Vai al contenuto
Sintesi

I programmi di governance dell'identità in tutti i settori industriali si basano su un presupposto errato: ovvero che le revisioni periodiche degli accessi, le politiche documentate e le relazioni di audit positive costituiscano una strategia di sicurezza sostenibile. Ma non è così.

Il panorama delle minacce è cambiato radicalmente. Le identità, sia umane che non umane, vengono create, modificate e sfruttate in pochi millisecondi. I diritti di accesso cambiano continuamente tra un ciclo di revisione e l'altro. E quando si verifica una violazione, revisori, autorità di regolamentazione, ispettori, assicuratori e avvocati non chiedono se esistessero delle politiche. Chiedono se tali politiche fossero applicate, in tempo reale, nel momento in cui si è verificato l'incidente.

Il presente documento sostiene che il modello tradizionale di governance e amministrazione delle identità (IGA), basato su campagne di revisione annuali o trimestrali, crei quello che definiamo il ‘divario di negligenza’: un abisso sempre più ampio tra ciò che è stabilito nella documentazione normativa statica di un’organizzazione e ciò che i suoi sistemi dinamici fanno effettivamente. Se non affrontato, questo divario non è solo un rischio per la sicurezza. È una responsabilità e, per gli istituti finanziari e le agenzie governative, è anche un riscontro di audit in agguato.

L'alternativa è il passaggio all'Active Defense Governance (ADG), un modello in cui la governance opera come un piano di controllo continuo, automatizzato e basato sul rischio, anziché come un semplice esercizio di attestazione periodica. Se implementata in modo efficace, l'ADG trasforma la governance delle identità da un centro di costo legato alla conformità a una capacità operativa di sicurezza e, soprattutto, a una fonte di difendibilità in caso di contenzioso.

Il presente documento di sintesi intende fornire a professionisti, responsabili di programma e dirigenti un quadro di riferimento per valutare e sviluppare la propria strategia in materia di IGA, superando le mere attività periodiche di conformità per orientarsi verso un modello ADG continuo e sostenibile. Il documento illustrerà in dettaglio:

  • Perché il tradizionale ciclo di revisione IGA non è più adeguato ai rischi odierni
  • In che modo il conseguente vuoto di governance comporta rischi legali e normativi
  • Un quadro di riferimento per l'implementazione dell'ADG, dalle capacità di base alla piena difendibilità
  • Gli indicatori che le organizzazioni possono utilizzare per valutare l'efficacia dell'ADG
  • Considerazioni sull'implementazione per le organizzazioni in qualsiasi fase di maturità della governance
Il problema del "teatro della conformità"

Il paradosso della revisione senza rilievi

Oggi le organizzazioni ottengono regolarmente ottimi risultati negli audit SOC 2 di Tipo II, nelle valutazioni di preparazione al GDPR, nelle verifiche di conformità DORA e negli audit di sicurezza CJIS, per poi subire violazioni legate all’identità nel giro di poche settimane dal ricevimento di tale attestato di conformità. Non si tratta di una coincidenza. È una conseguenza strutturale del modo in cui sono progettati i tradizionali quadri di conformità e di come le organizzazioni vi rispondono.

I quadri normativi di conformità, per loro natura, valutano una determinata situazione in un dato momento. Un incarico SOC 2 valuta se i controlli erano in atto e funzionavano efficacemente durante un periodo definito. Un audit CJIS verifica che le politiche di accesso relative alle informazioni sulla giustizia penale siano documentate e rispettate.

I modelli differiscono tra loro, ma condividono lo stesso limite: un determinato periodo, un'istantanea della situazione, non continuo applicazione.

Gli istituti finanziari soggetti alle linee guida FFIEC, alla Parte 500 del NYDFS o allo standard PCI DSS v4.0 si trovano ad affrontare revisori che richiedono sempre più spesso prove dell’efficacia dei controlli su base continuativa, anziché semplici attestazioni relative a un determinato momento. Le agenzie federali soggette a FISMA, FedRAMP o NIST SP 800-53 operano secondo modelli di governance che documentano i controlli al momento dell'autorizzazione, ma tale documentazione potrebbe non riflettere l'applicazione operativa tra un ciclo di revisione e l'altro. In ogni caso, il quadro di audit cattura un momento. L'ambiente delle minacce non si ferma per il ciclo di revisione.

