Cos'è IAM? Definizioni, funzionalità e strumenti spiegati

Contributo degli ospiti di John Wilkinson

Identity and Access Management (IAM) è il termine generico per le strutture ei processi all'interno di qualsiasi organizzazione che amministra e gestisce l'accesso dei propri dipendenti alle risorse. È importante notare che l'IAM, in senso stretto, è una disciplina concettuale. Le soluzioni IAM sono le implementazioni software che applicano effettivamente la strategia e le politiche IAM di un'organizzazione. Ai fini di questo articolo, analizzeremo IAM e le soluzioni in relazione alle risorse IT.

Nella loro forma più distillata, le soluzioni IAM centralizzano, connettono e regolano l'accesso a sistemi, dati e risorse. Considerali come i cervelli che controllano l'ambiente IT di un'organizzazione. La centralizzazione delle informazioni sull'identità per ogni individuo preserva le autorizzazioni e la sicurezza associate per guidare e facilitare i processi automatizzati. La standardizzazione e la sincronizzazione dell'IAM della tua organizzazione stabilisce la creazione di un database accurato e facilmente gestibile che facilita l'accesso sicuro e corretto per tutti gli utenti.

Le soluzioni IAM aiutano a calibrare il punto debole perfetto tra accesso troppo aperto e sicurezza troppo rigida per il ruolo specifico di ciascun utente all'interno dell'ambiente e delle operazioni uniche della tua organizzazione. Un'implementazione di successo fornisce strumenti di gestione per le risorse IT e i processi aziendali. Ciò garantisce che gli utenti giusti abbiano il giusto accesso alle risorse giuste, a portata di mano, indipendentemente da dove li porti il ​​loro ruolo.

Perché IAM è importante? - Contesto storico

Comprendere il "perché?" di qualcosa serve come parte cruciale della comprensione del “Cosa?”. Allora, perché le soluzioni IAM sono importanti? Per questo, ci rivolgiamo al contesto storico dei processi aziendali e della tecnologia.

La tecnologia aziendale tradizionale operava in modo indipendente perché mancava dell'interconnettività che ci viene offerta oggi. Ciò ha creato silos di dati disparati che esistevano esclusivamente all'interno di sistemi specifici. Dimentica il trasferimento di informazioni da una macchina all'altra, spesso era limitato a singoli sistemi e applicazioni software. I processi aziendali tradizionali hanno aggirato queste limitazioni, richiedendo uno sforzo eccessivo e tracce cartacee per garantire al meglio il corretto completamento e la conservazione dei registri.

“Siloing” si riferisce all'atto di isolare qualcosa (es. dati) all'interno di strutture o sistemi autonomi, isolandolo dall'intero ambiente – pensate ai silos di grano in una fattoria.

Quando le organizzazioni fanno affidamento su risorse e dati in silos, la conseguente mancanza di interconnettività limita l'utilizzo entro i confini di un confine esplicito. Ad esempio, l'utilità dei dati HR sarebbe limitata esclusivamente al sistema HR. Inoltre, il siloing spesso forza la creazione di processi di accesso e business altrimenti inefficienti come soluzioni alternative. Queste soluzioni formali o ad hoc non sono un rimedio, ma bende superficiali per ossa strutturali rotte.

Molte di queste soluzioni alternative possono essere sembrate una volta sensate come sforzi pre-digitali e legacy, come i moduli cartacei che richiedono l'esecuzione di cinque fasi di approvazione. Tuttavia, l'emersione senza fine di nuove tecnologie le rende regolarmente ridondanti o restrittive.

