Tutto quello che serve a una corretta identity access governance

Identity e access governance è un concetto spesso fumoso, poiché può essere facilmente confuso con dei modelli molto più delineati e diffusi. Quindi, prima ancora di porsi la questione su cosa è necessario per una corretta Identity e Access Management, occorre descrivere al meglio gli attori in gioco. 

Differenza tra IAM e IAG 

La principale fonte di dubbi è la differenza che intercorre tra Identity e Access Management (IAM) e, appunto, Identity e Access Governance (IAG). Una differenza all’apparenza sottile, specie per l’utente finale di un prodotto dedicato, ma sostanziale per chiunque debba occuparsi dell’installazione e gestione di queste tecnologie. Volendo semplificare il concetto, Identity e Access Governance si riferisce a un modello di controllo e gestione di identità e servizi di sicurezza in una rete. Include, nella fattispecie, tutti i controlli e le policy che garantiscono gli accessi siano regolati sotto tutti i punti di vista: legale, economico e tecnico. Identity e Access Management, invece, non è altro che una frazione di questo modello. Si riferisce, infatti, alla sola gestione delle identità digitali e i rispettivi ruoli e privilegi d’accesso alla rete. 

Il concetto di identità digitale 

È facile capire, da quanto detto, che il vero punto d’unione tra IAM e IAG è proprio l’identità digitale, gestita in modo diretto dal primo e secondo una strategia allargata dal secondo. Anche il concetto di identità digitale è spesso foriero di confusione, ma dal punto di vista tecnico è semplice da spiegare. Si tratta di un’identità del tutto equiparabile a quella tradizionale, suggellata da una registrazione che fornisce un numero variabile di informazioni personali, chiamati attributi. Da qui, si ricava che l’Identity Management è proprio la gestione di questi attributi, intesa come selezione, controllo e archiviazione. L’Access Management riguarda, invece, la verifica di questi attributi per dare l’ok all’accesso al sistema. Identity e Access Governance è un concetto più dilatato e olistico, che mette in correlazione attributi, applicazioni, dati, norme, policy e dispositivi per verificare la corretta gestione e il monitoraggio degli accessi. 

Requisiti per una IAG efficace 

Definiti i concetti di base, si arriva al dunque: cosa serve per una corretta Identity e Access Governance? Per quanto banale possa sembrare (ma ora è chiaro come non sia così scontato), innanzitutto un’efficace tecnologia di Identity e Access Management, che soddisfi i requisiti di base del sistema e foraggi la visione d’insieme della IAG. Poi, uno o più servizi di analisi dei dati. Non basta negare o accettare accessi: una IAG deve essere in grado di abbassare la quota sia di falsi positivi che di falsi negativi, obiettivo che si raggiunge solo con un’attenta analisi. Altra caratteristica essenziale a una corretta Identity e Access Governance è il pieno controllo e gestione delle policy e una serie di strumenti per la verifica delle compliance.  

Il passaggio da IAM a IAG 

Infine, a completare il quadro, occorre una gestione delle identità di alto livello, ancora più granulare di quella offerta da una IAM, nonché un sistema di analisi e gestione del rischio. A tal proposito, è bene sapere che oggi molte soluzioni IAM includono delle funzioni associabili a una Identity e Access Governance, ma il passaggio al modello esteso richiede comunque delle integrazioni, per via della mole di dati necessari da acquisire ed elaborare. In particolare, per poter contare su una vera Identity e Access Governance, occorre garantire la presenza di sistemi di abilitazione e disabilitazione di utenti, autenticazione single sign-on, adozione di un modello Role-Based Access Control (RBAC) e di uno di “separation of duties” (SoD), nonché un sistema di reportistica sugli accessi. Requisiti non certo semplici da soddisfare nell’insieme, ma affidandosi a produttori qualificati si può contare, per fortuna, su soluzioni pronte all’uso e già dotate di tutto l’occorrente.