Il risultato è ciò che gli esperti definiscono sempre più spesso il «paradosso dell’audit pulito» o il «paradosso della conformità»: più un’organizzazione crede con convinzione ai propri risultati di audit, più potrebbe in realtà essere vulnerabile. Un quadro di controllo verde generato sulla base di dati risalenti a tre, sei o undici mesi fa non è una prova di controllo. È una prova di passato controllo, e in caso di violazione, questa distinzione è fondamentale.

Se oggi la vostra organizzazione subisse una grave violazione dei dati personali, gli investigatori non vi chiederebbero se disponete di una politica di governance. Vi chiederebbero piuttosto se tale politica fosse in vigore e venisse applicata nel momento in cui si è verificata la violazione. Se la risposta fosse “la rivediamo ogni anno”, non sareste solo vulnerabili. Sareste indifendibili.

Il decadimento dell'audit: la data di scadenza nascosta di ogni revisione

Ogni campagna di certificazione degli accessi, revisione dei diritti e verifica dei ruoli ha una data di scadenza che nessuno documenta. Nel momento in cui una campagna si conclude, i dati che ha certificato iniziano a discostarsi dalla realtà. A questo fenomeno lo chiamiamo "decadimento dell'audit".

Negli ambienti aziendali moderni, le identità e i diritti di accesso ad esse associati non sono statici. Gli account di servizio vengono creati e configurati in modo errato. I collaboratori esterni vengono inseriti nell'organizzazione e i loro ambiti di accesso si estendono oltre le intenzioni iniziali. I dipendenti cambiano ruolo e accumulano autorizzazioni che non sono mai state revocate. Le identità non umane, tra cui chiavi API, account macchina, Agentic AI e bot di automazione dei processi robotica (RPA), si moltiplicano nell'infrastruttura con una supervisione minima.

In questo contesto, un ciclo di revisione trimestrale comporta che le deviazioni negli accessi rimangano inosservate per un periodo che può arrivare fino a novanta giorni prima che possano essere individuate. Una revisione annuale comporta fino a un intero anno di esposizione non monitorata. La comunità degli avversari è ben consapevole di questa dinamica. I tempi di permanenza per gli attacchi basati sull'identità si misurano in settimane e mesi, non in ore, proprio perché le cadenze di governance tradizionali creano finestre di opportunità prevedibili.

La revisione del supervisore: lo strumento meno affidabile della governance

La forma più comune di revisione degli accessi nei programmi IGA aziendali è la certificazione da parte del supervisore o del responsabile: una richiesta periodica in cui ai responsabili viene chiesto di esaminare i diritti dei propri diretti subordinati e di confermare che tali accessi rimangano appropriati. Questa pratica è profondamente radicata nei quadri normativi di conformità e nelle aspettative di audit. È anche uno dei controlli meno efficaci nell'arsenale degli strumenti per la sicurezza delle identità.

I problemi strutturali sono ben noti. Ai dirigenti vengono presentati grandi volumi di dati relativi ai diritti di accesso, ma non dispongono delle competenze tecniche necessarie per valutarli in modo significativo. Le revisioni sono soggette a vincoli di tempo e entrano in conflitto con le responsabilità aziendali principali. E la soluzione più facile, ovvero approvare automaticamente il profilo di accesso esistente, non comporta conseguenze immediate, anche quando ciò contribuisce a perpetuare il rischio.

Il risultato è un'apatia indotta dalle verifiche: un comportamento organizzativo acquisito in cui i revisori considerano le campagne di certificazione come semplici obblighi amministrativi piuttosto che come vere e proprie attività di gestione del rischio. Si tratta di una dinamica che si autoalimenta. .

