Per descrivere due sfide che l'ufficio del CIO di IBM stava affrontando, posso usare l'espressione "tra l'incudine e il martello". Innanzitutto, immagina di dover fornire servizi di autenticazione dell'identità e dell'accesso a oltre mezzo milione di dipendenti IBM in tutto il mondo, con una piattaforma on-premise a tenant singolo altamente personalizzata. E al contempo, dover fornire servizi di identità e accesso analoghi a oltre 26 milioni di clienti globali di IBM con una soluzione distinta e antiquata di prima generazione di identity as a service (IDaaS).
Ora forse inizi a capire con cosa si è scontrato l'Ufficio del CIO di IBM: due piattaforme di gestione delle identità e degli accessi (IAM) distinte, che offrono tecnologie diverse e livelli diversi di maturità, affidabilità e funzionalità.
La portata della sfida può essere difficile da immaginare. Il team Assured Identity and Cybersecurity Operations di IBM ha supportato 5.000 applicazioni, oltre 600 aziende clienti federate e la loro forza lavoro e più di 150.000 gruppi di autorizzazione. In un trimestre del 2021, i servizi di autenticazione IBM hanno supportato 35,7 milioni di accessi.
E nell'ambiente competitivo odierno, il campo di gioco cambiava continuamente. Come sottolinea Daniel Opoku-Frempong, Director of the Assured Identity and Cybersecurity Operations team, "L'organizzazione del CIO di IBM fornisce servizi di identità critici per l'intera forza lavoro IBM, milioni di clienti e ora anche Kyndryl".
La trasformazione dei servizi di autenticazione di IBM richiederebbe una modernizzazione e un consolidamento significativi dell'infrastruttura per garantire in modo efficiente affidabilità e sicurezza su larga scala. Opoku-Frempong descrive la difficoltà: "Avevamo bisogno di orchestrare un cambiamento fondamentale del modo in cui abbiamo acquisito, coinvolto, gestito e amministrato l'identità degli utenti e l'accesso tra i nostri milioni di utenti in tutto il mondo. Non potevamo più difendere lo scarso ritorno sull'investimento e la lenta velocità di commercializzazione che interessavano negativamente ogni workflow affrontato con le vecchie soluzioni."
Scalabilità migliorata
Scalabile fino a oltre 27 milioni di identità interne ed esterne
Funzionalità migliorate
Fornire funzionalità QR o FIDO2 senza password per oltre 800.000 autenticazioni dalla migrazione
Ed Klenotiz, Assered Identity Architect, e i suoi colleghi hanno dato il via al progetto. "Abbiamo completato un'analisi della concorrenza dei principali fornitori di servizi di identità business-to-employee e business-to-business", spiega. "Sfruttare una piattaforma di autenticazione standard basata su cloud sarebbe un primo passo fondamentale per modernizzare i servizi di identità sia per i dipendenti IBM che per i nostri clienti, su larga scala."
Proprio come IBM consiglierebbe ai propri clienti, il team di Assured Identity and Cybersecurity Operations ha raccolto tutti i loro requisiti di identità e accesso e ha confrontato diverse soluzioni del mercato.
Dopo aver raccolto i requisiti e preso in considerazione tutte le opzioni, il team Assured Identity and Cybersecurity Operations ha scelto IBM Security™ Verify (SaaS) per i suoi milioni di utenti interni ed esterni. Il motivo numero uno? In cima alla lista c'era il fatto che le API consentivano una migrazione delle applicazioni senza interruzioni. E secondo? Sarebbero in grado di personalizzare l'interfaccia utente per adattarla alle loro esatte esigenze, senza dover impegnare le loro risorse di sviluppo.
Adottando IBM Security Verify come piattaforma di servizi di gestione delle identità e degli accessi (IAM) cloud standard per tutte le identità B2E e B2B, IBM sarebbe pronta a implementare funzionalità di identità più moderne con sicurezza, scalabilità ed esperienza utente migliorate.
