Identità digitale, una risorsa preziosa per le aziende: ecco perché

La digitalizzazione è un fenomeno epocale che comporta opportunità ma anche rischi e le aziende, come i singoli individui, ne devono tenere conto. Per impostare processi digitali che non mettano a rischio l’attività aziendale e la sua sicurezza la parola chiave è «progettazione». Per questo PwC Italia ha organizzato lo scorso 22 aprile, in collaborazione con la Camera di Commercio di Bolzano, una giornata di approfondimento rivolta alle aziende, incentrata su due capisaldi: trasformazione digitale e identità digitale, il primo passo cioè per rendere sicuro l’accesso di collaboratori e utenti alle operazioni digitali.

«La tecnologia sta cambiando tutti i settori, tutte le risorse e tutti gli stakeholder – spiega Stefano Spiniello, senior partner di PwC -. Ma bisogna ricordarsi che dalla tecnologia si traggono le sue potenzialità massimali solo quando è un elemento che permette a tutta l’azienda di comunicare ed interagire, senza esclusione alcuna. La tecnologia quindi non deve più essere vista solo come cambiamento di un processo, ma anche come elemento di rimodulazione di tutto il modello di business dell’azienda».

https://www.youtube.com/watch?v=Etii70dzi3M&t=40s

Il cambiamento che si deve intraprendere riguarda tutti gli aspetti legati alla vendita, alla relazione con il cliente stesso e alla struttura digitalizzata di azienda e personale. È PwC stessa a offrire soluzioni grazie alle quali ci si può permettere di entrare in sicurezza in questo mondo digitale. Costruire un sistema efficiente e sicuro a livello digitale è una sfida pregna di difficoltà e piccolezze di cui tener conto. Ricordando sempre che oggigiorno i dati sono una ricchezza e quindi devono essere protetti adeguatamente. «L’identità digitale è il centro della trasformazione digitale, non solo protegge persone, processi e risorse, ma permette di promuovere innovazione e migliorare l’esperienza degli utenti. Oggi il dato è ricco di informazioni e di valore», prosegue Spiniello.

Il cambiamento strutturale che viene richiesto alle aziende necessita infatti di una corretta collaborazione tra tecnologia, azienda e personale. Ogni possibile soluzione può comportare dei rischi se non implementata in maniera accorta e minuziosa. Il modello che offre PwC tiene conto delle possibili difficoltà d’implementazione e si pone come problem solver dei 3 principali impedimenti; complessità, costi e tempi. Tale modello prende il nome di IAM e fonde le componenti IG (identity governance) con quelle AM (administration & access management). La prima componente (IG) si occupa del ciclo di vita delle identità digitali di dipendenti, collaboratori esterni e le richieste di accesso alle applicazione. Mentre la seconda (AM) gestisce l’autenticazione e l’autorizzazione, la gestione delle password, i single sign-on, l’autenticazione a più fattori e la gestione delle politiche d’accesso. Ognuna delle due componenti verrà gestita in maniera autonoma, ma legata e in continua comunicazione con l’altra. I software scelti da PwC per gestire queste due componenti del loro modello sono OKTA per ciò che riguarda il mondo dell’Access Management e del MFA, mentre ad occuparsi dell’Identity Governance sarà Sailpoint. La soluzione combinata OKTA – Sailpoint, fornisce un “end-to-end” Identity Management aiutando le compagnie a fornire un accesso semplice e sicuro all’utente, soddisfacendo al contempo i complessi requisiti di conformità e sicurezza. Questo specifico mix di software garantisce di poter creare nuovi profili corredati di autorizzazioni specifiche di accesso a Folders e software aziendali, abilitando chiunque sia più alto in grado di revocare tali permessi o ad assegnarne di nuovi. Il tutto con una User Interface intuitiva e ricca di funzionalità. Le capacità di Sailpoint di gestire i profili e le richieste di permessi si sposa alla perfezione con le abilità del sistema OKTA di proteggere l’identità dei suddetti profili. La creazione del profilo va basandosi su una password, che però può essere implementata con altri sistemi di autenticazione a più fattori quali: SMS, Token fisici, Face ID, Touch ID, permessi via app e molti altri. Il concetto di “Password come unico strumento di accesso” è ormai anacronistico e poco sicuro, mentre un autenticazione divisa su più strumenti digitali o fisici che siano, abbassa drasticamente le possibilità di un attacco hacker.

https://www.youtube.com/watch?v=oEdJTjyK6vk&t=4s

Il metodo usato è chiamato “Zero Trust” (lett. zero fiducia), come ci spiega Vitaly Siciliano EMEA Technical Presaler di OKTA: «Noi ci basiamo sulla zero trust, ossia quando l’identità viene sempre richiesta e mai data per scontata». Un profilo protetto da un’impronta digitale specifica o da un sistema di riconoscimento facciale è infinitamente più sicuro di un altro protetto da una semplice parola chiave. La forza di questa doppia soluzione si trova anche nelle sue specifiche d’implementazione, come ricorda Nicola Venditti EMEA Technical Presaler di Sailpoint: «L’implementazione di questa soluzione richiede poco più di un mese di tempo. Una o due settimane di disegno del progetto e tre settimane tra configurazione e sviluppo. Riusciamo a raggiungere questi tempi record d’implementazione anche grazie ai cloud. Costruire un sistema simile on-premise sarebbe molto più difficile e i tempi si dilaterebbero a più di 1 anno».

Il tutto però, va ricordato, viene effettuato dopo aver già raccolto i dati relativi ai propri collaboratori, dipendenti, clienti e tutto ciò che ruota intorno all’azienda. Spesso viene indicata questa prima parte di progettazione come la più ostica e dispendiosa in termini di tempo e danaro. PwC in collaborazione con Ontopic, primo spin-off ufficiale della Libera Università di Bolzano, ha sviluppato un acceleratore per la Digital Identity Analysis chiamato Data Virtualization Framework, che aiuta le aziende a raccogliere in maniera efficiente e sicura tutti i dati necessari per costruire un identità digitale. Svolge inoltre una funzione di “setaccio”, aiutando a capire quali sono i dati utili e cercando di tirarne fuori il valore.