14. Gestione delle identità e degli accessi.
La Sicurezza delle Informazioni assoluta si otterrebbe isolandole da qualunque accesso: in questo modo però non sarebbero utili a nessuno.

Le informazioni, infatti, devono essere DISPONIBILI per i soggetti (le persone e applicazioni) che possiedono l’autorizzazione ad accedervi.


Questo implica conoscere e gestire le loro identità e cosa sono autorizzati ad accedere.


Gestione delle identità e degli accessi o IDENTITY ACCESS MANAGEMENT IAM è l'insieme politiche, processi e tecnologie che assicura che ciò accada.

 

Sono 4 le fasi dell’ IAM

 - IDENTIFICAZIONE: è dichiarazione dell’identità del soggetto (es. nome utente)
  - AUTENTICAZIONE: è la conferma che l’identità è riconosciuta e valida (es. password)
  - AUTORIZZAZIONE: è l’attribuzione dei permessi di accesso alle informazioni ed alle applicazioni associati all’identità autenticata
  - ACCOUNTABILITY: è la registrazione delle attività svolte dal soggetto con quella identità

L'Identity Access Management deve essere:

 - automatizzato per evitare gli errori e le omissioni inevitabili delle procedure manuali;

 - integrato con i processi delle RISORSE UMANE (assunzioni, dimissioni, cambiamento di mansioni ecc.);

 - utilizzare RUOLI predefiniti per l’attribuzione delle autorizzazioni;

 - includere il tracciamento delle attività dei soggetti per poter attribuire con certezza (accountability) le azioni effettuate sulle informazioni e sui sistemi.

 

L’ IAM include:

 - l’autenticazione a più fattori o Multi Factor Authentication MFA che aumenta notevolmente l’affidabilità dell’AUTENTICAZIONE;

 - la gestione delle password (complessità, validità, scadenza) e le procedure per la reimpostazione (possibilmente self-service);

 - la gestione delle utenze privilegiate o PRIVILEGED ACCESS MANAGEMENT PAM, che sono indispensabili per la gestione dei sistemi, ma sono anche le più critiche per la sicurezza in quanto bersaglio prediletto di SPEAR PHISHING e SOCIAL ENGINEERING;

 - la gestione dei RUOLI e del modello di controllo che deve essere quello adatto all’organizzazione dell’azienda.

 - la verifica delle attività dei soggetti e l’evidenziazione di situazioni anomale User Entity Behaviour Analisys UEBA.


L’ IAM è un elemento basilare del Programma di Sicurezza delle Informazioni
(vedi 9. Il Programma di Sicurezza delle Informazioni) che il Fractional CISO imposta nell’Azienda