Governance dell’accesso

Definizione

La governance dell’accesso, nota anche come Governance dell’identità o Governance e amministrazione dell’identità (IGA), si riferisce a politiche, strumenti e servizi utilizzati per combattere le autorizzazioni non necessarie e imporre un accesso appropriato alle risorse digitali e alle informazioni sensibili. Garantire che gli utenti abbiano solo diritti di accesso assolutamente necessari per il loro ruolo (un concetto noto anche come principio del privilegio minimo o POLP) riduce il rischio di attacchi informatici che sfruttano i privilegi in eccesso e aiuta le organizzazioni a soddisfare standard di conformità sempre più rigorosi per la privacy e la protezione dei dati.

Il termine Governance o gestione dell’accesso è spesso usato in modo intercambiabile con la Governance o la gestione dell’identità. Sebbene vi sia una significativa sovrapposizione tra i due concetti, riteniamo che esistano diverse differenze chiave che distinguono la gestione degli accessi dalla gestione delle identità.

Componenti

Diverse soluzioni di governance degli accessi seguono approcci leggermente diversi e offrono varie funzionalità extra. Tuttavia, questi sono i componenti chiave che definiscono la governance dell’accesso:

• Controllo dell’accesso basato sui ruoli: la modellazione dei diritti di accesso in base ai ruoli aziendali è una parte vitale per implementare con successo il principio del privilegio minimo. In questo quadro, i diritti di accesso necessari ai dipendenti sono raggruppati in ruoli, ad esempio ruoli per diversi dipartimenti, filiali o posizioni. Invece di assegnare le autorizzazioni direttamente agli account utente, gli utenti vengono quindi assegnati a questi ruoli, il che consente loro di accedere a tutto ciò di cui hanno bisogno. Ciò impedisce che le autorizzazioni non necessarie vengano copiate attraverso l’affidamento sugli utenti di riferimento e garantisce che le autorizzazioni vengano revocate quando un utente viene spostato in un altro ruolo o lascia l’organizzazione.
• Flussi di lavoro di approvazione: Lo scopo di un flusso di lavoro di approvazione è quello di consentire ai capi reparto di concedere l’accesso ai dati e alle risorse che gestiscono senza la necessità di coinvolgere il personale IT. I sistemi di governance dell’accesso che supportano i flussi di lavoro di approvazione devono essere consapevoli di chi è il decisore pertinente (noto anche come proprietario dei dati) per una determinata risorsa. L’assegnazione di proprietari di dati e flussi di lavoro personalizzati consente a un’azienda di semplificare il processo di approvazione.
• Recensioni di accesso utente: le recensioni periodiche di accesso utente impediscono l’accumulo di autorizzazioni non necessarie nel tempo. Mentre i dipendenti sono pronti a sottolineare le autorizzazioni che mancano, le autorizzazioni inutilizzate e obsolete tendono a passare inosservate. Il creep privilegio risultante pone un rischio significativo per la sicurezza. Le soluzioni di governance dell’accesso aiutano a prevenire questo accumulo inviando promemoria automatici ai proprietari dei dati, che devono confermare che le autorizzazioni assegnate sono ancora in uso. I privilegi che non sono più necessari vengono rimossi durante questo processo.