Nel contempo, i tipi di verifica che hanno maggiori probabilità di individuare rischi significativi – tra cui le verifiche dei diritti di accesso ai ruoli, le verifiche delle eccezioni alle politiche, le verifiche dell'accesso ai dati non strutturati e gli audit delle identità non umane – sono tra quelli meno comunemente effettuati. Tali verifiche richiedono competenze specifiche nel settore e una responsabilità in prima persona che i modelli incentrati sui supervisori non sono progettati per garantire.

Il "vuoto di responsabilità" e le sue conseguenze giuridiche

Quando la governance diventa un peso

Per gran parte degli ultimi vent'anni, le principali conseguenze di una governance delle identità carente sono state di natura operativa: violazioni, perdita di dati, danni alla reputazione. I rischi legali e normativi, pur essendo reali, venivano spesso affrontati attraverso impegni di rimedio e accordi transattivi.

Questo approccio sta cambiando. Gli obblighi di informativa previsti dalla SEC impongono ora la segnalazione tempestiva e accurata degli incidenti di sicurezza informatica rilevanti, e le autorità di regolamentazione stanno valutando attivamente se le organizzazioni abbiano esercitato una diligenza ragionevole nelle loro pratiche di sicurezza, e non solo se abbiano rispettato una lista di controllo. Il regolamento DORA, in vigore per tutti gli enti finanziari dell'UE, stabilisce requisiti espliciti per la gestione dei rischi legati alle tecnologie dell'informazione e della comunicazione (TIC) e la risposta agli incidenti, che si estendono ai controlli di accesso e di identità di terze parti. I requisiti della politica di sicurezza CJIS per l'accesso alle informazioni di giustizia penale sono rigorosi e non negoziabili, e le violazioni dei controlli di accesso comportano gravi conseguenze a livello federale. Per gli istituti finanziari e le agenzie governative, i revisori si concentrano sempre più sul fatto che i controlli funzionino in modo continuativo, non solo sul fatto che fossero in atto durante l'ultima revisione.

In questo contesto, un'azione legale o un procedimento normativo a seguito di una violazione non terrà conto dell'esistenza o meno di un programma di governance da parte dell'organizzazione. Si concentrerà invece sul fatto che tale programma fosse operativo e applicato al momento dell'incidente. La fase istruttoria richiederà i registri di accesso, i registri di certificazione, le approvazioni delle eccezioni e le prove dell'applicazione delle politiche. La questione non sarà di natura filosofica, ma probatoria.

Un'organizzazione in grado di fornire solo documenti di certificazione annuali e nessuna prova di un monitoraggio continuo non ha dimostrato la propria conformità. Ha invece messo in luce il divario tra la propria politica documentata e il proprio effettivo livello di sicurezza, e lo ha fatto nel contesto più dannoso possibile.

Definizione del divario di negligenza

Il "Negligence Gap" è il divario sempre più ampio tra quanto stabilito dalla documentazione normativa statica di un'organizzazione e ciò che i suoi sistemi di identità dinamici fanno effettivamente tra un ciclo di revisione e l'altro. Non si tratta di un rischio teorico, bensì di un'esposizione documentata che aumenta con il passare dei giorni tra un intervento di governance e l'altro.

Il divario è determinato da diversi fattori:

In primo luogo, la deriva degli accessi: l'accumulo di diritti, assegnazioni di ruoli (comprese definizioni di ruoli obsolete) e concessioni di autorizzazioni che si verificano tra un periodo di revisione e l'altro senza che ciò comporti alcuna azione di governance.

In secondo luogo, la latenza di rilevamento: il tempo che intercorre tra il verificarsi di un'anomalia di accesso e il momento in cui l'organizzazione ne viene a conoscenza attraverso il proprio processo di governance.

In terzo luogo, il ritardo nella correzione: il tempo che intercorre tra l'individuazione e l'effettiva revoca o correzione di un accesso non conforme alle politiche.

In caso di violazione, il "Negligence Gap" è l'ambito in cui ricade la responsabilità. I legali dei ricorrenti e le autorità di regolamentazione lo valuteranno in termini temporali: per quanto tempo è rimasto attivo l'accesso compromesso, quando avrebbe dovuto essere individuato e cosa avrebbe fatto diversamente un programma di governance ragionevole.

