Articolo
La costante evoluzione delle minacce e la digitalizzazione in atto della nostra società rendono l’Identity & Access Management (IAM) una componente fondamentale di qualsiasi architettura di sicurezza informatica. Il mercato della sicurezza informatica è un interessante tema di crescita secolare pluriennale, e Credit Suisse Asset Management investe in società leader nel settore IAM.
10 gennaio 2023
I primi tipi di gestione delle identità e degli accessi (IAM) sono stati introdotti all’inizio del 1960, quando Fernando Corbato, un informatico americano e professore presso il Massachusetts Institute of Technology (MIT), creò l’uso di password per la protezione dei file dei computer1.
Negli ultimi due decenni lo spazio di mercato IAM si è evoluto e ha subito un cambiamento significativo: originariamente le soluzioni per la gestione delle identità erano state create esclusivamente per l’uso interno da parte dei dipendenti. Con l’aumento delle dimensioni e della complessità delle organizzazioni, un numero crescente di persone e dispositivi è stato assegnato a tutte le reti per autenticare e verificare le identità e i privilegi di accesso. Inoltre, a causa della pandemia da COVID-19, il lavoro a distanza ha accelerato questa tendenza. Ciò non fa altro che aumentare la necessità di avere gli strumenti giusti per garantire che le persone giuste abbiano il giusto accesso ai sistemi giusti al momento giusto. Oggi la sicurezza delle identità è diventata la porta d’ingresso digitale per le reti IT che si estende a utenti, dispositivi, applicazioni e infrastrutture.
In questo approfondimento tematico analizziamo la gestione delle identità e degli accessi, il suo potenziale di mercato, un’analisi dei costi per l’utilizzo del cloud rispetto alla presenza in sede e terminiamo con una conclusione.
La gestione delle identità e degli accessi è la struttura dei processi, delle policy e delle tecnologie aziendali che consente alle entità giuste (quali persone o cose, ad esempio server) di utilizzare le risorse giuste (applicazioni o dati) quando è necessario, senza interferenze, utilizzando i dispositivi di cui desiderano servirsi. I sistemi IAM possono essere implementati in sede o forniti da un fornitore terzo utilizzando un abbonamento basato su cloud (SaaS) o in modalità ibrida.
Secondo alcune statistiche, l’identità è il vettore di attacco numero uno per i criminali informatici:
Le minacce informatiche si stanno evolvendo rapidamente e diventano sempre più rapide e complesse. Secondo CrowdStrike, una società statunitense che si occupa di sicurezza informatica, il tempo di sblocco criminale, cioè il tempo necessario ai criminali informatici per entrare in una rete e accedere ai dati, si è ridotto da 9 ore e 42 minuti nel 2018 a 1 ora e 38 minuti nel 2022; una riduzione quintuplicata dei tempi per accedere alle risorse e alle infrastrutture critiche5.
Storicamente le imprese utilizzavano il cosiddetto approccio «castle and moat» che presuppone che tutte le minacce alla sicurezza provengano dall’esterno di un’organizzazione e che i firewall "tradizionali" siano sufficienti per proteggere l’infrastruttura IT di un’azienda o di un ente governativo. Nel mondo digitale odierno, che non è più dipendente dall’ubicazione, questo approccio non è più efficace. Oggigiorno le infrastrutture IT si estendono ben oltre le mura degli edifici attraverso applicazioni, centri dati, utenti e dispositivi. La pandemia da COVID-19 ha solo accelerato questa tendenza, lavorare da casa è diventata una realtà. Di conseguenza, gli ecosistemi digitali sono diventati più complessi e il numero di identità digitali sta crescendo in modo esponenziale. Ogni connessione esterna a una rete IT necessita di un’identità digitale, sia che si tratti di un’applicazione, di un server, di un utente o di un dispositivo. Purtroppo, ciò amplia il potenziale vettore di attacco per i criminali informatici, poiché ci sono più punti di ingresso alla rete, ciò che rappresenta una sfida continua per la sicurezza IT.