"Con la nuova soluzione, potremmo ampliare la scelta interna dell'utente per l'autenticazione", afferma Opoku-Frempong. "L'autenticazione a due fattori (2FA) protegge in modo significativo dalla compromissione della password, ma è spesso scomoda per gli utenti. Pertanto, abbiamo implementato funzionalità adattive di 2FA che utilizzavano analytics back-end per determinare quando e dove richiedere un'autenticazione aggiuntiva. Il passaggio alle funzionalità IBM Security Verify 2FA ha offerto ai dipendenti IBM una scelta migliorata per l'autenticazione tramite opzioni senza password, come il codice QR e FIDO2 per TouchID e Windows Hello. Questo è stato di per sé un cambiamento epocale."
Ma c'erano altre pressioni. Storicamente, il team CIO di IBM aveva investito nello sviluppo della propria directory aziendale per conformarsi all'International Traffic in Arms Regulations (ITAR), un regime normativo degli Stati Uniti che limita e controlla l'esportazione di tecnologie legate alla difesa e al settore militare. Eliminare e sostituire la vecchia soluzione di gestione delle identità e degli accessi (IAM) in tutto il mondo e tutto in una volta era fuori discussione. Gli ingegneri di IBM Security Verify avevano previsto questo requisito. Il Security Verify Bridge abbinato al Bridge for Directory Sync ha consentito al team CIO di IBM di applicare il proprio investimento legacy e i processi associati. E come vantaggio secondario, ciò ha consentito loro di sviluppare un piano di migrazione attentamente scaglionato con un impatto minimo.
Opoku-Frempong continua: "C'erano altre funzionalità di migrazione che hanno reso la transizione più agevole. La libreria API avanzata di IBM Security Verify ha consentito la migrazione self-service delle applicazioni da parte dei proprietari delle nostre applicazioni, riducendo al minimo l'impatto sugli altri workload. Inoltre, il livello avanzato di controllo sull'accesso API privilegiato ci offre un controllo di sicurezza più rigoroso sull'ambiente, riducendo ulteriormente al minimo i vettori di attacco. Per noi è sicuramente una vittoria."
Opoku-Frempong e il suo team avevano molto da festeggiare. Adottando IBM Security Verify, sono riusciti a migliorare l'esperienza degli utenti e al contempo a rafforzare la sicurezza di quegli stessi utenti e della rete, dei dati e delle applicazioni dell'azienda, su larga scala. Lee Ann Rodgers, Program Manager di IBMid, spiega: "Le funzionalità di IBM Security Verify ci hanno permesso di fornire ai nostri clienti funzioni estensibili per una maggiore sicurezza con metodi MFA flessibili, miglioramento della gestione delle password, gestione del ciclo di vita dell'ID utente e self-care, gestione delle applicazioni, notifica flessibile delle modifiche da parte degli utenti e servizio di event notifications".
Inoltre, ora esiste una visione per il futuro, una promessa di maggiore valore. Con il proseguimento del percorso di autenticazione delle identità e degli accessi di IBM, la forza lavoro e i clienti IBM possono attendersi ulteriori vantaggi:
- Un'esperienza utente trasformata senza password
- Protezione avanzata per utenti privilegiati in ambienti multicloud
- Metodi flessibili di autenticazione a più fattori (MFA), migliore gestione delle password e gestione autonoma dell'ID utente e del ciclo di vita
- Integrazione con i dispositivi mobili e le soluzioni di mobile device management per supportare la strategia zero-trust di IBM
- Architettura dei microservizi IBM Security Verify per una migliore tolleranza agli errori e scalabilità della soluzione
- Piani multisito per una maggiore affidabilità
- Concentrazione continua sull'esperienza utente e sul marchio con un impegno rafforzato per la sicurezza e la privacy
Gary Schmader, Sr. Manager di Assured Identity, riassume la situazione: "Ci affidiamo alla nostra soluzione disponibile in commercio per un'esigenza mission-critical, su larga scala. Con IBM Security Verify, a chiunque interagisca con IBM, ora possiamo offrire un accesso semplice, sicuro e all'avanguardia alle risorse informatiche... e siamo solo all'inizio."
