Intervista a Stefano Sali – Senior Principal Consultant Security di CA Technologies
L’impatto che le violazioni dei dati e i furti di identità hanno avuto negli ultimi anni, influenzerà notevolmente il modo in cui le aziende – e in generale le organizzazioni – valuteranno e affronteranno il tema delle identità digitali. Oggi, inoltre, il tema è di particolare interesse anche nell’ambito dell’Agenda Digitale del Governo, dal momento che il Sistema Pubblico per l’Identità Digitale (SPID) rappresenta una priorità per l’Agenda stessa.
Qual è la visione di CA sul tema dell’Identità digitale, in merito allo scenario nel quale le aziende italiane si stanno muovendo?
La crescente digitalizzazione della nostra società ha già comportato un generale aumento delle identità digitali, associate ai vari «account» che gli utenti possiedono e che sono associate sia ai loro dispositivi mobili, sia agli account sui social media e sui portali di e-commerce, ma anche ai dipendenti delle aziende, che le utilizzano per accedere ad applicativi, documenti e altri strumenti di lavoro. Il possesso di una o più identità digitale associate alle persone permette infatti oggi di accedere ad una vasta gamma di servizi: mobile banking, applicazioni mobili per car sharing, servizi di pubblica utilità, etc.
Parallelamente a questo scenario di crescente diffusione delle identità, gli attacchi informatici stanno diventando sempre più sofisticati e sempre più pericolosi in termini di impatto: pensiamo, ad esempio, all’attacco informatico che ha subito Anthem, la principale compagnia di assicurazioni sanitarie degli Stati Uniti, che ha portato al trafugamento di 80 milioni di utenze. Questo è sicuramente uno dei peggiori danni subiti da una società di assicurazione sanitaria negli USA. In generale, quindi, la violazione dei dati e i furti di identità stanno aumentando in termini di danno arrecato alle organizzazioni e ai cittadini.
In un mercato sempre più caratterizzato da fenomeni come il Cloud e il Mobile, quindi, le organizzazioni sono chiamate ad affrontare la tematica della corretta gestione delle identità digitali e del ciclo di vita degli accessi in modo prioritario.
Quali sono le azioni e le strategie che le aziende e le organizzazioni italiane stanno mettendo in atto sul tema delle identità digitali?
Con la progressiva diffusione di soluzioni in Cloud, che vengono sempre più utilizzate anche da aziende di medie e piccole dimensioni, si sta cambiando marcia nell’utilizzo di tecnologie di federation, nel senso che le aziende operano sempre più in un contesto aperto (o per utilizzare servizi o per erogare servizi) e questo comporta l’interazione con un numero di utenti molto più elevato rispetto al passato. Anche per le aziende di piccole e medie dimensioni, quindi, sta diventando fondamentale dotarsi di soluzioni di gestione degli accessi e delle identità, non solo on-premise ma anche in Cloud. Quello che risulta fondamentale oggi è mettere in atto delle strategie di corretta gestione del ciclo di vita delle identità e degli accessi, con l’obiettivo principale di mantenere un livello di sicurezza elevato. Da una parte, quindi, il metodo di autenticazione deve essere molto sicuro, ma dall’altro lato deve essere anche sufficientemente semplice da utilizzare per gli utenti, per garantire una Customer Experience adeguata. Tra le soluzioni innovative, inoltre, si possono citare quelle biometriche, per il riconoscimento delle impronte digitali o per il riconoscimento vocale, utilizzate in abbinamento a tecnologie di Identity Analytics & Adaptive Access Control.
Operare in un contesto di Open Enterprise, inoltre, sta costringendo le aziende a dotarsi anche di soluzioni per automatizzare il processo di gestione delle identità digitali, affinché questo non diventi troppo costoso.
Il Sistema Pubblico di Identità Digitale nel nostro Paese è un esempio innovativo di come anche la Pubblica Amministrazione si stia attivando su questo tema. Lo SPID si propone infatti di garantire ai cittadini e alle imprese l’accesso sicuro a tutti i servizi online della Pubblica Amministrazione in Italia e dei privati aderenti al sistema, in una modalità federata e automatizzata.
Qual è il supporto che CA Technologies offre alle aziende per rispondere alle esigenze specifiche relativamente a questa tematica?
Le soluzioni di sicurezza CA Technologies sono da sempre focalizzate sulle identità e sugli accessi, con un approccio che possiamo definire Identity-Centric: la gestione del ciclo di vita delle identità è infatti il punto di forza della nostra offerta e il principale supporto che offriamo alle aziende. Le più avanzate soluzioni di sicurezza informatica infatti al giorno d’oggi devono – secondo il nostro punto di vista – essere necessariamente idonee alla gestione delle autenticazioni degli utenti, soprattutto nell’ambito dell’analisi dei comportamenti delle identità digitali: da quali device avviene l’accesso? A quale tipologia di applicazione si sta accedendo?
Ca Technologies offre per questo una suite completa di sicurezza che supporta le aziende nell’analisi di queste informazioni, per capire se le attività svolte da una determinata identità digitale siano in linea con quello che lo stesso utente svolge “regolarmente”, oppure se ci sono elevate probabilità che queste attività siano svolte da un hacker. Queste soluzioni di Identity Analytics e Adaptive Access Control sono in grado quindi di fornire alle organizzazioni una “vista” completa e correlata sulle attività svolte dalle varie identità, tracciandone il comportamento attuale e incrociando questo alle informazioni storiche e ai dati del contesto attuale. Le nostre soluzioni sono offerte sia in modalità on-premise, sia in modalità Cloud.
La nuova direttiva sui servizi di pagamento PSD2, infine, farà crescere anche la necessità di disporre di API in grado di gestire una connettività sicura tra i conti dei clienti (non solo delle identità, quindi) e i vari fornitori di servizi di pagamento. Anche su questo ambito, CA Technologies è in grado di supportare le aziende sul tema specifico delle API grazie ad un’offerta tecnologia volta a garantire la compliance delle aziende sulla tematica.