C’è pero un problema di fondo: il 63% delle violazioni di dati confermate deriva dall’utilizzo di password deboli, predefinite o sottratte.

identità digitale - Proteggere le identità digitali

A cura di Jimmy Nilsson, Professional Services Director for APAC and EMEA – Verizon Enterprise Solutions.

La mobilità è ovunque e, se usata intelligentemente, può dare alle aziende il vantaggio competitivo di cui hanno bisogno, fornendo a collaboratori, partner e clienti, l’accesso – sempre e ovunque – ad applicazioni aziendali critiche. I clienti oggi non vogliono aspettare: offrire servizi, come l’accesso a dati personali o aziendali, nel momento stesso in cui ne hanno bisogno è la natura stessa della cultura on-demand in cui tutti viviamo.

Accedere in modo sicuro ai propri dati, personali o aziendali, in questo mondo on-demand è di fondamentale importanza. Tuttavia, nell’edizione 2016 del nostro Data Breach Investigations Report (DBIR) abbiamo scoperto che ben il 63% delle violazioni di dati confermate deriva dall’utilizzo di password deboli, predefinite o sottratte. Una password immutata (o semplice), spesso composta da nomi o date di nascita, non è più sufficientemente affidabile; oggi i cyber-criminali più sofisticati non si limitano a bypassare le password, ma le utilizzano proattivamente per promuovere le proprie azioni criminose.

Ora è più urgente che mai combinare quest’evidente debolezza della password con la costante crescita delle transazioni online, lo sviluppo della sharing economy e la progressiva affermazione di Internet of Things, oltre alla necessità di meccanismi di autenticazione user-friendly.

L’opportunità

Il vasto ecosistema di identità, composto da di numerosi identity solution provider, data provider e service provider, si è ormai evoluto, con l’intento generale di proteggere le informazioni di utenti e aziende da coloro che desiderano ottenerle in modo illegale. Di fronte a così tanti provider e opzioni di sicurezza, la scelta del partner giusto può generare confusione, considerando in particolare i criteri di selezione specifici che ciascun soggetto – come ad esempio consumatori, aziende e governi – usa nel prendere una decisione.

Ad esempio, i cittadini che selezionano il proprio provider di identità digitali tramite sito web governativo cercano spesso brand conosciuti e fidati. Le grandi aziende, che hanno reti didi comunicazioni globali, forza lavoro decentrata e partner virtuali, desiderano proteggere l’accesso alle informazioni e ai sistemi aziendali, senza compromettere la produttività. Per questi soggetti, la credibilità, la portata e l’affidabilità globale sono di primaria importanza. E, infine, le istituzioni governative che vogliono abbracciare il mondo digitale, cercano di ottimizzare i processi dei vari dipartimenti e offrire, agli utenti finali, l’accesso online ai servizi pubblici, come ad esempio per la dichiarazione dei redditi. Queste attività fanno spesso parte di appalti con l’obiettivo di attirare i provider e partner migliori in grado di favorire la digital transformation.

Il desiderio di avere sempre più servizi online con un’unica procedura o “flusso” e senza la necessità, per gli utenti, di visitare un luogo fisico per confermare la propria identità, accresce l’esigenza di soluzioni di proofing e verifica online. Queste ultime possono aiutare imprese ed enti governativi nel prendere decisioni sulla base di un profilo di rischio fondato sui dati a disposizione e utilizzato per dimostrare o convalidare i dati identificativi senza invadere la privacy dell’individuo.

Per esperienza, ci sono organizzazioni che evitano metodi di autenticazione multifattoriale dell’identità perché ne temono la complessità in termini di implementazione e gestione. Tutte le violazioni di dati confermate dovute all’utilizzo di password deboli, predefinite o sottratte potrebbero essere evitate con un processo di autenticazione dell’identità più efficace. Per questo motivo, nessun metodo dovrebbe sembrare troppo complicato per rafforzare questo punto di accesso nei sistemi business-critical.

Collaborare con un identity partner fidato può semplificare la gestione del processo.

Condividere la conoscenza per un’innovazione costante

Il mondo digitale è in continua evoluzione – favorendo nuove tecnologie in territori inesplorati e affrontando le sempre diverse necessità degli utenti. Noi crediamo che il mondo della security abbia una responsabilità nei confronti dei propri stakeholder e debba investire tempo, denaro e competenze nello sviluppo di queste tecnologie, così da garantire che i dati generati in futuro possano essere protetti.

Verizon lavora regolarmente su progetti di ricerca con diverse organizzazioni del settore, come ad esempio l’Open Identity Exchange (OIX), per contribuire al futuro dell’innovazione. Recentemente abbiamo messo in collegamento varie aziende e istituzioni accademiche per un progetto chiamato ReCRED (Real-world Identities to Privacy-preserving and Attribute-based CREDentials), all’interno del Programma Quadro europeo per la Ricerca e l’Innovazione Horizon 2020. L’obiettivo di questo progetto è prevedere quello che viene definito “Trust Paradigm Shift” nel mondo digitale – rivalutando il ruolo di autenticazione e autorizzazione unificate per l’utilizzo da mobile.

Progetti come questo sono spunti preziosi per educare e accrescere la fiducia nel commercio digitale, attraverso sistemi di identificazione trasparenti, sicuri e interoperabili, in grado di offrire a tutti la miglior user experience.