Non basta la maggiore attenzione sui rischi correlati alla gestione dati
L’opinione di Angelo Colesanto, senior presales engineer di SailPoint Technologies
Il GDPR ha aiutato sicuramente a innalzare il livello di attenzione intorno al tema della gestione dei dati e ai rischi correlati, e di conseguenza ad aumentare i budget dedicati, ma non è riuscita a spiegare perché bisogna avere determinate accortezze. C’è ancora molto da fare per far capire l’importanza di una gestione corretta dei dati, in particolare per quanto riguarda la gestione e il governo delle identità, come elementi di mitigazione del rischio dell’organizzazione e non solo come imposizioni normative.
Spesso bisogna ancora partire dai concetti di base, sottolineando come la trasformazione digitale in atto stia amplificando a dismisura una problematica che parte da lontano, praticamente da quando è nato l’IT: molte delle vulnerabilità più pericolose di oggi, infatti, sono semplicemente evoluzioni di modalità di attacco che conosciamo da oltre 20 anni, basate per esempio su violazioni di concetti di base come il privilegio minimo o l’escalation di privilegi.
Partire dal ‘sapere di non sapere’
Dal nostro punto di vista per affrontare in maniera efficace questo tema le aziende dovrebbero partire dal presupposto di ‘sapere di non sapere’, soprattutto se utilizzano ambienti IT stratificati nel tempo. Per questo vengono in aiuto soluzioni di identity governance evolute come la nostra, che consentono da un lato di verificare lo ‘stato di salute’ delle proprie abilitazioni, dall’altro di impostare nuovi modelli di governance basati sul concetto di condivisione delle informazioni a tutti i livelli, dentro e fuori l’azienda, perché solo in questo modo è possibile avere una visione globale degli utenti e di come questi accedono a dati e applicazioni, riducendo i rischi di esposizione agli attacchi.
Condivisione e collaborazione
Condivisione e collaborazione sono di fatto alla base dell’unico approccio valido alla cybersecurity, sia all’interno delle aziende che tra gli addetti ai lavori. Spesso è proprio all’interno delle organizzazioni che questo aspetto è più carente e l’Identity Governance punta a eliminare questi silos comunicativi. Naturalmente sono sempre più performanti anche gli strumenti tecnologici messi in campo. Oggi si parla molto di intelligenza artificiale, che per alcuni rappresenta il futuro, per altri potrebbe essere un fuoco di paglia. Secondo noi la verità sta nel mezzo, nel senso che incrementare l’automazione di determinate operazioni è sicuramente utile e aiuta a prendere decisioni ponderate, e SailPoint è pioniera nel suo ambito, ma spetterà sempre alle persone definire policy e processi, perché ogni realtà ha esigenze specifiche in continua evoluzione.
Appuntamento a domani con Michele Guglielmo, regional sales director di Securonix