Identità non umane: la superficie di attacco non controllata

Il perimetro delle identità si è ampliato notevolmente oltre gli utenti umani. Gli account di servizio, i token API, le identità delle macchine, i bot RPA e gli agenti di intelligenza artificiale costituiscono ormai una quota consistente del totale delle identità nella maggior parte degli ambienti aziendali. Queste identità non umane operano spesso con privilegi elevati, raramente vengono prese in considerazione nelle campagne di revisione da parte dei supervisori e dispongono di ambiti di accesso che si evolvono in modo organico man mano che i sistemi e le integrazioni cambiano.

Dal punto di vista di un aggressore, le identità non umane rappresentano un obiettivo estremamente allettante: privilegi elevati, scarsa visibilità e un lungo periodo di permanenza prima dell'individuazione. Dal punto di vista legale, gli account di servizio compromessi utilizzati come vettori di movimento laterale sollevano interrogativi precisi sul fatto che le organizzazioni abbiano mantenuto un controllo efficace su tutti i tipi di identità, non solo su quelle che figurano nell'organigramma.

I programmi di governance che non sono in grado di dimostrare un monitoraggio attivo e l'applicazione delle politiche relative alle identità non umane presentano un punto cieco strutturale di cui autorità di regolamentazione, avvocati e malintenzionati sono sempre più consapevoli.

Governance della difesa attiva: un quadro di riferimento per il controllo continuo

Il cambiamento filosofico

La governance della difesa attiva (ADG) rappresenta un riorientamento fondamentale del modo in cui viene concepita e messa in pratica la governance delle identità. Il modello tradizionale si chiede: «Chi ha accesso?». Il modello ADG si chiede: «Perché questa identità dispone di tale accesso, proprio in questo momento, e tale accesso è coerente con la politica attuale e il profilo di rischio?».

Non si tratta semplicemente di una distinzione filosofica. Essa riflette un cambiamento strutturale nel modo in cui la governance opera all'interno dell'ambiente delle operazioni di sicurezza. Nel modello tradizionale, la governance è una funzione periodica, una campagna che viene avviata, conclusa e poi rimane in attesa di essere ripresa. Nel modello ADG, la governance è un flusso continuo di dati: ogni evento di accesso, azione di provisioning e modifica dei diritti viene valutato rispetto alla policy in tempo reale, con capacità di risposta automatizzate che non richiedono cicli di revisione umana per avere effetto.

In questo modello, la campagna di certificazione formale degli accessi non scompare, ma viene ridefinita. Anziché fungere da meccanismo di controllo primario, le certificazioni periodiche servono a confermare e attestare ciò che il monitoraggio continuo ha già individuato, gestito e documentato. La campagna convalida il sistema e le politiche; non costituisce più il sistema stesso.

Competenze fondamentali di un programma ADG

Un programma efficace di governance della difesa attiva si basa su diverse capacità interdipendenti:

  • Monitoraggio continuo degli accessi con valutazione delle politiche in tempo reale, che sostituisce i cicli di revisione statici con meccanismi di governance basati sugli eventi
  • Priorità nella certificazione basata sul rischio, che concentra le risorse dedicate alla verifica manuale sulle autorizzazioni e sulle identità a più alto rischio, anziché distribuirle in modo uniforme su tutti gli accessi
  • L'assegnazione degli accessi "just-in-time" (JIT), in cui l'accesso viene concesso per un periodo di tempo definito qualora il rischio lo giustifichi, e in cui tale assegnazione è legata a un'esigenza comprovata piuttosto che a un diritto permanente
  • Gestione delle identità non umane, che applica lo stesso monitoraggio continuo e la stessa applicazione delle politiche agli account di servizio, alle credenziali API, all'intelligenza artificiale, ai bot RPA e alle identità delle macchine, così come avviene per gli utenti umani
  • Misurazione del Time-to-Revocation (TTR), che rileva il tempo trascorso tra un evento di modifica dell'identità e la revoca dell'accesso interessato, come parametro di sicurezza primario

