Le informazioni, infatti, devono essere DISPONIBILI per i soggetti (le persone e applicazioni) che possiedono l’autorizzazione ad accedervi.
Questo implica conoscere e gestire le loro identità e cosa sono autorizzati ad accedere.
Gestione delle identità e degli accessi o IDENTITY ACCESS MANAGEMENT IAM è l'insieme politiche, processi e tecnologie che assicura che ciò accada.
Sono 4 le fasi dell’ IAM
- IDENTIFICAZIONE: è dichiarazione dell’identità del soggetto
(es. nome utente)
- AUTENTICAZIONE: è la conferma che l’identità è
riconosciuta e valida (es. password)
- AUTORIZZAZIONE: è l’attribuzione dei permessi di accesso alle informazioni ed
alle applicazioni associati all’identità autenticata
- ACCOUNTABILITY: è la registrazione delle attività svolte dal soggetto con
quella identità
L'Identity Access Management deve essere:
- automatizzato per evitare gli errori e le omissioni inevitabili delle procedure manuali;
- integrato con i processi delle RISORSE UMANE (assunzioni, dimissioni, cambiamento di mansioni ecc.);
- utilizzare RUOLI predefiniti per l’attribuzione delle autorizzazioni;
- includere il tracciamento delle attività dei soggetti per poter attribuire con certezza (accountability) le azioni effettuate sulle informazioni e sui sistemi.
L’ IAM include:
- l’autenticazione a più fattori o Multi Factor Authentication MFA che aumenta notevolmente l’affidabilità dell’AUTENTICAZIONE;
- la gestione delle password (complessità, validità, scadenza) e le procedure per la reimpostazione (possibilmente self-service);
- la gestione delle utenze privilegiate o PRIVILEGED ACCESS MANAGEMENT PAM, che sono indispensabili per la gestione dei sistemi, ma sono anche le più critiche per la sicurezza in quanto bersaglio prediletto di SPEAR PHISHING e SOCIAL ENGINEERING;
- la gestione dei RUOLI e del modello di controllo che deve essere quello adatto all’organizzazione dell’azienda.
- la verifica delle attività dei soggetti e l’evidenziazione di situazioni anomale User Entity Behaviour Analisys UEBA.
L’ IAM è un elemento basilare
del Programma di Sicurezza delle Informazioni (vedi 9. Il Programma di Sicurezza delle Informazioni) che
il Fractional CISO imposta nell’Azienda