Gli attacchi informatici più comuni si verificano sotto forma di phishing, malware, riempimento delle credenziali o abuso di privilegi6. Come contromisura le aziende stanno adottando una struttura di rete «zero trust», che presuppone che nessuno, nemmeno un utente interno, possa essere considerato affidabile e che ogni utente debba essere autenticato, autorizzato e valutato continuamente prima di accedere ai dati o alle applicazioni. Di conseguenza, IAM funge da punto di ingresso principale alla rete, verificando e fornendo l’accesso a utenti, dispositivi e applicazioni. A tal fine, le soluzioni IAM aiutano a eseguire l’autenticazione, l’autorizzazione, l’amministrazione, l’analisi e la verifica.
Secondo Jefferies, una banca d’investimento, per il mercato della gestione delle identità e degli accessi, formato da cinque segmenti: Gestione degli accessi / Single Sign-on (SSO), Autenticazione avanzata, Gestione degli accessi privilegiati (PAM), Amministrazione e governance degli accessi (IGA) e Gestione delle identità e degli accessi dei clienti (CIAM), si prevede una crescita da USD 20,1 miliardi nel 2021 a USD 37,4 miliardi nel 2025 a un tasso composto di crescita annuale(CAGR) del 15,7%. CIAM è destinata a vedere la più forte accelerazione della crescita con un tasso composto di crescita annuale del 26,5%, PAM, Advanced Authentication, IGA e Access Management / SSO hanno un tasso composto di crescita annuale previsto rispettivamente del 16,0%, 15,3%, 9,9% e 5,2%7.
Figura 1: Il mercato della gestione delle identità e degli accessi (in miliardi di dollari statunitensi)
Fonte: Jefferies (2022): Okta, rapporto iniziale, equity research, 15 settembre 2022, pag. 13.
Il mercato dell’IAM rappresenta circa il 10% della spesa totale per la sicurezza IT8. La sua forte crescita è trainata dalla continua digitalizzazione della nostra società e dalla transizione verso il cloud. Riteniamo che il mercato IAM sia destinato a superare il mercato complessivo della sicurezza IT nei prossimi due anni, principalmente a causa del numero crescente di utenti, applicazioni e dispositivi che tentano di accedere alla rete. Inoltre, il passaggio all’approccio «zero trust» continua ad essere un fattore di crescita per IAM. Inoltre, riteniamo che ci possano essere tre possibili limitazioni alla crescita:
Il mercato IAM è in gran parte trainato dalla crescita dell’adozione del cloud a scapito dei fornitori di sistemi esistenti in sede che, a nostro avviso, rischiano di perdere quote di mercato. La ragione principale di questo spostamento delle quote di mercato è la seguente:
La figura 2 mostra un esempio di confronto tra il costo totale di gestione (TCO) della soluzione software tradizionale IAM in sede IAM tradizionale e una soluzione software IAM fornita su cloud per un’azienda di medie dimensioni (5000 utenti). Ciò include la parte tecnologica (a un livello di costo simile, sia che venga fornita in un modulo cloud o in sede). Tuttavia, l’aggiunta di esperti di implementazione, assistenza e manutenzione, aggiornamenti software e approvvigionamento potrebbe aumentare i costi per cinque anni9.
Figura 2: Confronto tra il costo totale di gestione dell’approccio IAM tradizionale in sede e l’approccio IAM su cloud (in USD)
Fonte: Identropy (2013): IDaaS for Dummies, 2013, John Wiley & Sons, Hoboken, NJ, pag. 30. Nonostante il fatto che questo esempio di calcolo del TCO sia stato pubblicato diversi anni fa, le pubblicazioni più recenti mostrano vantaggi di costo simili. Per i lettori interessati raccomandiamo come esempi l’analisi del TCO menzionata nella nota a piè di pagina10.
