Lo sento dire in continuazione, sia che parli con i clienti in fiera che con il team di prodotto di RSA. Le organizzazioni affermano di avere sotto controllo la governance delle identità perché hanno visibilità. Hanno dashboard, report e metriche che mostrano chi ha accesso a cosa nell'ambiente.
E, a dire il vero, non hanno tutti i torti. La visibilità è migliorata in modo significativo.
Ma se la visibilità fosse sufficiente, non saremmo ancora alle prese con gli stessi rischi.
Siamo in grado di vedere più che mai, eppure gli accessi eccessivi persistono, le violazioni delle policy permangono e i risultati delle verifiche si ripetono. A un certo punto diventa chiaro che il problema non è se riusciamo a vedere il problema. È se stiamo effettivamente facendo qualcosa per risolverlo.
In molte strategie di governance si parte dal presupposto che una migliore visibilità porti naturalmente a risultati migliori, ovvero che una volta esposti i problemi l'organizzazione risponda di conseguenza. Non è quello che vedo.
Vedo team che sono pienamente consapevoli dei rischi presenti nel loro ambiente, ma non hanno un modo chiaro per stabilire le priorità e agire di conseguenza. Gli accessi eccessivi vengono identificati ma non rimossi. Le violazioni vengono segnalate ma non affrontate con urgenza. Ai revisori viene chiesto di prendere centinaia o addirittura migliaia di decisioni sull'accesso in una varietà di team e ruoli, spesso senza il contesto necessario per prendere decisioni sicure. Quindi fanno quello che le persone tendono a fare quando sono sovraccariche: portano a termine il compito che hanno davanti. Nel tempo, la governance si sposta dalla riduzione del rischio alla gestione del carico di lavoro.
La sfida non è solo la quantità di dati. È la mancanza di priorità. Quando tutti i diritti, i ruoli e le violazioni delle policy vengono visualizzati allo stesso modo, diventa difficile determinare ciò che conta davvero. Non tutto comporta lo stesso livello di rischio, ma senza un modo per distinguere, tutto inizia a sembrare ugualmente importante.
È qui che la governance inizia a bloccarsi. I team si ritrovano con troppe informazioni e poche indicazioni, e mentre le revisioni vengono completate e i risultati documentati, il rischio sottostante non cambia in modo significativo.
Per colmare questo divario è necessario un approccio diverso. Invece di chiedere ai revisori di valutare tutto allo stesso modo, dobbiamo aiutarli a concentrarsi su ciò che effettivamente richiede attenzione. Invece di presentare più dati, dobbiamo ridurre il rumore. E invece di affidarci completamente all'interpretazione manuale, dobbiamo introdurre un'intelligenza in grado di guidare le decisioni. È qui che l'analisi e l'intelligenza artificiale iniziano a cambiare l'equazione, aiutando i team a evidenziare gli accessi ad alto rischio, a far emergere ciò che conta di più e ad agire con sicurezza.
È proprio in questo ambito che vedo le organizzazioni iniziare a fare progressi reali, ed è in questo ambito che abbiamo investito molto nel modo in cui supportiamo i nostri clienti. Da anni applichiamo l'apprendimento automatico e l'analisi nella governance delle identità, ma ciò che è cambiato di recente è il ritmo dell'innovazione e il modo in cui possiamo incorporare direttamente queste funzionalità nei flussi di lavoro quotidiani.
Non stiamo aggiungendo l'intelligenza artificiale solo per il gusto di farlo. Stiamo introducendo funzionalità che aiutano i team a dare priorità ai rischi, a fornire un contesto chiaro per le decisioni e a guidare le azioni direttamente all'interno dei loro flussi di lavoro di governance. Invece di chiedere ai revisori di passare al setaccio grandi volumi di dati di accesso, li aiutiamo a concentrarsi su ciò che conta davvero e ad agire dove l'impatto è maggiore. Il passaggio dalla visibilità all'azione guidata è il momento in cui la governance inizia a fornire un valore reale.
Se tutto questo vi suona familiare, non siete i soli. Molte organizzazioni hanno investito molto nella visibilità, per poi scoprire che non si è tradotta in una significativa riduzione dei rischi.
Volete vedere come si riduce il rischio nella pratica? Partecipate al nostro prossimo webinar, Perché la governance dell'identità si rompe su larga scala e come l'intelligenza artificiale la risolve, in cui spiegheremo come analizzare i dati sull'identità, dare priorità ai rischi e agire con sicurezza.
