Protezione delle Identità: non Abbassare la Guardia!

Ormai, la mobilità è ovunque. Ma va sfruttata in modo intelligente per trarne i vantaggi competitivi che può offrire. L’accesso immediato – continuo e da ovunque – ad applicazioni, servizi, dati personali o aziendali, nel momento stesso in cui se ne ha bisogno diventa un fattore critico cruciale, insito nella cultura "On Demand" che piano piano ha permeato la nostra quotidianità.

Accedere in modo sicuro ai dati, anche nella realtà "On-demand", risulta comunque irrinunciabile. Per contro, dall’edizione 2016 del Data Breach Investigations Report (DBIR) pubblicato da Verizon è emerso che ben il 63% delle violazioni di dati deriva dall’utilizzo di password deboli, predefinite o sottratte.

Una password che non viene mai cambiata (o troppo semplice), composta ad esempio da nomi o date di nascita, non è più sufficientemente affidabile; oggi i Cyber-criminali più sofisticati non si limitano a bypassare le password, ma le utilizzano proattivamente per promuovere le proprie azioni criminose. Di conseguenza, diventa più urgente che mai combinare quest’evidente debolezza della password con la costante crescita delle transazioni online, lo sviluppo della sharing economy e la progressiva affermazione di Internet of Things, oltre alla necessità di meccanismi di autenticazione user-friendly.

Proteggere le identità risulta assolutamente cruciale: i diversi punti di vista

Il vasto ecosistema di identità, composto da di numerosi Identity Solution Provider, Data Provider e Service Provider, si è ormai evoluto, con l’intento generale di proteggere le informazioni di utenti e aziende da coloro che desiderano ottenerle in modo illegale. A fronte di così tanti Provider e opzioni di sicurezza, la scelta di a chi affidarsi può generare confusione, considerando in particolare i criteri di selezione specifici che ciascun soggetto – come ad esempio consumatori, aziende e governi – usa nel prendere le proprie decisioni.

Ad esempio, i cittadini che selezionano il proprio Provider di identità digitali tramite un sito Web gestito da organismi pubblici o statali privilegiano l'affidabilità del marchio e l'autorevolezza della struttura.

Le grandi aziende, che hanno reti di comunicazioni globali, forza lavoro decentrata e partner virtuali, hanno un'altra ottica: in generale, puntano a proteggere l’accesso ai propri dati e servizi, senza compromettere la produttività. Per questi soggetti, la credibilità, la portata e l’affidabilità globale sono di primaria importanza.

Per contro, gli organismi dello Stato che si stanno indirizzando verso il mondo digitale cercano di ottimizzare i processi delle organizzazioni che le compongono e di offrire, agli utenti finali l’accesso online ai servizi pubblici. Un esempio di ciò è rappresentato dalla sottomissione e quindi dalle interrogazioni che possono essere effettuate sulle proprie dichiarazioni dei redditi. Attività che spesso diventano oggetto di gare di appalto con l’obiettivo di utilizzare i Provider migliori nel supportare e favorire la Digital Transformation.

Il desiderio di avere sempre più servizi online con un’unica procedura o “flusso” e senza la necessità, per gli utenti, di visitare un luogo fisico per confermare la propria identità accresce l’esigenza di soluzioni di proofing e verifica online. Queste ultime possono aiutare imprese, aziende pubbliche e apparati dello Stato a prendere decisioni sulla base di un profilo di rischio fondato sui dati e utilizzato per verificare e convalidare i dati identificativi senza invadere la Privacy dell’individuo.

L'esperienza dimostra che ci sono organizzazioni che evitano metodi di autenticazione multifattoriale delle identità in quanto ne temono la complessità di implementazione e gestione.

Per altro, tutte le violazioni di dati imputabili all’utilizzo di password deboli, predefinite o sottratte, potrebbero essere evitate impiegando processi di autenticazione delle identità più efficaci. Nessuno dei metodi scelti dovrebbe risultare troppo complicato nel rendere più robusti i controlli degli accessi ai servizi Business-critical.

Collaborare con un Identity partner fidato può semplificare la gestione del processo. Ad esempio, Verizon Enteprise Solutions offre servizi professionali per la gestione delle identità e degli accessi aiutando le aziende a gestire in modo efficiente l’identificazione di utenti e dispositivi utilizzando vari sistemi e applicazioni, sia in Outsourcing, sia tramite soluzioni In-house progettate ad-hoc per rispondere ad ogni genere di richiesa particolare.

Condividere per innovare

Il mondo digitale è in continua evoluzione – favorendo nuove tecnologie in territori inesplorati e affrontando le sempre diverse necessità degli utenti. Noi crediamo che il mondo della sicurezza informatica abbia una grande responsabilità nei confronti dei propri stakeholder e debba investire tempo, denaro e competenze nello sviluppo di queste tecnologie, così da garantire che i dati generati in futuro possano essere protetti.

In Verizon stiamo lavorando su vari progetti di ricerca assieme a diverse organizzazioni del settore. Uno di questi è l'Open Identity Exchange (OIX), mirato a rendere sempre più affidabili le transazioni OnLine.

Di recente, abbiamo messo in collegamento varie aziende e istituzioni accademiche per un progetto chiamato ReCRED (Real-world Identities to Privacy-preserving and Attribute-based CREDentials), che è stato inserito all’interno del Programma Quadro europeo per la Ricerca e l'Innovazione Horizon 2020. L’obiettivo di questo progetto è prevedere quello che viene definito “Trust Paradigm Shift” nel mondo digitale – rivalutando il ruolo di autenticazione e autorizzazione unificate per l’utilizzo da Mobile.

Progetti come questo sono spunti preziosi per educare e accrescere la fiducia nel commercio digitale, attraverso sistemi di identificazione trasparenti, sicuri e interoperabili, in grado di offrire a tutti la miglior user experience.