In NTT Data a fianco dei clienti per aiutarli nella gestione delle identità digitali. È questo il ruolo di Carlo Mancini, Lead of Identity & Access Management Competence Center – Digital Identity Protection Practice – Security Service Line di NTT Data Italia. Ovvero responsabile dello I&AM Competence Center, il centro di eccellenza di NTT Data costituito da diversi professionisti specializzati in identità e governance. Insieme a Carlo abbiamo approfondito la questione della gestione delle identità, che poi significa protezione della vita digitale aziendale in tutte le sue forme.

NTT Data è la sesta società di servizi IT più grande al mondo ed è presente in più di 50 paesi con 140mila dipendenti. È un partner riconosciuto a livello mondiale relativamente a soluzioni di elevata innovazione tecnologica. In Italia NTT Data conta più di 5mila professionisti dislocati in otto sedi, che tra poco diventeranno dieci, da Cosenza a Treviso. L’azienda dal cuore nipponico ha nelle tematiche di security uno dei principali punti di forza, sia in termini di offerta che di competenza. “La divisione Security conta oltre 500 professionisti dedicati – afferma Mancini -. Abbiamo partnership con i principali fornitori di tecnologia in ambito security e vantiamo referenze di importanti aziende italiane e internazionali in tutti i settori e un fortissimo legame con il mondo universitario sia a livello nazionale che internazionale”.

La sicurezza è cruciale nella trasformazione digitale

La fase delicata che stanno affrontando le aziende si supera con un’accelerazione dei piani di trasformazione digitale, ma come nello specifico? “Oggi più che mai le aziende sanno che la Digital Transformation non è più rimandabile. Una trasformazione digitale che, però, non preveda la semplice introduzione di tecnologia all’interno dell’organizzazione, ma uno stravolgimento dei processi di business per ridisegnarli, rinnovarli e renderli più efficienti”.

Argomento caldo in questo contesto è certamente la migrazione al cloud: trasportare sulla nuvola le risorse informatiche dell’azienda su un ambiente tecnologico condiviso, scalabile, flessibile, con notevoli benefici in termini di costi, performance e sicurezza. “Questi processi non sono semplici – afferma Mancini – e sicuramente privi di imprevisti. A queste sfide corrispondono grandi opportunità legate al mondo della security, le cui attività sono imprescindibili e prioritarie. È indubbio, infatti, che l’utilizzo del cloud ha come immediata conseguenza l’aumento della superficie d’attacco, e il decentramento dei servizi rende più critica rispetto al passato la gestione delle informazioni e dei dati”.

LEGGI ANCHE: COSA E’ LA MULTIFACTOR AUTHENTICATION

Cosa significa gestione delle identità aziendali

Il cybercrime sta diventando sempre più aggressivo, complesso e innovativo e utilizza strumenti sempre più sofisticati ed evoluti. Le aziende sanno che è necessario proteggersi – prosegue Mancini. Per noi addetti ai lavori è una continua richiesta d’aiuto. Ci chiedono supporto per capire dove si trovano, qual è lo stato dell’arte della protezione della loro organizzazione, e ci chiedono di gestire i servizi IT per loro conto. Servizi che non riescono a gestire in autonomia per diversi motivi. Perché non hanno skill interne e risorse o perché vogliono contenere i costi. Inoltre, ci chiedono sempre più spesso di proteggere le identità digitali, dei dipendenti ma anche dei clienti”.

Identità digitale e gestione degli accessi nell’occhio del ciclone, insomma, ma perché? “L’identità digitale è la chiave che permette ai criminali di entrare nelle infrastrutture informatiche dell’organizzazione. E lo si comprende con un esempio. Dopo aver compromesso un account di un dipendente, il criminale entra nella rete dell’organizzazione attraverso tecniche più o meno sofisticate e sfruttando le vulnerabilità di sistemi non aggiornati per errori di configurazione o per semplice negligenza. Da lì inizia l’escalation, compromettendo account con privilegi sempre più alti fino ad arrivare a diventare un amministratore di un sistema. Così si potrebbero addirittura cifrare i controlli Active X compromettendo l’intera infrastruttura informatica di un’azienda, spegnendo servizi, estraendo dati sensibili dai database o lanciando malware che arrecherebbero ancora più danni, come distruggere i backup”.