La figura 2 mostra che un approccio IAM su cloud è in termini di costo totale di gestione più interessante di un approccio tradizionale in sede. I motivi principali sono che le soluzioni cloud, essendo gestite dal fornitore IAM, non richiedono l’acquisto di hardware specializzato né team operativi e di implementazione dedicati. Inoltre, le soluzioni cloud sfruttano il personale operativo e l’hardware condivisi del modello cloud per trasferire i risparmi sui costi dalle economie di scala ai clienti. Inoltre, poiché le soluzioni IAM fornite su cloud si basano sul software, non è necessario che l’azienda effettui aggiornamenti hardware ogni 4-5 anni e i pagamenti vengono effettuati sulla base di un modello pay-per-use, rendendo quindi molto più semplice l’aumento o la riduzione di scala dei sistemi.
Negli ultimi anni la transizione dalle soluzioni IAM in sede a quelle basate su cloud è stata significativa grazie a scalabilità, flessibilità, efficienza e risparmio sui costi. In generale, crediamo che questa tendenza sia destinata ad accelerare in futuro, raggiungendo una penetrazione di circa il 65% entro il 2025 secondo le previsioni di IDC, mentre, secondo la nostra opinione, le implementazioni in sede potrebbero rallentare11.
da quando gli esseri umani hanno iniziato a comunicare, si è sentita la necessità di proteggere e controllare l’accesso alle informazioni. I componenti essenziali di tale controllo erano più o meno gli stessi di oggi: stabilire chi si è quando si tenta di accedere a sistemi, applicazioni e informazioni e determinare se è possibile accedere a una risorsa specifica o eseguire un’azione particolare una volta che ci si è autenticati.
Al giorno d’oggi garantire l’identità della forza lavoro è diventata una priorità per le organizzazioni, poiché la forza lavoro globale si sposta per lavorare da qualsiasi luogo e la transizione verso il cloud offusca le tradizionali linee perimetrali. La gestione delle identità e degli accessi è un componente centrale di qualsiasi architettura di sicurezza IT, guidato dall’ambiente delle minacce in continua evoluzione e dalla costante digitalizzazione della nostra società. Ciò rende il mercato della sicurezza IT un tema di crescita secolare attraente per più anni e, per questo motivo, abbiamo investito in aziende leader nel campo dell’IAM.
Trovi numerosi prodotti di investimento per soddisfare ogni tua esigenza. Scegli tra la nostra vasta gamma di soluzioni di investimento in tutte le principali asset class, e ricevi tutte le informazioni relative al prodotto.
In aggiunta, hai la possibilità di seguire un fondo di tuo interesse e ricevere gli aggiornamenti mensili, in modo semplice e veloce.
Scoprirete opportunità d’investimento interessanti. Siamo qui per aiutarvi a raggiungereealizzare i vostri obiettivi d’investimento.
Ove questi materiali contengano affermazioni relative al futuro, queste hanno natura previsionale, sono soggette a rischi e incertezze e non sono garanzia di risultati futuri.
Le persone sopra indicate svolgono esclusivamente attività regolamentate nella/e giurisdizione/i in cui sono titolari di adeguata licenza, ove applicabile.
1 Fonte: The Wall Street Journal (2014): Despite Data Thefts, the Password Endures, in: The Wall Street Journal, 21 maggio 2014.
2 Fonte: VansonBourne/HYPR (2022): The State of Authentication in the Finance Industry, inchiesta, pag. 5, URL: https://get.hypr.com/hubfs/DL%20Assets/State-of-Authentication-in-Finance-Industry-2022.pdf, 25.9.2022.
3 Fonte: Egress (2021): Insider Breach Data Survey, p. 5, URL: https://www.egress.com/media/4kqhlafh/egress-insider-data-breach-survey-2021.pdf, 25.9.2022.
4 Fonte: Identity Defined Security Alliance (IDSA) (2020): Identity Security: A work in progress, comunicato stampa, URL: https://www.idsalliance.org/press-release/79-of-organizations-have-experienced-an-identity-related-security-breach-in-the-last-two-years-according-to-new-identity-defined-security-alliance-study/, 25.9.2022.