IBM è il leader globale del cloud ibrido e dell'AI e serve clienti in oltre 170 paesi. Oltre 3.500 clienti utilizzano la nostra piattaforma di cloud ibrido per accelerare il proprio percorso di trasformazione digitale e, in totale, più di 30.000 di loro si sono rivolti a IBM per ottenere valore dai propri dati: questo elenco di clienti comprende nove su dieci delle banche più grandi del mondo. Con questa base continuiamo a sfruttare Red Hat OpenShift come piattaforma leader per soddisfare le esigenze aziendali dei nostri clienti: una piattaforma di cloud ibrido aperta, flessibile e sicura. Guidata dai principi di fiducia, trasparenza e sostegno per una società più inclusiva, IBM si impegna inoltre a essere un amministratore responsabile della tecnologia e una forza positiva nel mondo.
Note a piè di pagina
© Copyright IBM Corporation 2022. IBM Corporation, IBM Security, New Orchard Road, Armonk, NY 10504
Prodotto negli Stati Uniti d'America, gennaio 2022.
IBM, il logo IBM, ibm.com e IBM Security sono marchi di International Business Machines Corp., registrati in diverse giurisdizioni del mondo. Altri nomi di prodotti e servizi potrebbero essere marchi di IBM o di altre società. Un elenco aggiornato dei marchi IBM è disponibile sul web alla pagina "Copyright and trademark information" disponibile all'indirizzo www.ibm.com/it-it/legal/copytrade.
Red Hat® e OpenShift® sono marchi o marchi registrati di Red Hat, Inc. o delle sue società controllate negli Stati Uniti e in altri paesi.
Le informazioni contenute nel presente documento sono aggiornate alla data della prima pubblicazione e possono essere modificate da IBM senza preavviso. Non tutte le offerte sono disponibili in ogni Paese in cui opera IBM.
Gli esempi citati relativi a dati di prestazione e clienti sono presentati unicamente a scopo illustrativo. Gli attuali risultati in termini di performance possono variare a seconda delle specifiche configurazioni e delle condizioni operative. LE INFORMAZIONI RIPORTATE NEL PRESENTE DOCUMENTO SONO DA CONSIDERARSI “NELLO STATO IN CUI SI TROVANO”, SENZA GARANZIE, ESPLICITE O IMPLICITE, IVI INCLUSE GARANZIE DI COMMERCIABILITÀ, DI IDONEITÀ A UN PARTICOLARE SCOPO E GARANZIE O CONDIZIONI DI NON VIOLAZIONE. I prodotti IBM sono coperti da garanzia in accordo con termini e condizioni dei contratti sulla base dei quali vengono forniti.
Dichiarazione di buone pratiche di sicurezza: la sicurezza dei sistemi IT comporta la protezione dei sistemi e delle informazioni tramite la prevenzione, il rilevamento e la risposta ad accessi impropri all'interno e all'esterno dell'azienda. Gli accessi impropri possono causare alterazione, distruzione, appropriazione indebita o abuso dei dati o danni o abuso dei sistemi, anche per essere utilizzati per attacchi verso terzi. Nessun sistema o prodotto IT va considerato completamente sicuro e nessun singolo prodotto, servizio o misura di sicurezza può essere completamente efficace nella prevenzione dell'uso o dell'accesso improprio. I sistemi, i prodotti e i servizi IBM sono progettati per far parte di un approccio legittimo e completo alla sicurezza, il quale implica necessariamente procedure operative supplementari, e potrebbe richiedere altri sistemi, prodotti o servizi per fornire la massima efficacia. IBM NON GARANTISCE CHE I SISTEMI, I PRODOTTI O I SERVIZI SIANO ESENTI DA, O RENDERANNO L'AZIENDA ESENTE DA, COMPORTAMENTI DOLOSI O ILLECITI DI QUALSIASI PARTE