modo appropriato.
Gestione delle identità e degli accessi (IAM) gestisce gli aspetti operativi della sicurezza delle identità, come la gestione delle password, l'autenticazione, l'autorizzazione dell'accesso quotidiano e la gestione degli account. L'IGA estende la gestione delle identità e degli accessi (IAM) aggiungendo funzionalità, tra cui funzioni di supervisione, applicazione delle politiche e conformità.
Si può pensare all'IAM e all'IGA come alla risposta a un insieme di domande complementari:
In pratica, le organizzazioni implementano insieme gli strumenti IAM e IGA. Ad esempio, se un analista finanziario passa al marketing, l'IAM gestisce gli aspetti tecnici della modifica dei privilegi di accesso, mentre l'IGA aiuta a garantire che tali modifiche siano in linea con le politiche aziendali.
Le soluzioni IGA sono nate per aiutare le organizzazioni a gestire la crescente complessità degli ambienti IT aziendali, il mutevole panorama delle minacce informatiche e l'evoluzione dei mandati di conformità.
Le reti aziendali oggi abbracciano sistemi on-premise, provider di cloud privati e pubblici , postazioni di lavoro remote e numerose applicazioni SaaS. Questa complessità rende quasi impossibile la governance manuale delle identità e aumenta i rischi per la sicurezza.
Le soluzioni IGA aiutano ad affrontare ambienti IT complessi attraverso visibilità centralizzata, connettori che collegano sistemi eterogenei e automazione dei workflow principali.
Molte soluzioni di governance delle identità forniscono dashboard e console di gestione unificate che consentono visibilità e controllo centralizzati in diversi ambienti.
Ad esempio, le organizzazioni utilizzano spesso gli strumenti IGA per visualizzare tutte le autorizzazioni utente su servizi cloud, sistemi on-premise e applicazioni di terze parti da un'unica interfaccia. Questo aiuta a garantire che le organizzazioni possano mantenere politiche di accesso coerenti indipendentemente da dove sono ospitate le applicazioni.
Le soluzioni IGA includono connettori e interfacce predefinite che collegano applicazioni e piattaforme all'interno dello stack di un'organizzazione per consentire una governance unificata delle identità. I connettori consentono di sincronizzare i dati degli utenti, convertire le politiche di accesso tra i sistemi e mantenere controlli coerenti tra applicazioni precedentemente isolate.
Ad esempio, una società di servizi finanziari può utilizzare i connettori per integrare il suo sistema bancario principale, la piattaforma di Customer Relationship Management (CRM) e il database delle risorse umane con uno strumento IGA centrale. Questa integrazione semplifica la regolazione dei diritti di accesso in tutti i sistemi quando il ruolo di un dipendente cambia.
Le soluzioni IGA utilizzano l'automazione per semplificare i workflow di gestione delle identità, eliminare i lunghi processi manuali e ridurre il numero di ticket che i team IT devono presentare all'help desk. Solitamente, gli strumenti IGA supportano:
Senza una soluzione IGA, il personale IT deve creare manualmente account utente in più sistemi durante l'onboarding di nuovi dipendenti. Gli strumenti IGA possono semplificare questo processo eseguendo automaticamente il provisioning degli account su tutti i sistemi richiesti in tempo reale in base al ruolo dell'utente.
Gli attacchi informatici si sono evoluti e gli attori delle minacce prendono sempre più di mira le identità anziché le infrastrutture di rete. La sicurezza tradizionale basata sul perimetro non è più sufficiente quando gli utenti possono accedere alle risorse aziendali da qualsiasi luogo e su qualsiasi dispositivo.
Secondo l'IBM® X-Force Threat Intelligence Index, l'abuso di account validi è uno dei metodi più comuni utilizzati dagli hacker per entrare nelle reti aziendali e rappresentano il 30% di tutti gli attacchi informatici.
Le soluzioni IGA possono aiutare a ridurre la superficie di attacco e limitare i danni applicando il principio del privilegio minimo. Questo significa che gli utenti hanno solo l'accesso necessario per svolgere il proprio lavoro, né più né meno.