Manuale IAM – Lo hai sempre usato

Potresti non rendertene conto, ma la tua organizzazione applica già varie policy e procedure IAM, che potrebbero non essere automatizzate o digitalizzate. Di seguito sono riportati alcuni esempi che dimostrano processi IAM manuali o cartacei che controllano e monitorano l'accesso alle risorse:

• Esci da un'auto aziendale registrando il tuo nome, la data e il chilometraggio iniziale e finale su un blocco appunti vicino alle chiavi
• Inserimento di codici di sicurezza assegnati individualmente in una serratura a combinazione per ottenere l'accesso all'edificio
• Invio di moduli di richiesta cartacei per l'approvazione delle spese di un dipendente

IAM oggi

Indipendentemente dal settore, dalle dimensioni o dall'ubicazione, le organizzazioni moderne richiedono risorse IT per completare le funzioni quotidiane: il dipartimento delle risorse umane utilizza un sistema delle risorse umane per le informazioni sui dipendenti; il tuo dipartimento di contabilità utilizza un software per le buste paga; uso delle vendite sistemi di Customer Relationship Management (CRM); il marketing utilizza i sistemi di gestione dei contenuti (CMS); tutti accedono allo storage locale o cloud per la condivisione di file e dati; e così via.

L'utilizzo di queste risorse richiede account utente associati a individui. Per accedere a un account utente, un dipendente deve autenticare la propria identità, spesso inserendo le credenziali di nome utente e password. Gli account utente devono essere creati, gestiti e disattivati ​​nel corso del loro ciclo di vita, che molto spesso è correlato alla durata del rapporto di lavoro di quell'utente.

Sfruttare efficacemente le risorse IT in mezzo alle odierne aspettative di immediatezza richiede l'accesso istantaneo ad applicazioni, file e dati in qualsiasi momento, da qualsiasi dispositivo, in qualsiasi luogo. Inoltre, l'assalto senza fine di entità digitali dannose in un mondo più connesso che mai complica i processi e l'accesso tradizionali.

Il successo nel mondo degli affari di oggi dipende da operazioni, dati e sicurezza ottimizzati. I processi inefficienti si sommano velocemente per rallentarti. La gestione manuale della creazione e del provisioning degli account utente, delle richieste ad hoc, dell'autenticazione, delle revisioni degli accessi, degli sforzi per la sicurezza e altro ancora grava non solo sul personale IT, ma su tutti i dipendenti che utilizzano le risorse IT. Combinando queste sfide con una conformità normativa sempre più esigente (ad es. HIPAA, SOX, FERPA) e rischi di violazione, ogni azienda è attualmente alle prese con l'ambiente più rigoroso di sempre.

Inoltre, che tipo di account vengono utilizzati nelle operazioni quotidiane? Quando i ruoli con autorizzazioni elevate (ad es. direttori, manager, ruoli speciali) conducono continuamente operazioni attraverso i loro account privilegiati, c'è una probabilità molto maggiore che tali account diventino insicuri e un'attività eccessiva possa essere svolta senza preavviso. La gestione degli accessi privilegiati è fondamentale per mantenere sicuro il tuo ambiente. Se non è necessario utilizzare un account privilegiato, non farlo . È così semplice. Al contrario, gli account generici condivisi da più utenti eliminano le informazioni dettagliate. L'uso eccessivo di account privilegiati e generici semplifica la gestione, in quanto non ne esiste nessuno e tutto è catastroficamente meno sicuro.

La mancata adozione di processi, politiche e misure di sicurezza rigorose crea caos. In mancanza, i diritti di accesso del tuo personale possono rapidamente sfuggire al controllo e, a loro volta, complicare la comprensione di ruoli e responsabilità da parte di tutti. Questa disorganizzazione crea rischi per la sicurezza, sviste e negligenza con il potenziale di gravi ramificazioni.

Una soluzione IAM è la migliore piattaforma che puoi offrire per impostare la tua organizzazione al successo. L'automazione dei processi di gestione del back-end garantisce la corretta esecuzione di attività critiche e umili, fornisce un accesso sicuro e rivendica la possibilità di ridefinire le priorità delle persone con attività più importanti.

