ID Management: l’importanza di farsi riconoscere Print
Per qualsiasi realtà aziendale, di piccole o grandi dimensioni, è fondamentale individuare un sistema per gestire il controllo dell’identità del personale presente in un dato momento all’interno dei locali e degli spazi lavorativi. Questo per ragioni amministrative, sindacali, legali, fiscali e di sicurezza. Con una strategia adeguata non si rischia di trasformare una gestione ordinaria in una falla pericolosa dalle conseguenze imprevedibili.
Tutto sta nel tipo di implementazione che si va ad utilizzare, infatti è noto che la resistenza di una catena è quella del suo anello più debole. Dal punto di vista informatico l’anello più debole per molte imprese è proprio quello della gestione efficiente degli accessi e delle identità digitali.
Nello scenario ideale una azienda dovrebbe gestire in modo automatizzato l’accesso di ciascun utente alle applicazioni specifiche, con la possibilità di effettuare la disattivazione immediata di un account per impedire accessi non autorizzati (un caso tipico è costituito dal fatto che il dipendente termina il rapporto di lavoro con la società ed è quindi necessario disattivarne gli accessi). Invece esistono situazioni le più variegate possibili, dove ad esempio esistono account fantasmi ancora attivi nonostante non siano più utilizzati o scenari dove dei dipendenti sono costretti a doversi ricordare così tante password che devono optare per codici più semplici per ricordarseli tutti, vanificando quindi l’approccio di sicurezza. La prima valutazione da operare per rendere sicuro un sistema è relativa alla gestione dell’identity management.

Qualsiasi amministratore di rete sa per esperienza che si tratta di una delle attività più complesse per un sistema di sicurezza aziendale, basata non tanto sulla tecnologia, quindi smart card e altro, ma sulla capacità di rendere il sistema complessivamente in grado di identificare con precisione i soggetti che operano al suo interno.
Possono esistere diversi approcci strutturali, che nascono dalle possibilità offerte dal mercato, quali ad esempio la creazione di regole basate sulle identità digitali rilevate attraverso sistemi biometrici che consentano una creazione ad hoc del database degli utenti e dei permessi.
Giusto per non iniziare insicuri e poi rendersi conto a sistema terminato, di avere creato una roccaforte che già contiene al suo interno i nemici.
Quindi la chiave sostanziale è la possibilità di “personalizzare sicuri” perché un sistema di sicurezza è in fieri, cambia la propria struttura e si plasma sulle reali esigenze dell’azienda target.
Rimane quindi impossibile trasferire le politiche di protezione come un pacchetto a se stante da un contesto ad un altro.
E’ sulla base della metodologia specifica di lavoro che vengono ad essere identificate le possibilità operative. Ad esempio una banca potrà basare la prima identificazione sulle impronte digitali al momento dell’ingresso agli sportelli, ma ciò potrebbe essere improponibile per l’identificazione di utenti che accedono in massa ad un determinato sito.

Il mercato si va consolidando, e il settore dell’identity management sta rapidamente evolvendo, con la presenza di produttori specializzati che vengono acquisiti da aziende più grandi e più generaliste. La strategia giusta per gestire questo relativo stato di incertezza si fonda sulla realizzazione di processi di ID management in modo standardizzato: il peso di un eventuale passaggio ad una nuova tecnologia a questo punto potrebbe risultare inferiore, per una più contenuta rivisitazione architetturale.
Quindi è necessario anche comprendere se il fornitore di sistemi di sicurezza fonda la propria proposta su concetti come “assemblaggio”, “flessibilità”, “scalabilità” e “riutilizzo” prima di affidarsi ad un sistema monolitico non gestibile altrimenti e quindi alla lunga destinato a divenire obsoleto e inutile. Se invece si realizza una opportuna strategia di gestione delle identità, basata sia sulla implementazione della tecnologia di punta e ritenuta quindi più affidabile, sia sulla capacità di modificare il sistema stesso per i cambiamenti epocali, si sarà trovata la giusta combinazione per una valida ed efficace implementazione.