Le soluzioni IGA possono anche aiutare a migliorare il livello di sicurezza di un'organizzazione in altri modi:
Per proteggere ulteriormente gli account privilegiati ad alto rischio con diritti di accesso elevati, le organizzazioni spesso integrano l'IGA con strumenti di gestione degli accessi privilegiati (PAM), che si concentrano specificamente sulla protezione degli account privilegiati, come gli account amministratore.
Alcune soluzioni IGA forniscono anche funzionalità di rilevamento e correzione delle minacce in tempo reale per aiutare a prevenire violazioni della conformità e dei dati.
I requisiti di conformità come GDPR, HIPAA, SOX e altri mandati impongono regole sul modo in cui le organizzazioni gestiscono i dati. Le sanzioni per il mancato rispetto delle norme possono essere significative. Le violazioni del GDPR, per esempio, possono comportare multe fino a 22 milioni di dollari o al 4% del fatturato globale annuale di un'azienda, a seconda di quale sia l'importo più alto.
Le soluzioni IGA forniscono controlli e documentazione che le organizzazioni possono utilizzare per semplificare la conformità:
Un operatore sanitario, ad esempio, può utilizzare gli strumenti IGA per far rispettare la conformità HIPAA limitando l'accesso alle cartelle dei pazienti in base alle responsabilità lavorative e mantenendo registri dettagliati di chi accede alle cartelle.
Gli strumenti e le pratiche IGA si concentrano sulla governance delle identità digitali e delle autorizzazioni di accesso durante l'intero ciclo di vita dell'utente, dall'onboarding all'offboarding.
I due componenti principali di IGA includono la gestione del ciclo di vita delle identità e la governance degli accessi.
La gestione del ciclo di vita delle identità comporta la creazione, la modifica e la disattivazione delle identità degli utenti quando questi entrano a far parte di un'organizzazione, si spostano al suo interno o la abbandonano. Può garantire che i nuovi utenti ricevano l'accesso appropriato sin dal primo giorno e che l'accesso venga prontamente rimosso durante l'offboarding.
Se un dipendente cambia ruolo, gli strumenti IGA possono revocare automaticamente le autorizzazioni obsolete e assegnarne di nuove in base alle responsabilità aggiornate.
I principali processi di gestione del ciclo di vita delle identità includono:
La governance degli accessi controlla chi ha accesso a quali risorse e aiuta a garantire che l'accesso rimanga appropriato nel tempo. Fornisce il livello di supervisione per la gestione delle identità, concentrandosi sull'applicazione delle politiche, sulle verifica degli accessi e sulla conformità.
Le principali funzioni di governance degli accessi includono:
Il controllo degli accessi basato sui ruoli (RBAC) assegna autorizzazioni agli utenti in base ai ruoli organizzativi, anziché assegnare permessi individuali a ciascun utente. Ad esempio, un ruolo finanziario potrebbe autorizzare un utente ad effettuare acquisti, mentre un ruolo delle risorse umane potrebbe autorizzare un utente a vedere i file del personale.
Le funzionalità di gestione dei ruoli nelle soluzioni IGA consentono alle organizzazioni di definire, gestire e mantenere i ruoli nel tempo.
Grazie alla RBAC, le soluzioni IGA possono gestire l'accesso di migliaia di utenti senza dover assegnare le autorizzazioni individuali una a una. Quando un dipendente si unisce a un reparto, lo cambia o se ne va, gli amministratori possono semplicemente assegnare o rimuovere ruoli standardizzati anziché dover riconfigurare decine di autorizzazioni di sistema separate.
La separazione delle mansioni (SoD), chiamata anche separazione dei doveri, è un principio di sicurezza che previene i conflitti di interesse garantendo che nessuna persona abbia privilegi di accesso eccessivi.
Le soluzioni IGA aiutano a far rispettare la SoD identificando e prevenendo combinazioni di diritti che possono portare a frodi o usi impropri.