Dai un'occhiata all'infografica qui sotto per altre statistiche su Identity & Access Management:

Soluzioni IAM definite

Le soluzioni IAM sono tecnologie dinamiche che gestiscono, integrano e amalgamano le identità degli utenti, i cicli di vita degli account, le autorizzazioni degli utenti e le attività. In parole povere, le soluzioni IAM gestiscono chi, cosa, dove, quando, perché e come si relazionano con gli utenti che operano negli "ambienti tecnologici sempre più eterogenei" di qualsiasi organizzazione (Gartner).

L'implementazione di tale piattaforma consente agli utenti verificati di accedere alle risorse necessarie, ai professionisti IT di concentrarsi sul lavoro produttivo anziché su attività amministrative umili e all'organizzazione nel suo insieme di operare in modo più efficiente. IAM offre a un'organizzazione la capacità di spostare l'energia verso operazioni di impatto, incentrate sul ROI e vantaggiose, piuttosto che essere vincolata dalla gestione dei propri sistemi.

Componenti della soluzione IAM

Ci sono quattro componenti principali di qualsiasi soluzione IAM:

1. Gestione dell'autenticazione

La gestione dell'autenticazione verifica le identità e di conseguenza concede o nega l'accesso iniziale ai sistemi. Questo è il lato "Identità" di IAM e garantisce che ogni utente sia chi dice di essere.

La verifica dell'identità tradizionale richiede credenziali di nome utente e password, ma la più recente Multifactor Authentication (MFA) supporta l'uso di password monouso (OTP), token, smartcard e altro ancora. Uno dei metodi di autenticazione correnti più comuni consiste nell'accedere ad Active Directory (AD) di Microsoft quando i dipendenti accedono per la prima volta al proprio computer.

2. Gestione delle autorizzazioni

La gestione delle autorizzazioni garantisce che un utente autenticato possa accedere solo alle applicazioni e alle risorse necessarie per il ruolo assegnato. Questo è il lato "Gestione degli accessi" di IAM e può incorporare elementi aggiuntivi come i modelli di ruolo Single Sign-On e Access Governance (AG), che consiste in una matrice che applica il controllo degli accessi basato sui ruoli (RBAC).

I modelli di ruolo possono essere considerati come grafici digitali che delineano le strutture gerarchiche dei dipendenti relative all'accesso. Il Single Sign-On (SSO) rende disponibili tutte le risorse IT degli utenti dopo aver completato un unico accesso per eliminare i tentativi di autenticazione ripetitivi e la scarsa sicurezza delle password durante l'accesso a vari sistemi e app.

3. Amministrazione

Amministrazione dell'automazione dei cicli di vita degli account utente: creazione, modifica, disabilitazione ed eliminazione degli account utente per sistemi e applicazioni. Mentre la gestione dell'autenticazione e delle autorizzazioni supervisiona la sicurezza dell'accesso, l'amministrazione supervisiona il provisioning delle risorse. Collegando i sistemi di origine (ad es. i sistemi HR come UltiPro o WorkDay) ai sistemi di destinazione (ad es. AD, O365, G Suite, SalesForce, Adobe), le soluzioni IAM consentono di automatizzare le attività manuali per un provisioning end-to-end completo.

L'amministrazione coincide con il ciclo di vita dell'account utente, dall'impostazione il primo giorno di un dipendente alla disattivazione alla sua partenza. Man mano che i ruoli dei dipendenti cambiano (ad es. promozioni, riorganizzazioni), le soluzioni IAM eseguiranno automaticamente il reprovisioning e aggiorneranno le risorse e accederanno di conseguenza. Modifiche ad hoc per cose come progetti una tantum possono essere gestite da funzionalità self-service, consentendo agli utenti di richiedere l'accesso direttamente al proprio manager o al "proprietario" della risorsa. Poiché le soluzioni IAM forniscono interfacce amministrative, le conoscenze tecniche non sono più necessarie per il provisioning degli utenti. I manager possono semplicemente approvare una modifica e lasciare che la soluzione elabori il resto.