Verificare le identità orfane o fantasma

Uno scenario catastrofico, dunque, da evitare accuratamente, come? “La strategia migliore per difendere le identità digitali di un’organizzazione – spiega Mancini – è di adottare un modello di trust, in particolare Zero Trust Identity, ovvero l’approccio Zero Trust calato nel mondo della protezione dell’identità digitale. L’idea è sempre la stessa: un’organizzazione non deve mai fidarsi a priori di chi si connette ai propri sistemi, sia che avvenga dall’interno che dall’esterno, verificandone sempre l’accesso”.

Andando più in profondità, un’azienda deve avere la completa consapevolezza e il pieno controllo di tutte le identità digitali, evitando la loro proliferazione e la creazione di identità non necessarie. “L’organizzazione non si può permettere che all’interno dell’infrastruttura siano presenti entità digitali sconosciute o, per esempio, afferenti a personale non più in azienda – prosegue Mancini. Le identità cosiddette orfane o fantasma. Il secondo passo è quello di applicare principi che prevedano che gli utenti possano accedere solo ad applicazioni e a sistemi strettamente necessari con privilegi minimi. Inoltre, è fondamentale controllare che questi principi siano sempre soddisfatti con le campagne di certificazione periodica delle abilitazioni”.

Queste esigenze sono implementabili attraverso i sistemi di Identity Management, la cui tecnologia è ormai molto matura e disponibile. Ma non basta. È necessario prevedere meccanismi più evoluti, come per esempio la gestione del controllo degli account privilegiati, come quelli degli amministratori che hanno accesso a informazioni più sensibili. O anche l’autenticazione dinamica che permette di controllare l’accesso degli utenti in base al livello di rischio. Si tratta di un indice calcolato con un algoritmo che utilizza tecniche di machine learning per decidere in maniera dinamica se l’accesso deve essere autorizzato. Anche considerando da quale dispositivo, l’orario e il luogo da cui arriva la richiesta d’accesso“.

La collaborazione con i vendor specializzati

Parlando di collaborazioni con i vendor specializzati, One Identity è certamente la più importante relativamente alla protezione dell’identità digitale. Come ragiona NTT Data quando si tratta di scegliere partner tecnologici in quest’ambito? “NTT Data è vendor indipendent – afferma Mancini -, non siamo legati ad un fornitore di tecnologia specifico, ma utilizziamo tutti i prodotti disponibili nel mercato. Detto questo, la collaborazione con One Identity è iniziata più di cinque anni fa, ed è stato un colpo di fulmine. I clienti chiedono di individuare soluzioni integrate per la protezione a 360 gradi delle identità digitali, possibilmente di un unico vendor, anche per semplificare i rapporti“.

Concludiamo la chiacchierata con Carlo Mancini, Lead of Identity & Access Management Competence Center – Digital Identity Protection Practice – Security Service Line di NTT Data Italia, cercando di farci convincere: perché un’azienda dovrebbe chiedere l’aiuto di NTT Data?

Perché affidarsi a NTT Data per la gestione delle identità

NTT Data ha circa vent’anni di esperienza maturata nell’erogazione di servizi di protezione dell’identità digitale in molte delle più grandi aziende italiane e internazionali. La metodologia che adotta NTT Data è di proporre una serie di interventi di tipo tecnico che si realizzano non solo facendo ricorso alle best practice, ma siano calate in maniera sartoriale sulla specifica realtà – afferma il manager. Ogni azienda, ogni cliente è diverso e ha dei rischi specifici che devono essere individuati, valutati e gestiti. Riusciamo sempre a “mettere a terra” i nostri progetti e spesso riusciamo dove gli altri si fermano”.

Questo perché lavoriamo a stretto stretto contatto con i nostri clienti per capire e soddisfare le loro esigenze. Loro si fidano di noi e lo dimostra il fatto che abbiamo collaborazioni ultradecennali. Infine, siamo innovatori. Prevediamo con rapidità le esigenze e spesso adottiamo una soluzione implementata ex novo. E, last but not least, puntiamo sulla qualità, sull’eccellenza, sulle competenze. Perché i risultati arrivano quando più persone convogliano le conoscenze e condividono l’obiettivo comune. Questa è NTT Data, e questo è ciò che ci contraddistingue dagli altri”.

Gestione delle identità, come affrontarla e perché insieme a NTT Data ultima modifica: 2022-09-22T15:56:04+02:00 da Valerio Mariani

LEAVE A REPLY

Please enter your comment!
Please enter your name here