Governance Federata per le Identità AI: Chiudere il Gap di Visibilità del 92%
L’identità è ancora l’unica superficie di controllo di cui la sicurezza può realmente disporre, ma l’IA ha creato un buco di visibilità del 92% che compromette questo controllo.
Il Gap di Visibilità Aperto dall’AI
Per anni, l’identità è stata una superficie di controllo affidabile, mantenendosi costante anche quando gli utenti e le identità si spostavano da on-prem a SaaS e cloud. Tuttavia, l’AI ha creato un gap sufficiente a minare l’intero modello di controllo. La ricerca e le valutazioni recenti mostrano che molte organizzazioni mancano di visibilità centralizzata sulle identità AI e non umane, e molti non si sentono sicuri nel rilevare eventuali abusi.
Il problema non riguarda modelli di AI speculativi, ma identità tangibili che operano all’interno delle piattaforme aziendali come ERP, finanza, HR e CRM, per le quali molte organizzazioni hanno attualmente controlli di governance limitati.
I Rischi delle Identità Non Umane
Le identità non umane, come agenti AI e account di servizio, ora superano gli esseri umani in molti ambienti. Queste identità non appaiono nei sistemi HR, non completano corsi di formazione e raramente vengono incluse nelle revisioni di accesso tradizionali, pur avendo spesso accesso ampio e duraturo ai sistemi e dati critici.
La storia del ciclo di vita è interrotta. Gli account umani seguono processi di assunzione e cessazione, mentre le identità AI e di macchina vengono create ad hoc e quasi mai ritirate in modo governato e tempestivo. Inoltre, gli agenti AI non rispettano i confini delle piattaforme, rendendo difficile la visibilità centralizzata.
Verso una Governance Federata per le Identità AI
La federazione è un’idea familiare nell’identità, consentendo agli utenti di autenticarsi attraverso domini usando un provider di identità fidato. Tuttavia, l’era dell’AI richiede domande diverse: chi sta accedendo, ma soprattutto, cosa possono fare e come possiamo provare di avere il controllo?
La governance federata diventa essenziale, fungendo da strato di controllo che unifica tutte le identità—umane e non umane—in un’unica visione guidata dalle politiche.
Cosa Cambia con la Governance Federata
Con l’implementazione di un layer di governance federata, si ottiene un inventario completo di tutte le identità nel proprio ambiente, inclusi agenti AI, account di servizio e chiavi API. Ogni voce viene arricchita con un proprietario responsabile, un obiettivo di business chiaro e attributi di rischio.
Le politiche vengono definite per tagliare trasversalmente i sistemi e i tipi di identità. La governance federata non solo registra le violazioni, ma orchestrerà anche la correzione, revocando accessi o ruoli quando necessario.
Conclusione
Con una governance federata in atto, le organizzazioni possono finalmente avere visibilità e controllo sulle identità AI, trasformando l’AI da un argomento misterioso a una metrica di governance delle identità. Ciò consente di affrontare la compliance e le richieste di audit con maggiore fiducia e chiarezza.