4. Monitoraggio e verifica

Queste funzionalità supportano la gestione attiva interna e la revisione delle operazioni e dei processi di un'organizzazione tramite registri delle attività completi. I registri delle attività possono essere utilizzati per compilare report di business intelligence e audit trail, eseguire revisioni degli accessi, garantire ruoli corretti e correggere eventuali processi o problemi IAM inefficienti.

Esecuzione IAM

Le soluzioni IAM funzionano su "dati autorevoli", ovvero il set più accurato e completo contenente le informazioni sull'identità del tuo dipendente. Le organizzazioni devono fornire dati autorevoli per una soluzione IAM. I dati autorevoli devono essere puliti e inseriti in un formato coerente o l'automazione incorrerà in problemi. La maggior parte dei dati di identità è archiviata in "sistemi di origine", come un sistema HR che contiene informazioni personali/di contatto, date di inizio e fine, funzione/ruolo, dipartimento, posizione, ecc.

Pensa ai sistemi e ai dati di origine come a una batteria per auto: puoi collegare tutti i tipi di funzioni e caratteristiche elettriche, ma come fonte, la batteria deve fornire una corrente elettrica pulita sufficiente affinché funzionino. I processi IAM possono essere eseguiti solo da un'esecuzione con input di dati puliti, coerenti e completi. Utilizzando connettori standard tra i sistemi, le soluzioni IAM possono aggregare i dati da molti sistemi di origine diversi prima di inviarli alle destinazioni connesse.

Le organizzazioni devono determinare, in dettaglio, quali risorse un determinato individuo riceve per il proprio ruolo e incorporarle nel proprio modello AG. Le soluzioni IAM si basano su trigger e processi configurabili per acquisire questi dati autorevoli e sincronizzarli nell'intero ambiente IT. Un assortimento di campi e valori viene monitorato per le modifiche. Quando si verificano modifiche ai valori di origine, il monitoraggio del trigger IAM avvia un processo associato per sincronizzare i dati in base alla logica configurata.

Gli individui in un'organizzazione possono avere identità diverse, che spesso vengono archiviate separatamente all'interno di una soluzione IAM. Sulla base di queste identità, IAM può creare e gestire diversi account utente per diversi tipi di dipendenti e responsabilità di ruolo. Se un utente ha bisogno di svolgere compiti che richiedono privilegi elevati (ad es. l'accesso alle informazioni sul libro paga), deve utilizzare un account privilegiato. Per controllare la propria posta elettronica o creare un documento, devono utilizzare il proprio account utente generale senza privilegi elevati. La gestione degli accessi privilegiati consente ai dipendenti di operare con l'account utente più adatto alla situazione.

I sistemi di origine forniscono ancora tutte le informazioni su queste identità ma non aiutano con la loro corretta gestione. Una soluzione IAM agisce sui dati autorevoli ed è ciò che rende possibili tutti questi complessi collegamenti tra identità e utenti.

Sicurezza IAM

I rischi per la sicurezza iniziano quando un dipendente viene assunto con la consegna degli account e delle credenziali appena creati fino al giorno in cui il dipendente lascia. Nel corso del loro impiego, è probabile che le esigenze di risorse di un utente cambieranno. Promozioni, riorganizzazioni, cambi di ruolo e progetti ad hoc contribuiscono tutti a cambiare le esigenze di accesso. Nel tempo, gran parte di questo accesso potrebbe diventare non necessario o addirittura un rischio di conformità, che si traduce in problemi di sicurezza. È particolarmente preoccupante se l'accesso in questione minaccia informazioni sensibili come informazioni di identificazione personale (PII), carta di credito o numeri di previdenza sociale, ecc. Questo accumulo di accesso è indicato come "gonfiore dei permessi". Le soluzioni IAM contrastano il "gonfiore delle autorizzazioni" limitando l'accesso alle esigenze dei dipendenti a seconda del loro ruolo qui e ora.

