Ogni conversazione sulla governance dell'identità alla fine si riconduce alla stessa frustrazione: revisioni degli accessi di cui nessuno si fida, certificazioni che vengono timbrate e amministratori che si sentono sempre un passo indietro. La leadership esamina la situazione e conclude che l'organizzazione ha bisogno di una migliore strategia di IGA. Un nuovo processo. Una politica più forte. Più governance.
Ma il punto è questo: l'intento della governance di solito va bene. Il problema sono i dati sottostanti.
Quando i framework di governance delle identità sono stati progettati per la prima volta, l'azienda media gestiva qualche centinaio di applicazioni e un numero gestibile di account utente. L'analisi degli accessi era noiosa ma fattibile. Gli amministratori potevano, con un po' di impegno, sviluppare un contesto significativo su chi aveva bisogno di cosa e perché.
Quel mondo non esiste più.
I servizi finanziari, le agenzie governative e le organizzazioni ad alta sicurezza gestiscono abitualmente migliaia di applicazioni in ambienti SaaS, ibridi e on-premise. Le abilitazioni all'interno di queste applicazioni sono milioni. Ogni utente porta con sé una scia di decisioni di accesso accumulate in anni di cambiamenti di ruolo, assegnazioni di progetti e ristrutturazioni organizzative. E questa traccia cresce continuamente, aggiungendo nuovi account, nuove autorizzazioni, nuovi ruoli e nuovi rischi ogni giorno che passa.
Il volume di dati sull'identità che le organizzazioni generano oggi supera quello che qualsiasi team umano può elaborare in modo significativo. Non si tratta di una mancanza di impegno o di attenzione. È un problema matematico.
Le persone responsabili della gestione dell'identità operano in condizioni che rendono quasi impossibile un processo decisionale efficace.
Le code di allerta sono perennemente sovraccariche. Ogni segnalazione richiede un triage, ma il volume significa che molti avvisi vengono rimandati o eliminati non perché sono stati analizzati, ma perché non c'è la larghezza di banda per analizzarli. Le richieste di provisioning si accumulano. Le anomalie di accesso emergono senza un contesto sufficiente per agire con sicurezza. Il risultato è un sistema che sembra funzionare, ma in realtà si basa su ipotesi e arretrati.
Gli amministratori non stanno fallendo nella governance. Sono sopraffatti da un ambiente di dati che supera gli strumenti progettati per gestirlo.
Le campagne di certificazione dell'accesso devono affrontare un problema strutturale simile, ma che si manifesta in modo diverso.
Quando a un manager viene chiesto di certificare l'accesso dei suoi diretti collaboratori, in genere gli viene presentato un elenco di diritti e una scelta binaria: approvare o revocare.
Ciò che non viene dato loro è il contesto che renderebbe la decisione significativa. L'accesso è ancora in linea con il ruolo attuale della persona? È stato usato di recente? Rappresenta un rischio elevato rispetto ai gruppi di pari? Ci sono violazioni delle policy incorporate nel profilo di accesso attuale che non sono immediatamente evidenti dalla visualizzazione?
Senza questo contesto, i revisori fanno quello che fanno le persone razionali: approvano. Non perché l'accesso sia appropriato, ma perché revocare qualcosa che potrebbe essere necessario crea un dolore immediato e visibile, mentre lasciare un accesso inappropriato crea un rischio diffuso e differito.
La maggior parte dei processi di certificazione oggi producono dati, non insight. E le decisioni prese senza una visione approfondita non sono governance. Sono scartoffie.
La soluzione a un problema di dati non è un maggior numero di processi. È una migliore intelligenza applicata ai dati già esistenti.
La governance delle identità guidata dall'intelligenza artificiale affronta direttamente il problema della scala facendo ciò che i revisori umani non possono fare: analizzare gli schemi di milioni di diritti simultaneamente, identificare le anomalie relative al comportamento dei pari, segnalare gli accessi inattivi o eccessivi e far emergere elementi specifici che comportano un rischio significativo.
Per gli amministratori, questo significa code di avvisi con priorità in base all'effettivo segnale di rischio, non al tempo di arrivo. Per i revisori, significa campagne di certificazione che fanno emergere il contesto accanto a ogni decisione, in modo che le approvazioni e le revoche siano basate sulla comprensione piuttosto che sull'istinto. Per le organizzazioni finanziarie, governative e ad alta sicurezza, significa che l'attività di governance si concentra dove è più importante.
L'intelligenza artificiale non sostituisce il giudizio umano nella governance dell'identità. Rende di nuovo possibile il giudizio umano gestendo l'elaborazione dei dati che ha sopraffatto ogni altro approccio.
Le organizzazioni che hanno maggiori difficoltà con la governance delle identità non sono in difficoltà perché mancano le politiche. Stanno lottando perché l'ambiente dei dati ha superato la loro capacità di agire su di esso.
In questo contesto, l'intelligenza artificiale non è una caratteristica premium o una considerazione futura. Alla scala in cui operano le imprese moderne, l'IA è il prerequisito per far funzionare la governance delle identità.
Se le certificazioni sembrano una formalità, se gli amministratori hanno l'impressione di reagire sempre, se le revisioni degli accessi producono decisioni poco affidabili, la domanda da porsi non è cosa manchi al vostro programma di governance.
È quello che i vostri dati cercano di dirvi e che nessuno ha la larghezza di banda per ascoltare. Siete pronti a sentire quello che i vostri dati stanno cercando di dirvi? Partecipa al nostro webinar, Perché la governance dell'identità si rompe su larga scala e come l'intelligenza artificiale la risolve, per uno sguardo pratico su come tagliare il rumore, far emergere i rischi reali e prendere decisioni che reggano davvero.
