Panorama della gestione delle identità e degli accessi

Per crescere, ogni azienda, impresa o organizzazione deve disporre di un metodo sistematico per organizzare dipendenti o membri. Oggi questo metodo rientra spesso nell'ambito della gestione delle identità e degli accessi (Identity and Access Management, IAM), talvolta nota anche come gestione delle identità, delle credenziali e degli accessi (Identity Credential Access Management, ICAM). In entrambi i casi, il quadro complessivo definisce come integrare i nuovi dipendenti nell'organizzazione e come gestire, quando necessario, la successione e la disattivazione degli account.

Gli elementi della gestione delle identità e degli accessi riguardano aziende di ogni dimensione. Non è mai troppo presto per iniziare a pensare a come un'organizzazione debba gestire e mantenere dipendenti o membri.

In questo documento esaminiamo i sei elementi principali della gestione delle identità e degli accessi e come puoi applicarli alla tua organizzazione.

Ogni organizzazione nasce da una o più persone, ed è sensato partire dalla gestione delle password per abilitare i dipendenti fin dall'inizio.

Ad esempio, ancora prima che le persone inizino a configurare nuovi account, devono poter generare password lunghe e univoche per ogni sito web o servizio di cui hanno bisogno. Un gestore di password con un generatore di password integrato rende tutto più semplice. Così, fin dal primo giorno, i dipendenti si mettono nelle condizioni migliori per avere successo mantenendo gli account separati e sicuri con password lunghe e univoche.

Una volta che le persone dispongono di un gestore di password per generare password lunghe e univoche, e conservarle per accedervi facilmente, puoi passare alla condivisione sicura delle credenziali all'interno di un team. 

I gestori di password orientati alle aziende consentono di gestire le organizzazioni e di condividere in modo sicuro e strutturato tra gruppi di utenti. Questi gruppi possono essere assegnati a diverse raccolte di elementi sensibili, come accessi aziendali, carte di credito condivise o password del Wi-Fi dell'ufficio.

Stabilendo una piattaforma con crittografia end-to-end per la condivisione sicura, ogni organizzazione pone le basi corrette per la sicurezza dei dipendenti e dell'azienda.

Con una password lunga, complessa, casuale e univoca per ogni account, gli utenti si mettono in una posizione solida per rimanere protetti. Un passo ancora più efficace è aggiungere l'accesso in due passaggi, o autenticazione a due fattori, sia all'accesso al gestore di password sia ad altri siti web e servizi.

Con il tuo gestore di password, l'accesso in due passaggi può essere configurato con app di autenticazione, chiavi di sicurezza, email o SMS. Tieni presente che oggi gli SMS sono considerati uno dei metodi più vulnerabili agli attacchi, a causa della diffusione del SIM swapping come strategia di intrusione.

Qualunque percorso scelgano gli utenti, assicurati che tutti comprendano le implicazioni dell'accesso in due passaggi, conservino una copia dei codici di recupero dell'accesso in due passaggi dei siti web, se disponibili, e dispongano di un metodo per eseguire il backup delle chiavi di autenticazione fornite durante la registrazione all'accesso in due passaggi.

Alcuni gestori di password offrono autenticatori integrati. Questo garantisce una notevole praticità per gli utenti, soprattutto in contesti condivisi. Gli utenti possono ora condividere un accesso, inclusa la sequenza di accesso in due passaggi, senza doversi chiamare o inviare messaggi per conoscere il codice segreto.

Naturalmente, qualcuno potrebbe chiedersi quale sia il senso di includere un passaggio di autenticazione integrato nel gestore di password e se questo annulli il valore dell'autenticazione. In definitiva, gli utenti hanno delle scelte e i datori di lavoro possono formare sulle pratiche consigliate. Questi sono i motivi per adottare un approccio integrato

1. La cassaforte del tuo gestore di password dovrebbe disporre a sua volta dell'accesso in due passaggi tramite un altro metodo. (Importante: non dovresti usare l'autenticatore integrato del gestore di password per proteggere l'account del gestore di password.) Pertanto, la tua cassaforte e i tuoi account sono attualmente protetti con un livello di sicurezza elevato e, di fatto, con l'accesso in due passaggi.

2. Avere l'accesso in due passaggi abilitato per siti web e applicazioni offre maggiore sicurezza rispetto a non averlo abilitato. Un'integrazione più stretta dell'accesso in due passaggi ne facilita un uso più frequente, promuovendo pratiche di sicurezza migliori.

3. Se devi condividere un elemento, puoi condividerlo con l'accesso in due passaggi abilitato, il che, ancora una volta, promuove una maggiore sicurezza. È una mossa vincente per la collaborazione e l'accesso in due passaggi.

4. Non devi ricordare quale app di autenticazione hai usato, poiché rimane integrata.

5. Puoi sempre scegliere, caso per caso, quale accesso autenticare internamente con l'autenticatore del tuo gestore di password o esternamente usando un'app di autenticazione separata.

Man mano che il mondo passa al passwordless, assicurati che il tuo password manager e la strategia complessiva di gestione delle identità e degli accessi includano opzioni senza password. Ad esempio

• Assicurati di poter accedere ai dispositivi con dati biometrici e di abilitare anche la compilazione automatica delle credenziali tramite biometria

• Per il Single Sign-On, trattato anche più avanti, valuta opzioni che offrano esperienze senza password

• Valuta l’uso di chiavi di sicurezza in tutta l’organizzazione

• Quando distribuisci le chiavi di sicurezza, prevedi opzioni ridondanti e procedure di backup e ripristino nel caso in cui le chiavi vengano smarrite o siano collegate ad account utente critici per l’azienda

• Ad esempio, può essere utile che un dipendente indichi nella propria cassaforte di gestione delle password la posizione di eventuali chiavi di sicurezza di backup, visualizzabile solo in caso di subentro nell’account e accesso di emergenza

Più rapidamente i dipendenti si inseriscono in una nuova azienda, più rapidamente possono diventare produttivi e contribuire al successo. Non sorprende che il provisioning occupi una parte consistente del budget per la gestione delle identità e degli accessi, pur restando distribuito su diversi sistemi e strumenti.