Questi rischi non finiscono nemmeno dopo che il dipendente se ne va, a meno che tu non disponga di un processo di deprovisioning completo e automatizzato. Un processo di deprovisioning si occupa della pulizia degli account e dell'accesso dei dipendenti in partenza. Senza una soluzione IAM, il monitoraggio sicuro di tutti gli account, le credenziali e l'accesso (fisico o digitale) di un determinato utente, per non parlare di rimuoverli tutti in modo tempestivo, diventa impossibile.

Quando un utente lascia un'organizzazione, tutti gli account associati devono essere disattivati ​​ed eliminati dal provisioning. In caso contrario, l'utente originale può comunque accedervi con le stesse credenziali anche se ha lasciato l'organizzazione. Un ex dipendente malintenzionato può acquisire dati sensibili (ad es. informazioni sui clienti, proprietà intellettuale, credenziali dell'account) o danneggiare l'ambiente negli scenari peggiori. Gli ex dipendenti possono accedere alle tue risorse IT fino alla disattivazione. Potrebbero essere giorni, settimane, mesi o addirittura anni. La mancata pulizia degli account e dell'accesso espone l'archiviazione cloud, i dati dei clienti, i progetti imminenti, i materiali di marketing e altro ancora. La disattivazione in stallo è particolarmente pericolosa per le risorse ospitate nel cloud a cui chiunque può accedere dai propri dispositivi personali.

“Account orfani”

L'altro motivo principale per aderire a un processo di disattivazione standard è prevenire l'accumulo di "account orfani". Gli account orfani sono quelli non più associati a un utente attivo e rimangono nel tuo ambiente. Questi detriti digitali ingombrano la tua capacità di valutare con precisione il tuo ambiente occupando anche spazio di archiviazione. Uno dei processi più importanti di una soluzione IAM è ripulirli.

Guardando al futuro: IAM e il cloud

Oggi, la maggior parte delle aziende suddivide il proprio ambiente IT incorporando app cloud per ridurre i costi di manutenzione, implementazione più rapida e flessibilità di accesso. Tuttavia, questi ambienti ibridi pongono serie sfide alle tradizionali operazioni aziendali e all'"IAM manuale". L'utilizzo non gestito delle app cloud comporta rischi per la sicurezza attraverso le innumerevoli nuove aperture nel tuo ambiente IT, per non parlare del fatto che può frustrare gli utenti con accessi ripetitivi. Problemi come questi sono il motivo per cui la funzionalità SSO basata su cloud o Web è così importante.

Le soluzioni IAM con funzionalità Single Sign-On (SSO) basate su cloud/web aiutano a colmare il divario negli ambienti ibridi. Il portale di accesso centrale di un SSO controlla tutte le risorse IT degli utenti dietro un unico accesso con protocolli di sicurezza rigorosi e criteri di accesso configurabili. Una volta autenticato, un utente ha tutto l'accesso necessario per il proprio ruolo in un portale che riduce al minimo le aperture nella rete e i rischi di violazione associati. Per una maggiore sicurezza, è possibile aggiungere MFA all'autenticazione SSO.

Senza un database centrale e autorevole che funge da intermediario per i tuoi utenti e le loro risorse, dovranno accedere ripetutamente ai loro account separati tra la tua infrastruttura on-premise e cloud. La gestione di tutti questi diversi account complica l'utilizzo quotidiano e l'amministrazione. Gli utenti devono destreggiarsi tra URL, complessità delle credenziali, scadenze delle password, disconnessioni automatiche e altre misure che, pur fornendo sicurezza, impediscono un facile accesso e riducono drasticamente la produttività.

Per sviluppare un'organizzazione di successo, il tuo personale deve essere abilitato ad avere successo come individui o team. Ciò richiede l'accesso ai mezzi e alle risorse per portare a termine le attività quotidiane (es. app, condivisioni, strumenti gestionali, spazi collaborativi) e la flessibilità per agire con decisione quando il momento lo richiede. I complicati requisiti di accesso e i processi aziendali ingigantiti non fanno altro che mettere il kibosh sulla produttività del tuo personale, sulla sua motivazione e sullo slancio di tutti.

