I primi tipi di gestione delle identità e degli accessi (IAM) sono stati introdotti all’inizio del 1960, quando Fernando Corbato, un informatico americano e professore presso il Massachusetts Institute of Technology (MIT), creò l’uso di password per la protezione dei file dei computer1.
Negli ultimi due decenni lo spazio di mercato IAM si è evoluto e ha subito un cambiamento significativo: originariamente le soluzioni per la gestione delle identità erano state create esclusivamente per l’uso interno da parte dei dipendenti. Con l’aumento delle dimensioni e della complessità delle organizzazioni, un numero crescente di persone e dispositivi è stato assegnato a tutte le reti per autenticare e verificare le identità e i privilegi di accesso. Inoltre, a causa della pandemia da COVID-19, il lavoro a distanza ha accelerato questa tendenza. Ciò non fa altro che aumentare la necessità di avere gli strumenti giusti per garantire che le persone giuste abbiano il giusto accesso ai sistemi giusti al momento giusto. Oggi la sicurezza delle identità è diventata la porta d’ingresso digitale per le reti IT che si estende a utenti, dispositivi, applicazioni e infrastrutture.
In questo approfondimento tematico analizziamo la gestione delle identità e degli accessi, il suo potenziale di mercato, un’analisi dei costi per l’utilizzo del cloud rispetto alla presenza in sede e terminiamo con una conclusione.
Che cos’è la gestione delle identità e degli accessi (IAM)?
La gestione delle identità e degli accessi è la struttura dei processi, delle policy e delle tecnologie aziendali che consente alle entità giuste (quali persone o cose, ad esempio server) di utilizzare le risorse giuste (applicazioni o dati) quando è necessario, senza interferenze, utilizzando i dispositivi di cui desiderano servirsi. I sistemi IAM possono essere implementati in sede o forniti da un fornitore terzo utilizzando un abbonamento basato su cloud (SaaS) o in modalità ibrida.
Secondo alcune statistiche, l’identità è il vettore di attacco numero uno per i criminali informatici:
- l’80% delle violazioni dei dati nel settore finanziario utilizza credenziali violate per accedere alle risorse digitali2.
- Oltre il 94% di tutte le organizzazioni ha subito una violazione a causa di una scarsa sicurezza delle identità3.
- Negli ultimi due anni il 79% delle organizzazioni ha subito una violazione della sicurezza relativa alle identità4.
Le minacce informatiche si stanno evolvendo rapidamente e diventano sempre più rapide e complesse. Secondo CrowdStrike, una società statunitense che si occupa di sicurezza informatica, il tempo di sblocco criminale, cioè il tempo necessario ai criminali informatici per entrare in una rete e accedere ai dati, si è ridotto da 9 ore e 42 minuti nel 2018 a 1 ora e 38 minuti nel 2022; una riduzione quintuplicata dei tempi per accedere alle risorse e alle infrastrutture critiche5.
Storicamente le imprese utilizzavano il cosiddetto approccio «castle and moat» che presuppone che tutte le minacce alla sicurezza provengano dall’esterno di un’organizzazione e che i firewall "tradizionali" siano sufficienti per proteggere l’infrastruttura IT di un’azienda o di un ente governativo. Nel mondo digitale odierno, che non è più dipendente dall’ubicazione, questo approccio non è più efficace. Oggigiorno le infrastrutture IT si estendono ben oltre le mura degli edifici attraverso applicazioni, centri dati, utenti e dispositivi. La pandemia da COVID-19 ha solo accelerato questa tendenza, lavorare da casa è diventata una realtà. Di conseguenza, gli ecosistemi digitali sono diventati più complessi e il numero di identità digitali sta crescendo in modo esponenziale. Ogni connessione esterna a una rete IT necessita di un’identità digitale, sia che si tratti di un’applicazione, di un server, di un utente o di un dispositivo. Purtroppo, ciò amplia il potenziale vettore di attacco per i criminali informatici, poiché ci sono più punti di ingresso alla rete, ciò che rappresenta una sfida continua per la sicurezza IT.
Gli attacchi informatici più comuni si verificano sotto forma di phishing, malware, riempimento delle credenziali o abuso di privilegi6. Come contromisura le aziende stanno adottando una struttura di rete «zero trust», che presuppone che nessuno, nemmeno un utente interno, possa essere considerato affidabile e che ogni utente debba essere autenticato, autorizzato e valutato continuamente prima di accedere ai dati o alle applicazioni. Di conseguenza, IAM funge da punto di ingresso principale alla rete, verificando e fornendo l’accesso a utenti, dispositivi e applicazioni. A tal fine, le soluzioni IAM aiutano a eseguire l’autenticazione, l’autorizzazione, l’amministrazione, l’analisi e la verifica.
Il mercato della gestione delle identità e degli accessi
Secondo Jefferies, una banca d’investimento, per il mercato della gestione delle identità e degli accessi, formato da cinque segmenti: Gestione degli accessi / Single Sign-on (SSO), Autenticazione avanzata, Gestione degli accessi privilegiati (PAM), Amministrazione e governance degli accessi (IGA) e Gestione delle identità e degli accessi dei clienti (CIAM), si prevede una crescita da USD 20,1 miliardi nel 2021 a USD 37,4 miliardi nel 2025 a un tasso composto di crescita annuale(CAGR) del 15,7%. CIAM è destinata a vedere la più forte accelerazione della crescita con un tasso composto di crescita annuale del 26,5%, PAM, Advanced Authentication, IGA e Access Management / SSO hanno un tasso composto di crescita annuale previsto rispettivamente del 16,0%, 15,3%, 9,9% e 5,2%7.