5 Fonte: CrowdStrike (2022): The CrowdStrike 2022 Global Threat Report, pag. 8, URL: https://go.crowdstrike.com/rs/281-OBQ-266/images/Report2022GTR.pdf, 25.9.2022.
6 Fonte: VansonBourne/HYPR (2022): The State of Authentication in the Finance Industry, inchiesta, pag. 7, URL: https://get.hypr.com/hubfs/DL%20Assets/State-of-Authentication-in-Finance-Industry-2022.pdf, 25.9.2022.
7 Fonte: Jefferies (2022): Okta, rapporto iniziale, equity research, 15 settembre 2022, pag. 13.
8 Fonte: Oppenheimer (2022): Cybersecurity primer 1.0, rapporto di settore, 18 aprile 2022, pag. 15.
9 Fonte: Identropy (2013): IDaaS for Dummies, 2013, John Wiley & Sons, Hoboken, NJ, pag. 30.
10 Di seguito sono riportati due studi consigliati per ulteriori letture:
11 Fonte: IDC (2021): IDC prevede che la spesa mondiale "Whole Cloud" raggiunga USD 1300 miliardi entro il 2025, URL: https://www.idc.com/getdoc.jsp?containerId=prUS48208321, 28.9.2022.
Il presente materiale costituisce materiale di marketing di Credit Suisse Group AG e/o delle sue affiliate (di seguito “CS”). Il presente materiale non costituisce né è parte di un’offerta o un invito a emettere o vendere, né una sollecitazione o un’offerta a sottoscrivere o acquistare titoli o altri strumenti finanziari né a effettuare operazioni finanziarie, né intende indurre o incoraggiare la sottoscrizione di un prodotto, un'offerta o un investimento. Questo materiale di marketing non costituisce un documento contrattualmente vincolante né un documento informativo richiesto da disposizioni legislative. Nessuna parte del presente materiale costituisce una ricerca d’investimento o una consulenza d’investimento e non può essere considerato affidabile in tal senso. Il presente materiale non è redatto in base alle circostanze individuali né costituisce una raccomandazione personale e non è sufficiente per prendere una decisione d’investimento. Le informazioni e le opinioni contenute nel presente documento sono quelle di CS al momento della redazione e possono cambiare in qualsiasi momento senza preavviso. Esse sono state ricavate da fonti ritenute attendibili. CS non fornisce alcuna garanzia circa il contenuto e la completezza delle informazioni e, dove legalmente consentito, declina qualsiasi responsabilità per eventuali perdite connesse all'uso delle stesse. Salvo indicazioni contrarie, tutti i dati non sono certificati. Le informazioni fornite nel presente documento sono a uso esclusivo del destinatario. Le informazioni fornite nel presente materiale possono cambiare successivamente alla data del materiale senza preavviso e CS non ha alcun obbligo di aggiornare le informazioni. Il presente materiale può contenere informazioni che sono concesse in licenza e/o protette dai diritti di proprietà intellettuale del concessore dell’autorizzazione e dei titolari del diritto di proprietà. Nulla in questo materiale deve essere interpretato in modo da imporre qualsiasi responsabilità ai concessori dell’autorizzazione o ai titolari del diritto di proprietà. La copia non autorizzata delle informazioni relative al concessore dell’autorizzazione o ai titolari del diritto di proprietà è severamente vietata. Il presente materiale non può essere inoltrato o distribuito ad altre persone e non può essere riprodotto. Qualsiasi inoltro, distribuzione o riproduzione non è autorizzato e può comportare una violazione del Securities Act statunitense del 1933 e successive modifiche (il “Securities Act”).
Distributore: Credit Suisse (Italia) S.p.A., via Santa Margherita 3, 20121 Milano, Italia, csam@credit-suisse.com, credit-suisse.com/it