Le soluzioni IAM hanno sempre assicurato accesso, conformità e sicurezza adeguati, ma ora stanno iniziando a trarre maggiori vantaggi dai nuovi dati, dall'interoperabilità delle diverse applicazioni e dalla business intelligence. In qualità di contributore attivo alla crescita organizzativa, le soluzioni IAM forniscono funzionalità ad ampio raggio che potenziano gli utenti a tutti i livelli.

Collegando tutto insieme

Nonostante ogni innovazione tecnologica rivoluzionaria e rivoluzionaria del settore, l'uso dei dati rimane la costante più significativa in tutte le risorse IT.

Implementando identità verificabili, processi automatizzati, governance degli accessi e funzionalità self-service, una soluzione IAM utilizza i dati dell'organizzazione per costruire il proprio framework. Questo framework controlla e monitora tutte le suddette sfide relative ai processi aziendali, all'accesso e alla sicurezza.

Le soluzioni IAM eliminano il dilemma della tua organizzazione di scegliere tra accesso e sicurezza attraverso politiche di governance che consentono la produttività degli utenti e semplificano le operazioni. Un'implementazione di successo promuoverà l'efficienza organizzativa e manterrà registri di controllo dettagliati per esaminare l'accesso e l'attività di un utente.

Senza un cambiamento significativo degli input (ad es. dipendenti, flusso di cassa, domanda/offerta), l'unico modo possibile per ottenere maggiori risultati è attraverso l'efficienza organizzativa. Le soluzioni IAM forniscono gli strumenti di gestione per perseguire tale aumento di output, sia che si tratti di ottenere un'organizzazione più flessibile, implementazioni tecnologiche più ambiziose, rafforzamento della sicurezza, sforzi aziendali elevati o qualsiasi obiettivo e visione tu abbia.

Per ricapitolare, le soluzioni IAM:

• Assicurati che gli utenti possano accedere alle risorse di cui hanno bisogno.
• Limitare l'accesso non necessario o irregolare per l'applicazione della sicurezza
• Fornire al management e all'IT gli strumenti e le informazioni dettagliate per eseguire attività amministrative complesse e ottimizzazione dei processi
• Automatizza i processi e le attività umili, offrendo alla tua organizzazione la flessibilità di assegnare una nuova priorità alle persone con un lavoro di maggiore impatto
• Applicare la sicurezza durante tutto il ciclo di vita dell'account utente, dal provisioning e la consegna sicura di account e credenziali alla rapida disattivazione dopo le partenze
• Assistenza nella preparazione dell'audit tramite report sofisticati e registri delle attività

Alcuni fornitori di soluzioni IAM:

• Strumenti4mai
• Okta
• IBM
• Microsoft Azure
• Centrifugare
• Identità PING
• Automazione dell'identità
• Sail Point

In conclusione, le soluzioni IAM avvantaggiano tutti nella tua organizzazione.

Questa mentalità olistica e orientata all'organizzazione è fondamentale per implementare con successo una soluzione IAM. Fin dall'inizio, considera le soluzioni IAM come fattori abilitanti per ciò che realizzano, piuttosto che semplicemente una serie di implementazioni tecniche "imposta e dimentica" lasciate che il reparto IT accenda. Sebbene i processi siano automatizzati, le soluzioni IAM richiedono una gestione e una configurazione attive per ottenere i risultati desiderati: eseguono ciò che dici loro. Per integrarsi al meglio con le esigenze e le operazioni della tua organizzazione, la configurazione della tua soluzione deve rispecchiarle per essere efficace.

Una soluzione IAM è quindi una delle decisioni più intelligenti e finanziariamente responsabili che qualsiasi azienda moderna possa prendere. Un piano tecnologico completo funge da leva organizzativa, consentendo maggiori risultati con meno. Se questa premessa è vera, allora Identity and Access Management è il fulcro con cui quella moltiplicazione ottiene il massimo beneficio.