Registrazione automatizzata e conforme ai requisiti di audit che genera registrazioni continue e a prova di manomissione relative alle decisioni di accesso, alle valutazioni delle politiche e alle azioni di governance, immediatamente disponibili per eventuali verifiche normative o legali

Governance just-in-time e allineamento con il modello Zero Trust

La governance degli accessi "just-in-time" affronta una delle debolezze strutturali più persistenti della tradizionale IGA: i privilegi permanenti. Nella maggior parte degli ambienti aziendali, l'accesso viene concesso e poi rimane attivo fino a quando non viene esplicitamente revocato, il che in pratica spesso significa che l'accesso persiste a tempo indeterminato. I privilegi permanenti sono uno dei principali fattori che favoriscono il movimento laterale e l'escalation dei privilegi negli attacchi basati sull'identità.

La governance JIT ribalta questo modello per le richieste di accesso ad alto rischio, non per le risorse di uso quotidiano come la posta elettronica. Anziché considerare tutti i privilegi come permanenti fino alla revoca, applica autorizzazioni limitate nel tempo e valutate in base alle politiche laddove l'accesso permanente comporta il rischio maggiore. Ogni evento di accesso elevato o sensibile diventa una decisione di governance, non un artefatto del passato. L'obiettivo non è creare attrito per ogni richiesta di accesso, ma garantire che, laddove il rischio lo giustifichi, l'accesso sia deliberato, limitato nel tempo e legato a un'esigenza verificata, piuttosto che un accesso permanente che persiste semplicemente perché è stato concesso in passato.

Questo approccio è perfettamente in linea con i principi dell'architettura Zero Trust, in particolare con il requisito della verifica continua e dell'applicazione del principio del privilegio minimo. Inoltre, produce gli artefatti di governance più facilmente difendibili in un contesto normativo o contenzioso: questi artefatti sono contrassegnati da data e ora, collegati alle politiche, automatizzati e dimostrano ciò che la funzione di governance di un'organizzazione fa nella pratica piuttosto che ciò a cui aspira in teoria. Quando gli investigatori chiedono perché una determinata identità abbia avuto accesso a una particolare risorsa in un determinato momento, un modello di governance JIT fornisce una risposta precisa e documentata.

Misurare ciò che conta davvero

Indicatori che riflettono la realtà in materia di sicurezza

I programmi di governance sono stati storicamente valutati in base ai tassi di completamento delle campagne: la percentuale di revisioni certificate entro un periodo di tempo prestabilito. Questo indicatore è quasi del tutto slegato dai risultati in termini di sicurezza. Un tasso di completamento delle campagne pari al cento per cento, ottenuto tramite approvazioni di pura formalità, è indice di conformità amministrativa, non di gestione del rischio.

Un programma ADG richiede una serie di indicatori diversi, orientati alla situazione effettiva della sicurezza e alla difendibilità giuridica. Tra gli indicatori chiave da prendere in considerazione figurano:

  • Tasso di applicazione delle politiche (continuo), che sostituisce il tasso di completamento delle campagne come indicatore di controllo principale
  • Tasso di rilevamento delle anomalie in tempo reale, che misura la percentuale di anomalie di accesso rilevate entro le finestre SLA definite
  • Time-to-Revocation (TTR), ovvero il tempo trascorso dall'attivazione dell'evento di identità alla revoca dell'accesso
  • Copertura delle identità non umane, che misura la percentuale di identità non umane soggette a governance attiva
  • Tasso di adozione dell'accesso JIT, che rileva la percentuale di accessi privilegiati concessi tramite meccanismi JIT rispetto ai privilegi permanenti
  • Verifica della completezza delle prove di audit, misurando la disponibilità e l'integrità dei registri di governance continui per un determinato periodo

Il tempo di revoca come indicatore a livello di consiglio di amministrazione

Il Time-to-Revocation (TTR) merita particolare attenzione poiché misura direttamente il lasso di tempo a disposizione di un aggressore a seguito di un evento relativo all'identità che ne fa scattare l'attivazione, che si tratti di una cessazione del rapporto di lavoro, di un cambio di ruolo, del rilevamento di un'anomalia o di una violazione delle politiche.

