Viviamo in un mondo particolarmente dinamico, sulla spinta di una tecnologia in rapida evoluzione. Secondo i dati McKinsey & Company, per crescere e competere, le organizzazioni hanno accelerato il ritmo delle loro iniziative di trasformazione digitale di sette anni. Tuttavia, la massima “move fast and break things”, cioè agisci velocemente, anche a costo di fare danni, a volte può comportare che la sicurezza in azienda venga trascurata.
È facile capire come possa accadere: le tecnologie di prevenzione delle minacce tradizionali hanno fatto affidamento per lo più su controlli di sicurezza basati sulla rete. Sono caratterizzati da architetture monolitiche, manuali e noiose, e controlli di autorizzazione basati su policy. Rallentano gli utenti con timeout e opzioni di fine sessione, e le loro capacità di controllo e conformità sono assenti o molto costose.
Fortunatamente, la situazione della sicurezza in azienda ha iniziato a cambiare negli ultimi anni, con l’emergere di un Identity and Access Management (IAM) basato su SaaS che si sta spostando più in alto nella lista delle priorità dei team di sicurezza aziendali. In particolare, gli strumenti di gestione degli accessi sono progettati per riflettere l’odierna realtà aziendale senza confini e porre l’identità al centro della protezione, utilizzando meccanismi di autenticazione e autorizzazione intelligenti e subordinati.
Tuttavia, quasi tutte queste tecnologie di accesso si fermano al livello di autenticazione, fornendo pochi, se non nessuno, controlli di sessione per monitorare l’accesso e le interazioni con risorse sensibili o privilegiate senza i quali malintenzionati interni e attaccanti esterni hanno maggiori possibilità di perpetrare i loro attacchi senza essere scoperti.
L’evoluzione dell’access management
Poiché i confini tra identità e privilegi continuano a confondersi, le organizzazioni hanno bisogno di più sicurezza in azienda; necessitano di modi per controllare con certezza che le identità della forza lavoro – richiedenti vari livelli di accesso, in diversi momenti e luoghi – corrispondano davvero a chi si afferma di essere, che i dispositivi siano verificati e l’accesso limitato in modo ingegnoso. È qui che entra in gioco l’intelligenza artificiale (IA) su cui si concentra la prossima ondata di innovazione della gestione degli accessi.
Utilizzando il machine learning e i segnali contestuali – compresi i dati di utenti, dispositivi e attività – queste soluzioni di gestione degli accessi stanno costantemente diventando più intelligenti, definendo profili di rischio più descrittivi e visivi delle singole identità umane e delle macchine. Questo aiuta le aziende a rafforzare le capacità predittive in modo da poter anticipare e mitigare meglio le minacce future. Attraverso l’IA, queste soluzioni possono anche determinare quando un individuo è a basso rischio e legittimo, offrendo un’esperienza di autenticazione semplificata che permette agli utenti di accedere alle app di cui hanno bisogno per svolgere il loro lavoro.
Quando integrati in una piattaforma unificata, questi strumenti alimentati dall’IA lavorano ancora più intensamente per fornire set di dati di qualità superiore, mettere a punto algoritmi che possano differenziare in modo affidabile i tentativi di accesso anomali e dannosi e automatizzare le risposte, fornendo al contempo un ciclo di feedback in tempo reale al motore di machine learning aziendale per migliorare costantemente le prestazioni.
Il percorso verso l’autenticazione senza password
L’autenticazione senza password è un grande esempio di approccio intelligente alla sicurezza dell’identità in azienda e rappresenta un’enorme opportunità per le organizzazioni focalizzate sulla protezione della forza lavoro in ogni momento e luogo.
La citazione: “Nel mondo di oggi, gli attaccanti non hanno davvero bisogno di compromettere niente, solo di accedere”, corrisponde alla verità. Le password e le credenziali tradizionali rimangono una delle cause principali di attacchi e violazioni legate all’identità perché permettono ai cybercriminali di accedere a sistemi e reti sensibili, riuscendo così a ottenere grandi quantità di informazioni da una sola fonte.
Una ricerca di settore indica un crescente livello di comfort e fiducia dei consumatori nell’autenticazione senza password, quella biometrica (ad esempio, riconoscimento facciale e impronte digitali) e i metodi basati sul comportamento (ad esempio, segnali osservati passivamente che non richiedono alcuno sforzo da parte dell’utente). Ma quando si tratta della sicurezza in un’azienda, raggiungere una reale autenticazione senza password non sarà semplice come premere un interruttore – è un viaggio che inizia fornendo a tutte le parti chiamate in causa – organizzazione, dipendenti e utenti – i giusti processi e strumenti.
Si può iniziare dando loro accesso a una serie di autenticatori senza password, come chiavi di sicurezza FIDO2, biometria, codici QR e link magici. Questi autenticatori devono essere dotati di capacità di gestione self-service intuitive e senza attrito, per assicurarsi che gli utenti non vengano bloccati fuori dai sistemi mentre cercano di svolgere il loro lavoro. Inoltre, è importante assicurarsi che tutte le risorse – dalle applicazioni, ai server, agli endpoint – siano protette da soluzioni IAM complete, siano esse ospitate in sede o in un ambiente ibrido. Infine, è fondamentale dotarsi di sistemi e strutture per misurare KPI e conformità relativi a queste iniziative senza password, in modo da poter mettere in campo miglioramenti continui.
