Per anni, la governance e l'amministrazione delle identità (IGA) sono state trattate come un grande programma di trasformazione, che richiede anni per essere implementato e che mira a risolvere tutto in una volta. In teoria, risolvere tutto in una volta sembra la scelta giusta. In pratica, è spesso il motivo per cui l'IGA non funziona.
Lo schema che vedo più spesso non è una mancanza di consapevolezza su cosa sia o cosa faccia l'IGA: le organizzazioni capiscono come l'IGA sia importante. Il problema è che gli approcci tradizionali all'IGA presuppongono che un'organizzazione abbia il tempo, la stabilità e la capacità di costruire tutto in un unico grande passo. Nel contesto odierno, questo non è più realistico.
L'IGA tradizionale funzionava bene quando il mondo era più semplice: sistemi on-premise, forza lavoro basata su uffici e ruoli che cambiavano raramente. I ruoli erano chiaramente definiti, i sistemi non cambiavano frequentemente e le decisioni di accesso potevano essere riviste ogni pochi mesi senza grandi rischi.
Oggi tutto è diverso. Le organizzazioni utilizzano cloud, SaaS e team distribuiti. Le organizzazioni non gestiscono solo le identità dei dipendenti, ma anche quelle dei collaboratori, dei partner e persino delle macchine. L'accesso cambia continuamente.
Per questo motivo, i modelli statici di IGA - con ruoli, politiche e diritti prestabiliti - diventano obsoleti molto rapidamente. Molti programmi IGA si bloccano qui. Cercano di progettare tutto alla perfezione fin dall'inizio, ma l'ambiente continua a cambiare prima che possano ottenere risultati.
Il tradizionale approccio “big bang” all'IGA è molto ambizioso. Cerca di integrare tutte le applicazioni, definire tutti i ruoli e implementare una governance completa in un unico programma.
La sfida è che questo richiede tempo. E durante questo tempo, i rischi continuano a crescere.
I processi manuali rendono ancora più difficile il “big bang” di un IGA. Le revisioni degli accessi diventano troppo ampie, i revisori non sempre hanno il giusto contesto e le decisioni diventano più legate al completamento del compito che alla riduzione del rischio. I ruoli statici diventano obsoleti e, nel tempo, gli accessi si accumulano senza un adeguato controllo.
Alla fine, le organizzazioni investono molto, ma non sempre vedono un valore rapido o chiaro.
Quello che vediamo funzionare molto meglio è una mentalità diversa. Invece di cercare di risolvere tutto, iniziate con un problema IGA specifico. Qualcosa di chiaro, misurabile, importante.
Ad esempio:
- Troppi utenti hanno accesso ad alto rischio a un'applicazione critica
- Le verifiche di audit segnalano i conti dormienti
- Alcuni diritti sensibili sono assegnati a molti utenti ma utilizzati raramente.
Si tratta di problemi reali, non teorici. E possono essere risolti rapidamente.
Quando un'organizzazione si concentra su un caso d'uso o una sfida IGA, tutto diventa più semplice. I team si rivolgono agli stakeholder giusti, definiscono più chiaramente il successo e ottengono risultati chiari. Questa prima vittoria rafforza la fiducia e crea lo slancio per ciò che verrà dopo.
Questo è anche il modo in cui pensiamo all'IGA alla RSA.
Invece di chiedere ai clienti di fare tutto in una volta, sosteniamo un approccio graduale attraverso il nostro sistema modulare. Governance e ciclo di vita RSA licenze. I clienti possono iniziare con Visibilità-solo per capire chi ha accesso a cosa. Questo da solo porta già valore e intuizione.
Poi possono passare a La governance, applicando controlli e revisioni dove è veramente importante. E poi possono estendersi a Ciclo di vita, per automatizzare i processi e scalare.
Questo approccio consente alle organizzazioni di iniziare in piccolo ma di pensare in grande. Consente alle organizzazioni di risolvere prima un problema reale e poi di espandersi passo dopo passo, senza dover ricominciare o riprogettare tutto.
Negli ambienti moderni, la governance non può essere statica. Deve essere più dinamica e più mirata.
Invece di esaminare tutto allo stesso modo, le organizzazioni devono farlo:
- Concentratevi prima sulle voci più rischiose
- Utilizzare i dati per guidare le decisioni
- Agite rapidamente
Le organizzazioni che realizzano questi passi tendono a combinare capacità di prodotto e servizi. Per ottenere vantaggi immediati in termini di IGA, le organizzazioni non devono solo disporre degli strumenti giusti, ma anche utilizzarli in modo intelligente e pratico per ottenere risultati.
Un altro punto importante è la flessibilità, soprattutto per quanto riguarda la distribuzione.
Molte soluzioni costringono i clienti a scegliere tra soluzioni IGA in cloud o on-premise. Ma in realtà questa scelta può cambiare. Un'azienda può iniziare con una strategia cloud-first, ma in seguito deve affrontare motivi normativi o commerciali per rimanere on-premise. Oppure le organizzazioni possono avere bisogno di agire con maggiore flessibilità e distribuire più soluzioni nel cloud.
L'unica soluzione giusta è quella che soddisfa le esigenze dell'organizzazione oggi ed è pronta a soddisfare le priorità in evoluzione nel futuro. Ecco perché RSA Governance & Lifecycle ha una completa parità di prodotto tra le sue soluzioni cloud e on-premise: la soluzione offre le stesse funzionalità indipendentemente dalla distribuzione.
Ciò significa che i clienti possono adattarsi se la loro strategia cambia. Non sono bloccati. Possono andare avanti senza perdere ciò che hanno già costruito.
Iniziare in piccolo non significa limitare le proprie ambizioni. Significa essere pratici.
Quando un'organizzazione risolve una sfida IGA o affronta un caso d'uso, diventa più facile espandersi all'applicazione successiva, al rischio successivo o al miglioramento successivo. I progressi incrementali possono portare a risultati significativi e a costruire un programma IGA solido e modernizzato.
L'IGA tradizionale non sta fallendo perché la governance è sbagliata. Sta fallendo perché l'approccio non è adatto alla velocità e alla complessità di oggi.
Le organizzazioni che hanno successo sono quelle che si concentrano, iniziano in piccolo e costruiscono passo dopo passo. Cercano risultati reali, non solo grandi progetti.
L'IGA non deve essere eccessiva. Deve essere pratico, veloce e fornire un forte valore aggiunto.
Vi mostreremo come si presenta nella pratica.
Partecipate al nostro prossimo webinar, Perché la governance dell'identità si rompe su larga scala e come l'intelligenza artificiale la risolve, in cui spiegheremo come analizzare i dati sull'identità, dare priorità ai rischi e agire con sicurezza.
