L’approccio Bring Your Own Identity si fa strada nel settore della sicurezza delle informazioni

L’approccio Bring Your Own Identity (BYOI o talvolta BYOID) è un concetto emergente nell’ambito della gestione degli accessi e delle identità. È un approccio particolarmente interessante poiché fornisce una soluzione realistica a un problema piuttosto significativo: la necessità di migliorare la gestione delle federated identity.

La teoria alla base del sistema Bring Your Own Identity

Così come il suo predecessore Bring You Own Device (BYOD), la metodologia di sicurezza BYOI aiuta non solo a garantire la verifica delle identità nell’ecosistema della sicurezza informatica, ma offre una soluzione a un problema in continua evoluzione e sempre più complesso. Il passaggio al modello BYOD è stato avviato in risposta all’utilizzo sempre maggiore dei dispositivi mobili personali nell’ambiente di lavoro da parte degli utenti. Allo stesso modo, la tendenza al metodo BYOI risolve un problema comune ai provider di sicurezza: la perdita di clienti in caso di scarsa semplicità, sicurezza e trasparenza del processo di gestione degli accessi e delle identità (IAM, Identification and Access Management).

Il modello BYOI è stato progettato come risposta a una catena di eventi che ha interessato gli ambienti di lavoro commerciali di tutto il mondo. La quantità di dispositivi di proprietà dei dipendenti e non aziendali è cresciuta sempre di più, ma gli utenti non vogliono dover ricordare le diverse credenziali di accesso o sottoporsi a misure di autenticazione scomode ed eccessive quali l’utilizzo di impronte digitali o altri tipi di autenticazione biometrica. Inoltre, gli utenti desiderano ridurre al minimo la ridondanza relativa all’identificazione e all’autenticazione e le aziende sono a loro volta ansiose di soddisfare le esigenze dei propri utenti. Ed è qui che entra in gioco il modello BYOI.

Secondo uno studio condotto dal Ponemon Institute, circa il 50% dei dipartimenti IT è interessato ai metodi BYOI e circa la stessa percentuale di team IT prevede di implementare il modello BYOI nei prossimi 24 mesi. Tuttavia, prima di poter implementare questo metodo in modo efficace, è necessario colmare eventuali lacune relative alle conoscenze in materia.

Bring Your Own Identity: un’identità esterna al sistema

Invece di creare un’identità unica e specifica per il sistema interessato, il modello BYOI utilizza come origine di identificazione un’identità estrinseca. Ad esempio, la maggior parte delle persone è abituata a utilizzare le identità di Facebook o Twitter per accedere ad altri servizi tra cui sistemi di classificazione quali Klout, quotidiani, riviste e altri siti Web e applicazioni. L’opzione “Accedi con Facebook” è un esempio di BYOI.

Il sistema BYOI può anche comprendere identificatori biometrici esterni, come ad esempio le impronte digitali e la scansione ottica. Come illustrato in precedenza, le informazioni che autorizzano accessi e identità del metodo BYOI sono esterne al sistema.

Vantaggi per i diversi gruppi di utenti

I vantaggi dell’implementazione BYOI variano a seconda della tipologia di utente. Gli utenti IT ritengono che il principale vantaggio del sistema BYOI riguardi la riduzione di frodi, rischi e costi. Al contrario, gli utenti business si aspettano che il modello BYOI semplifichi le proprie esperienze di utilizzo e quelle dei clienti e che migliori le campagne di marketing mirate. Tali vantaggi costituiscono validi motivi per l’implementazione del metodo BYOI; quest’ultimo presenta infatti un elevato potenziale in termini di riduzione di costi e rischi, acquisizione di clienti e generazione di entrate.

Rischi legati alla metodologia Bring Your Own Identity

L’altra faccia della medaglia è che il sistema BYOI può comportare un aumento dei rischi relativi a perdite e violazioni dei dati rispetto ad altri metodi di verifica delle identità. Ad esempio, se per il sistema BYOI viene utilizzato un identificatore di terze parti come Twitter o Facebook e la terza parte è soggetta a una violazione, il rischio sarà maggiore. Inoltre, molte terze parti utilizzano ancora la tradizionale autenticazione tramite password. Pertanto, il rischio che speravi di ridurre eliminando le password è sempre dietro l’angolo. Infine, qualora il furto di ID fosse interno, potrebbe rappresentare un rischio minore rispetto a quello che verrebbe a profilarsi se una parte esterna entrasse in possesso delle stesse credenziali. In conclusione, prima di essere implementata, la metodologia BYOI necessita di considerazioni specifiche di contesto e di un’analisi accurata dei costi/vantaggi.

No Comments