Come noto, in azienda bisogna imparare a gestire e proteggere le identità (anziché solo le reti o gli endpoint o le applicazioni) perché gli ambienti informatici sono sempre più frammentati e uno stesso utente accede alle risorse tramite dispositivi diversi e da differenti luoghi. Il fatto è che difendere le identità nel modo corretto non è semplice. Un nuovo studio di CyberArk e di Enterprise Strategy Group (“The Holistic Identity Security Maturity Model: Raising the Bar for Cyber Resilience”, condotto su 1.500 professionisti della sicurezza informatica d 16 Paesi) suggerisce che per ben il 92% dei professionisti IT italiani la sicurezza delle identità è un elemento critico per una solida adozione dello Zero Trust. Non a caso ben il 96% degli intervistati italiani ha ammesso che la propria azienda è stata vittima di attacchi basati sull’identità.
“Il 63% delle organizzazioni ammette di essere vittima di attacchi basati sull’identità, ma questa percentuale è probabilmente molto più alta”, ha commentato Amita Potnis, director, thought leadership marketing di CyberArk. “In Italia per esempio raggiungiamo il 96%, dato che gli avversari continuano a colpire e compromettere con successo le identità su scala. L’obiettivo principale per le organizzazioni che intendono adottare una strategia olistica di Identity Security è quello di proteggere l’accesso a tutte le identità, umane e non, abbattendo i silos e adottando un approccio consolidato e automatizzato per l’Identity Security”.
Uno dei problemi (ed è un problema ricorrente, anche in altri ambiti relativi alla gestione IT delle aziende) è quello della frammentazione di tecnologie e processi: il 58% delle organizzazioni del campione ha due team che si occupano della sicurezza delle identità, uno nel cloud e l’altro on-premise, e inoltre si affida a molteplici soluzioni di Identity and Access Management. Questo rende difficile capire in tempo reale quale sia lo stato della sicurezza dell’azienda.
Si nota, tra le altre cose, un divario tra la percezione dei dirigenti aziendali e quella del personale (sia l’IT, sia altre figure). Nel primo gruppo c’è maggiore ottimismo: il 69% dei dirigenti ritiene di prendere decisioni corrette in materia di Identity Security. Tra i dipendenti, invece, la quota è del 52%.
Una grossa fetta del campione d’indagine, 42%, riguardo alla gestione delle identità si trova in una fase di maturità iniziale, mentre solo il 9% ha già ha adottato un approccio agile, olistico e maturo alla protezione delle identità nei propri ambienti ibridi e multicloud. Si tratta anche di contesti in cui di fronte agli errori (attacchi e incidenti informatici) l’azienda impara la lezione e sa reagire rapidamente. Una nuova notizia è che circa un’azienda su quattro quest’anno ha dedicato alla sicurezza delle identità oltre il 10% del budget complessivo per la sicurezza informatica.
(Immagine tratta da Freepik)
“Questa ricerca mette in luce la relazione tra una solida strategia di Identity Security e migliori risultati di business”, ha sottolineato Jack Poller, senior analyst di Enterprise Strategy Group. “Valutazioni più frequenti e tempestive sulla maturità possono garantire che gli utenti giusti abbiano accesso ai dati giusti e che le organizzazioni possano agire abbastanza rapidamente per fermare le minacce prima che interferiscano con il business”.
Gli autori della ricerca sottolineano che, per una corretta gestione delle identità, è fondamentale fare i giusti investimenti tecnologici ma anche far fruttare al massimo tali investimenti, per esempio integrando le soluzioni di nuova adozione con quelle già esistenti ed eliminando la divisione dei processi in “silos”. Bisogna, inoltre, migliorare le competenze del personale con attività di formazione. La ricerca presenta un quindi un modello da seguire per sviluppare il già citato modello agile, olistico e maturo, e le azioni fondamentali sono quattro: l’acquisto di strumenti per la gestione, controllo dei privilegi, governance, autenticazione e autorizzazione per tutte le identità e tipologie di identità; l’integrazione di questi strumenti con altre soluzioni IT e di sicurezza già in uso (in modo da proteggere l’accesso a tutti gli asset e ambienti aziendali); l’uso dell’automazione per diversi scopi (controllo continuo di conformità a policy, standard di settore e normative, ma anche attività di routine e risposta rapida agli eventi anomali); il rilevamento continuo e la risposta alle minacce, basati su una solida comprensione dei comportamenti delle identità e delle politiche organizzative.