Le aziende personalizzano spesso i propri processi di onboarding in base ai principali sistemi in uso, come email, messaggistica, servizi di directory e Single Sign-On, trattati più in dettaglio a breve.

Per facilitare la migliore esperienza di onboarding per i dipendenti e garantire che il password manager possa inserirsi in un framework complessivo, cerca password manager che offrano

• Una solida interfaccia di programmazione delle applicazioni (API) per l’integrazione con i sistemi esistenti

• Un’interfaccia a riga di comando completa che consenta lo scripting per processi personalizzati

• La possibilità di integrarsi con i sistemi di gestione delle identità e degli accessi esistenti, come

  • Servizi di directory

  • Single Sign-On

  • Audit e accessi

Le aziende più grandi distribuiscono spesso servizi di directory per organizzare i dipendenti per reparto. Ad esempio, possono esistere gruppi basati su vendite, marketing, ingegneria, IT e finanza. Questi servizi di directory esistenti offrono un modo per organizzare i dipendenti per funzione, aggiungere rapidamente i nuovi dipendenti ai gruppi corretti e deprovisionare gli account quando necessario.

I password manager di livello enterprise si integrano con i servizi di directory per organizzare gruppi di utenti all’interno della cassaforte dell’organizzazione. Se un gruppo di dipendenti del reparto finanza ha accesso a un set specifico di credenziali per servizi fiscali, un nuovo membro di quel gruppo otterrà automaticamente accesso a tali credenziali.

Alcune aziende usano i gruppi di directory anche per agevolare team ad hoc. Ad esempio, può formarsi un team trasversale tra reparti per una nuova iniziativa aziendale. Il team può richiedere un gruppo di gestione delle password dedicato. Con l’integrazione della directory, questo nuovo team può essere sincronizzato con l’applicazione di gestione delle password e abilitare rapidamente un set di credenziali sicure.

Con il boom delle applicazioni software-as-a-service (SaaS), molte aziende hanno sfruttato il Single Sign-On per abilitare l’accesso unificato agli account dei siti web. Naturalmente, il Single Sign-On richiede che il sito web o il servizio disponga di questa funzionalità. Sebbene molti siti web rivolti alle aziende offrano il Single Sign-On, esiste ancora un vasto universo di siti e servizi che non lo fanno. Un password manager colma questa lacuna e offre molto di più.

Alcuni password manager possono inoltre integrarsi con il Single Sign-On, consentendo alle aziende di effettuare il provisioning automatico degli utenti in un’organizzazione.

Naturalmente, un’applicazione crittografata end-to-end come un password manager è un po’ diversa dal tipico servizio SaaS. Poiché il modello di sicurezza di un password manager con crittografia zero-knowledge garantisce che il fornitore non possa vedere nulla all’interno della tua cassaforte, il contesto del Single Sign-On assume una sfumatura diversa.

Il presupposto di base di un password manager è che l’utente finale detenga la chiave per crittografare e decrittografare i propri dati. Il password manager non conosce la chiave e non può fornirla all’utente in caso di smarrimento. Allo stesso modo, un password manager non può semplicemente consegnare alla cieca la chiave di decrittografia di un utente finale a un altro servizio di terze parti, come un provider di identità, e affidarsi a tale provider per custodirla in sicurezza.

Tenendo conto di ciò, un modello sicuro per l’integrazione con i provider di identità esistenti abilita l’autenticazione tramite il provider di identità, ma mantiene crittografia e decrittografia affidate a una password principale conservata dall’utente e specifica del password manager. Ciò garantisce che nessuna terza parte abbia accesso per decrittografare la cassaforte dell’utente finale. Significa anche che la password principale di crittografia e decrittografia deve essere univoca per il password manager.

Questo approccio garantisce inoltre che gli utenti possano beneficiare di ogni applicazione client offerta dal password manager su browser, sistemi operativi mobili, sistemi operativi desktop, accesso web e interfacce a riga di comando.

Su scala più ampia, le aziende devono monitorare i propri sistemi, inclusi l’accesso e l’utilizzo da parte dei dipendenti. Spesso le aziende distribuiscono soluzioni di logging e audit che ricevono informazioni da una varietà di fonti. Tra i sistemi enterprise più diffusi per logging e analisi figurano Splunk e Kibana di Elastic.

I sistemi robusti di gestione delle password forniscono informazioni di logging tramite interfacce di programmazione delle applicazioni (API), che possono alimentare i sistemi di logging esistenti. Questo offre

• Un unico punto in cui i team IT e di sicurezza possono raccogliere informazioni

• La possibilità di correlare gli eventi tra un password manager e altri elementi di un approccio complessivo alla gestione delle identità e degli accessi

• La possibilità di alimentare gli avvisi esistenti

Le aziende hanno diverse opzioni quando implementano il giusto mix di strumenti di gestione delle identità e degli accessi e possono espandersi man mano che crescono. Indipendentemente dal punto in cui ti trovi nel percorso, tutte le aziende dovrebbero consentire ai dipendenti di gestire le credenziali in modo sicuro, generare password lunghe e casuali quando necessario e facilitare la condivisione crittografata end-to-end delle informazioni sensibili.

Per portare queste funzionalità nella tua azienda, inizia oggi con una prova gratuita di Bitwarden business.