Le organizzazioni dotate di solide capacità di governance continua misurano il TTR in minuti. Le organizzazioni che si affidano a cicli di revisione periodici lo misurano in giorni, settimane o, per i tipi di accesso non coperti dalle campagne standard, potenzialmente a tempo indeterminato (ammesso che lo misurino). Questa differenza non è una sfumatura. È la differenza tra un attacco all'identità che viene contenuto e uno che diventa una violazione grave. Per gli istituti finanziari e le agenzie governative, questa differenza è importante ben oltre il centro operativo di sicurezza. Gli ispettori si aspettano sempre più spesso una risposta precisa e documentata sulla rapidità con cui l'accesso è stato revocato a seguito di un evento scatenante, non un riferimento al ciclo di certificazione successivo.

Il TTR è inoltre uno degli indicatori più efficaci per la rendicontazione a livello di consiglio di amministrazione, poiché traduce le capacità tecniche di governance in risultati tangibili in termini di riduzione del rischio. Un'organizzazione in grado di dimostrare un TTR medio inferiore a quindici minuti a seguito di un evento di terminazione ha fornito un'indicazione significativa del proprio livello di sicurezza, cosa che il tasso di completamento delle campagne non è in grado di trasmettere.

Aspetti relativi all'implementazione

Il continuum della maturità

Il passaggio da un IGA orientato alla conformità a un ADG non è un cambiamento che avviene in un unico passo. Si tratta di un percorso di maturazione che la maggior parte delle organizzazioni affronterà in modo graduale, partendo dalle categorie di identità a più alto rischio ed estendendo la copertura nel tempo.

Un modello pratico di maturità per l'adozione dell'ADG si articola in quattro fasi:

  • Fase 1 | Fondamenti: inventario centralizzato delle identità, flussi di lavoro coerenti per l'assegnazione e la revoca dei diritti di accesso e campagne di certificazione degli accessi di base. Questa fase costituisce il prerequisito per tutte le fasi successive.
  • Fase 2 | Consapevolezza dei rischi: introduzione della valutazione del rischio per identità e autorizzazioni, definizione delle priorità nelle attività di revisione in base al peso del rischio e implementazione iniziale delle funzionalità di rilevamento delle anomalie.
  • Fase 3 | Continua: valutazione delle politiche in tempo reale, trigger di governance basati sugli eventi, misurazione del TTR e integrazione con gli strumenti delle operazioni di sicurezza. Questa è la soglia ADG.
  • Fase 4 | Difendibile: governance degli accessi JIT applicata nei casi in cui l'accesso permanente comporti il rischio maggiore, copertura completa delle identità non umane, registrazione continua a livello di audit e automazione della rendicontazione normativa. Questa fase rappresenta una posizione pronta per eventuali contenziosi.

L'intelligenza artificiale come fattore moltiplicatore per una governance continua

Il volume di eventi di accesso, modifiche ai diritti e interazioni relative alle identità in un'azienda moderna rende la governance manuale continua operativamente irrealizzabile. L'analisi basata sull'intelligenza artificiale non è un miglioramento facoltativo di un programma ADG. È un requisito architettonico.

Se utilizzate in modo efficace, le funzionalità di intelligenza artificiale integrate in una piattaforma IGA possono svolgere diverse funzioni che vanno oltre le possibilità pratiche dei processi di revisione condotti dall'uomo. L'analisi comportamentale può stabilire modelli di accesso di riferimento per ciascuna identità e segnalare le deviazioni che richiedono una valutazione delle politiche. I modelli di apprendimento automatico possono valutare il peso di rischio dei singoli diritti e delle combinazioni di accesso, identificando combinazioni di privilegi dannose che sfuggono alle revisioni standard dei ruoli. L'elaborazione del linguaggio naturale può interpretare i documenti delle politiche e mappare i diritti all'intento delle politiche, consentendo una valutazione automatizzata della conformità anziché un'interpretazione manuale.

