Avete sentito parlare dell'importanza di utilizzare l'autenticazione a più fattori, o MFA? Tra i requisiti internazionali, le campagne annuali e le esortazioni del personale addetto alla sicurezza informatica a utilizzare l'MFA, non credo che ci sia la possibilità che qualcuno che lavora nel settore tecnologico e non apprezzare la criticità dell'AMF.
Siamo d'accordo. Tuttavia, mentre il nostro settore è stato bravissimo ad illustrare l'importanza dell'MFA e ad implementarla, siamo stati solo mediocri su altri componenti della cybersecurity che sono altrettanto importanti. Siamo tutti così concentrati sull'installazione del catenaccio alla porta di casa che abbiamo dimenticato chi ha le chiavi, come le ha ottenute e cosa sbloccano.
L'MFA vi serve per stare al sicuro. Ma avete anche bisogno di Identity Governance and Administration (IGA).
Ecco perché ritengo che la Gartner® Il rapporto IAM Leaders' Guide to Identity Governance and Administration (IGA) è una risorsa così importante. Il rapporto illustra le funzioni principali che l'IGA deve garantire, le sfide che le organizzazioni possono incontrare quando lo implementano, come valutare il proprio programma IGA e altro ancora.
È importante notare che il rapporto è solo una consulenza indipendente dal fornitore che discute l'importanza e il ruolo dell'IGA, piuttosto che documentare soluzioni specifiche.
Secondo Gartner® Report, IAM Leaders' Guide to Identity Governance and Administration, "La disciplina IGA esiste per garantire che le persone giuste ottengano il giusto accesso alle risorse giuste al momento giusto e per le giuste ragioni".
Gartner afferma che "l'IGA porta a una maggiore maturità dei processi di identità, facilita la conformità e riduce il rischio di accesso non autorizzato, oltre a fornire controlli più visibili ed efficienti ai processi di amministrazione del ciclo di vita dell'identità". Inoltre, "l'IGA fornisce anche diverse funzioni accessorie, tra cui solitamente la gestione delle password, le funzionalità self-service per la gestione dei profili e la gestione dei casi per l'audit e la correzione delle violazioni delle policy, come la SOD".
In breve, l'IGA può aiutare le organizzazioni a incrementare la sicurezza, a ridurre i rischi e a essere più produttive, ma solo se l'IGA è stato realizzato correttamente.
Ottenere un IGA corretto è più facile a dirsi che a farsi. Uno dei motivi per cui l'IGA è così impegnativo è che l'IGA deve avere visibilità su tutti utenti, compresi gli utenti umani, gli account macchina, gli account di servizio e i dispositivi.
È un terreno molto vasto da coprire. E credo che sia proprio perché la portata dei dati può diventare così ampia che il rapporto sottolinea l'importanza degli analytics: infatti, il rapporto pone gli analytics dell'identità "al centro di ogni iniziativa IGA". Il rapporto rileva inoltre che le analisi dell'identità "negli ultimi cinque anni si sono diffuse sempre di più nell'IGA per fornire report a supporto del processo decisionale umano, tradizionalmente utilizzati, ad esempio, per l'estrazione dei ruoli o per calcolare un punteggio di rischio che potrebbe essere utilizzato per spiegare cosa è successo e perché".
Ho sempre pensato che la sicurezza dipenda dal contesto e l'integrazione degli analytics nelle soluzioni IGA può fornire ai team di sicurezza tale contesto: gli analytics possono confrontare i diritti di un singolo account con quelli di utenti simili dell'organizzazione. Inoltre, grazie a un maggior numero di informazioni, le soluzioni IGA possono fornire avvisi e raccomandazioni in tempo reale che contribuiscono a migliorare la sicurezza e la conformità continua nonostante un patrimonio IT in crescita. È per questo che RSA ha integrato un maggior numero di analisi e visualizzazioni nei suoi prodotti. la più recente soluzione IGA.
Volete altre prove che gli IGA sono importanti? Guardate i dati della CISA Modello di maturità Zero Trust, che rileva che le agenzie "devono garantire e far rispettare l'accesso degli utenti e delle entità alle risorse giuste, al momento giusto e per lo scopo giusto, senza concedere un accesso eccessivo".
Il modello dice anche che un'agenzia ha raggiunto capacità ottimali di governance dell'identità quando "implementa e automatizza completamente le politiche di identità a livello aziendale per tutti gli utenti e le entità in tutti i sistemi".
###
Gartner, IAM Leaders' Guide to Identity Governance and Administration, Brian Guthrie, David Collinson, Rebecca Archambault, Aggiornato al 16 agosto 2023 | Pubblicato originariamente il 5 aprile 2021
GARTNER è un marchio registrato e un marchio di servizio di Gartner, Inc. e/o delle sue affiliate negli Stati Uniti e a livello internazionale ed è usato qui con l'autorizzazione. Tutti i diritti sono riservati.