Ad esempio, in un processo di procurement, la stessa persona non dovrebbe essere in grado di aggiungere un nuovo fornitore al sistema e allo stesso tempo approvare i pagamenti a tale fornitore. Una soluzione IGA può contrassegnare questo accordo come una violazione del SoD e bloccarlo completamente o richiedere ulteriori approvazioni.
La certificazione dell'accesso comporta la verifica periodica dei diritti di accesso degli utenti per assicurarsi che rimangano appropriati nel tempo. Queste verifiche in genere coinvolgono manager o proprietari di risorse che confermano che i membri del team hanno ancora bisogno dei loro attuali privilegi di accesso.
Le soluzioni IGA possono contribuire a semplificare le verifiche degli accessi avviandole automaticamente e regolarmente. I diritti di accesso ad alto rischio, come l'accesso ai sistemi finanziari, potrebbero essere esaminati più frequentemente rispetto alle autorizzazioni a basso rischio.
Alcune soluzioni IGA possono anche fornire consigli per le modifiche di accesso in base ai modelli di utilizzo, ad esempio contrassegnando le autorizzazioni inutilizzate di cui un utente potrebbe non aver bisogno.
La gestione dei diritti è la componente più dettagliata della governance degli accessi e si concentra sulle autorizzazioni di cui dispongono gli utenti all'interno dei sistemi. In altre parole: la governance degli accessi controlla ciò a cui gli utenti possono accedere, mentre la gestione delle autorizzazioni controlla ciò che gli utenti possono fare con tale accesso.
Ad esempio, in un sistema di contabilità, la gestione dei diritti si occuperebbe di controlli granulari come quali utenti possono visualizzare i record finanziari, quali possono modificarli e quali possono eliminarli.
Le funzionalità aggiuntive di gestione delle autorizzazioni includono:
I progressi nell'AI stanno introducendo nuove sfide e opportunità all'IGA.
Gli attori delle minacce stanno utilizzando nuovi strumenti di AI generativa per prendere di mira i workflow e i controlli IGA. Ad esempio, utilizzando l'AI per generare deepfake e messaggi di phishing convincenti, gli aggressori possono ingannare gli utenti legittimi inducendoli a fornire le proprie credenziali. Gli attori più sofisticati potrebbero addirittura utilizzare strumenti di machine learning (ML) per analizzare le strutture dei permessi e identificare opportunità di elusione delle politiche per aggirare i controlli IGA.
Allo stesso tempo, i fornitori utilizzano l'AI per trasformare le loro soluzioni IGA da punti di controllo statici di conformità in sistemi adattivi di gestione del rischio. Alcuni esempi di come le soluzioni IGA utilizzano l'AI includono:
Scopri il mercato dei prodotti e dei servizi per la gestione degli accessi e trova il prodotto più adatto per la tua organizzazione.
Ottieni una definizione chiara di identity fabric e scopri in che modo l'identity fabric consente un controllo e una visibilità continui.
I costi delle violazioni dei dati non sono mai stati così elevati. Ottieni informazioni essenziali per aiutare i tuoi team di sicurezza e IT a gestire meglio i rischi e limitare le potenziali perdite.
Modernizza l'identità e integra gli strumenti di identità esistenti, fornendo al contempo un accesso sicuro e senza intoppi per qualsiasi identità all'AI, alle app e alle risorse on-premise, sul cloud o SaaS.
Scopri soluzioni e servizi di sicurezza aziendale intelligenti per aiutare la tua azienda a prepararsi oggi alle minacce di cybersecurity di domani.
Instrada il tuo programma di gestione delle identità e degli accessi (IAM) per la forza lavoro e i consumatori verso il successo con competenze, strategia e supporto da parte di esperti di identità e sicurezza.
Scopri IBM Verify, una piattaforma di gestione delle identità e degli accessi (IAM) leader del settore che offre funzionalità basate su AI per la gestione della forza lavoro e delle esigenze dei clienti.