È fondamentale che le decisioni di accesso basate sull'intelligenza artificiale siano supportate da punteggi di rischio verificabili e da collegamenti documentati alle politiche, non semplicemente dai risultati dei modelli. L'elemento di governance che conta in un contesto legale o normativo non è il fatto che una IA abbia preso una decisione, ma che la decisione sia stata presa secondo un processo di valutazione delle politiche documentato e verificabile, con la base di rischio registrata al momento della decisione.

Ripensare la governance come funzione di sicurezza

Forse la sfida più significativa nell'implementazione del passaggio all'ADG è di natura organizzativa piuttosto che tecnica. I programmi IGA tradizionali sono spesso gestiti dai reparti che si occupano di conformità, tecnologia delle risorse umane o operazioni IT. L'ADG richiede che la governance delle identità sia considerata una funzionalità di sicurezza fondamentale, integrata con le operazioni di sicurezza, la risposta agli incidenti e l'intelligence sulle minacce.

Il riposizionamento dell'ADG in questo contesto comporta implicazioni pratiche. Gli indicatori di governance devono figurare nei report sulle operazioni di sicurezza, non solo nei dashboard dedicati alla conformità. Le anomalie di governance devono essere integrate nei flussi di lavoro SIEM e SOAR. Inoltre, i responsabili della governance devono avere un filo diretto con i responsabili della sicurezza, senza che tale rapporto sia mediato dalle funzioni di conformità o di audit.

Questo cambiamento richiede anche una revisione delle modalità di valutazione degli investimenti nella governance. La spesa per le infrastrutture di governance continua non è un costo di conformità. Si tratta piuttosto di un investimento nella sicurezza che comporta una riduzione misurabile dei rischi e ha un impatto diretto sui premi delle assicurazioni contro i rischi informatici, sulla posizione normativa e sulla capacità di far fronte a eventuali contenziosi.

L'imperativo della difendibilità

L'argomento centrale di questo documento non è che la conformità sia irrilevante. Standard come SOC 2, DORA e la politica di sicurezza CJIS svolgono funzioni importanti: stabiliscono aspettative di base, forniscono una struttura di audit e creano meccanismi di responsabilità. L'argomento è che la conformità, così come attualmente praticata dalla maggior parte delle organizzazioni, è insufficiente, e che tale insufficienza non rappresenta più solo un rischio per la sicurezza. Si tratta di un rischio legale e reputazionale.

Il panorama delle minacce all'identità si è evoluto al punto che qualsiasi programma di governance che non sia in grado di dimostrare un controllo degli accessi continuo, basato su politiche e in tempo reale opera con un'esposizione strutturale. Le revisioni periodiche possono ancora svolgere un ruolo, come attestazione e conferma dei controlli continui, come meccanismo per il perfezionamento delle politiche e come risultato regolamentare. Ma non possono essere il controllo primario. I rischi non aspettano i cicli di revisione.

Le organizzazioni che passano all'ADG stanno creando qualcosa che va oltre un programma di sicurezza più efficace. Stanno definendo un approccio di governance che sia sostenibile nei contesti più rilevanti: un'indagine normativa, una discussione in consiglio di amministrazione, un'indagine post-violazione e, se necessario, un'aula di tribunale.

La questione non è se la vostra organizzazione disponga di una politica di governance. La questione è se siete in grado di dimostrare che ha funzionato quando era necessario e che continui a funzionare oggi.

Informazioni su questo articolo

Il presente documento di sintesi è stato redatto dagli esperti di Identity Governance and Administration di RSA. Il suo scopo è quello di fornire a professionisti, responsabili di programma e dirigenti un quadro di riferimento per valutare e migliorare la propria strategia di governance delle identità, superando le mere attività periodiche di conformità per orientarsi verso un modello di Active Defense Governance continuo e difendibile.

Potresti essere interessato anche a...

Richiedi una demo

Grazie per l'interesse dimostrato nei confronti della RSA.
Richiedi una demo