CA Technologies ritiene che nel corso del 2017, l’importanza della gestione delle identità e degli accessi continuerà a crescere, nell’ambito di un processo di maturazione che ha visto i principali player del settore e aziende di tutto il mondo dedicare sempre maggiore attenzione a questo tema.
La tendenza è confermata anche nel nostro Paese da un recente studio condotto dalla società di analisi Coleman Parkes dal quale emerge che l’88% del campione italiano intervistato ritiene che l’adozione di un modello di sicurezza basato sull’identità sia cruciale per la crescita del business, poiché consente di instaurare fiducia nella relazione tra aziende e clienti.
Considerata la crescente centralità dell’identità digitale nelle strategie perseguite dai responsabili della sicurezza IT, CA Technologies ha quindi identificato cinque aspetti fondamentali per analizzare le possibili evoluzioni nel corso del 2017.
1. Il concetto DevSecOps entrerà a far parte del “manuale della cyber-difesa”
Rilasciare rapidamente servizi e prodotti basati su nuovo codice software è un nobile obiettivo, ma può anche rivelarsi la ricetta per il fallimento di una strategia digitale. Per avere successo non sono sufficienti solo tempi rapidi di rilascio delle applicazioni, ma occorre anche soddisfare requisiti di qualità, funzionalità e sicurezza. In altre parole, deve realizzarsi un cambiamento culturale che richiede il coinvolgimento della funzione Security sin dalle prime fasi dei processi DevOps. Per essere affidabile, il codice dev’essere protetto da un’architettura informatica solida anche dal punto di vista della sicurezza.
Per realizzare la visione del cosiddetto DevSecOps – ovvero un approccio che le attività di Development, Security e Operations – tutte le applicazioni e tutti i servizi dovranno garantire almeno una qualche funzionalità base di autenticazione e autorizzazione. Queste funzioni chiave di security (insieme ad altre capacità critiche come la gestione degli accessi privilegiati e la garanzia dell’applicazione dei modelli dei “privilegi minimi”) devono essere facilmente fruibili; la sicurezza dev’essere sempre disponibile.
Con l’evolversi dei micro servizi e degli SDK, per gli sviluppatori sarà più facile incorporare la sicurezza sin dalle prime fasi del ciclo di vita delle applicazioni, senza mai trascurare la cura della user experience.
2. Nuove norme richiedono maggiore governance degli accessi
La maggiore frequenza e diffusione dei casi di violazione della sicurezza obbligano governi, aziende e organizzazioni di ogni settore a una collaborazione più stretta per l’attuazione di controlli efficaci e l’adozione di best practice per la sicurezza.
Le aziende si stanno preparando ad affrontare l’oneroso impatto dei processi di adeguamento alle recenti normative in materia di sicurezza, tutela della privacy (es. GDPR) e salvaguardia degli ambienti informatici (es. ISO 27000, PCI DSS, …).
Sarà sempre più forte la necessità di un governo efficace degli accessi a sistemi e dati (inclusi quelli degli utenti privilegiati i cui account, stando agli analisti, sono stati implicati nell’80% delle violazioni più clamorose) quale migliore mezzo per garantire e attestare il pieno rispetto delle norme in vigore.
3. La gestione efficace di identità e accessi migliorerà la customer experience
L’attività di gestione delle identità e degli accessi rivolta agli utenti consumer svolgerà un ruolo centrale nelle strategie delle aziende impegnate a migliorare l’interazione con la clientela in quanto potrà aiutarle a comprendere meglio i loro interlocutori. Le imprese dovranno tener conto degli schemi comportamentali dei clienti in modo da spostare l’attenzione degli sviluppatori dalle singole app a tutto l’intreccio di prodotti e servizi inclusi nell’interazione con gli utenti finali.
Sfruttando appieno le tecniche di orchestrazione e aggregazione delle identità sarà possibile ottenere una vista completa del cliente sulla base di informazioni disponibili su applicazioni e ambienti diversi.
4. Identity and Access Management quale acceleratore dell’Internet delle Cose
Poiché tutti i soggetti fisici, le app, i servizi e gli oggetti connessi possiedono un’identità, l’acronimo IoT è ormai sempre più spesso utilizzato anche come sigla per il concetto “Identity of Things”. Le relazioni fra le diverse entità sono quindi definite sulla base delle identità di ciascuna di esse, motivo per cui l’Identity and Access Management (IAM) può svolgere un ruolo significativo nella diffusione dell’Internet delle Cose. Per gestire i dati che viaggiano fra tali identità è necessaria una soluzione IAM in grado di amministrare, monitorare e proteggere tutte le interrelazioni all’interno dell’ambiente – requisito fondamentale per le aziende che desiderano trarre vantaggio dall’Internet of Things.
5. Continuerà a crescere l’entusiasmo che circonda le tecnologie Blockchain
Vi sono alcune entusiasmanti innovazioni riguardanti le tecnologie Blockchain e Hashgraph che prevedono nuovi modi di distribuire poteri e facilitare il coordinamento e l’orchestrazione in remoto delle relazioni e dei dati su cui si basano.
Tuttavia, gli attuali modelli evidenziano ancora alcune criticità significative, tanto che un azionista di maggioranza ha la possibilità di manipolare la “catena” in virtù dell’influenza esercitata sulla maggior parte dei soggetti interessati, consentendo loro di definire la loro versione della verità. Tutto questo potrebbe essere problematico per i soggetti che non fanno parte né sono consapevoli della presenza di coalizioni “nell’ombra”.
Si rendono quindi necessarie speciali misure e salvaguardie per tutelare gli interessi di tutti i soggetti coinvolti. L’applicazione di queste tecnologie nel campo della sicurezza dei dati è una questione che va esaminata attentamente, fermo restando che il livello di fiducia nei confronti della rete è cruciale per il successo di ogni installazione.