La risposta alla tua domanda dipende dal contesto in cui vengono utilizzati i termini. Al più alto livello di astrazione, il termine generale è Information Assurance dove i 5 pilastri sono:
- Disponibilità
- Integrità
- Autenticazione
- Riservatezza
- Non ripudio
Per essere chiari, l'autenticazione e sono un aspetto della Sicurezza delle informazioni . Il che mira a rafforzare, con un alto grado di fiducia, i pilastri della sicurezza delle informazioni , in particolare il non ripudio.
Quindi, per approfondire, entrambi i termini rientrano in Information Assurance e per associazione, lo spazio di Information Security. principalmente in:
- Gestione identità (IdM) o
- Identity and Access Management (IdAM)
IAM è il termine più comune, soprattutto se lavori in aziende governative o di grandi dimensioni in cui normalmente trovi più di 10000 identità. Per il vostro interesse, consultate le ultime direttive del Dipartimento della Difesa (US) e dei National Cyber Security Centers (UK) e le linee guida qui e qui rispettivamente.
Definizioni e spiegazioni
Identity and access management (IdAM) è un aspetto della sicurezza delle informazioni e comprende tecnologie e processi inclusi i due termini nella domanda.
Identity Governance - è un processo in IdAM. È la gestione delle politiche che governano:
- il ciclo di vita end-to-end (creazione / modifica / spostamento / fine vita) delle identità (uomo / macchina / artificiale) su sistemi eterogenei.
- la gerarchia di accesso alle risorse organizzative che verrà concessa alle identità stabilite (naturalmente proporzionate al ruolo e alle responsabilità dell'azienda).
- conformità con le normative esterne / interne come ISO 27001, GDPR, HIPAA.
Ci sono altre funzioni, ma quelle 3 sono le più importanti in cui credo. In questa pratica, si sta creando un'identità come ad esempio un amministratore di frequenza di rete e si determinano i privilegi di tale identità. Si può anche arrivare a determinare quali aree di un edificio, quali computer, quali stampanti, quale dispositivo mobile può utilizzare quell'identità, o persino bloccare gruppi di dispositivi su un tipo di identità specifico. Questo in effetti è la pianificazione gestita dell'autorizzazione da associare a un'identità. Troverai i tuoi analisti aziendali, architetti aziendali, esperti di conformità, specialisti della sicurezza delle informazioni e auditor di informazioni che giocano a questo livello del gioco.
Gestione degli accessi : analisi e risposta a
- violazioni per accedere alle regole - quale identità sta violando la sua politica di accesso assegnato?
- accedere ai rischi, in particolare profilatura e mitigazione di tali rischi: qual è l'entità di questa violazione e come rispondiamo ad essa? Ha bisogno di ulteriori analisi? Dovrebbero essere catalogati e aggiunti ai vettori di attacco noti ecc.
- esigenze di provisioning in tempo reale - L'accesso è disponibile? vale a dire l'accesso alle risorse in tempo utile? Non è bene concedere l'accesso a una risorsa 5 giorni in ritardo.
Come potete vedere, il controllo degli accessi è strettamente legato alla governance perché l'accesso appropriato (dal punto di vista dell'implementazione tecnica dell'assicurazione delle informazioni) deriva dalle politiche che (piuttosto che dovrebbero) sono già state stabilite dall'autorità di Identity Governance all'interno del Enterprise. In questa pratica, il focus è l'implementazione tecnica dei servizi di autenticazione per determinare con un alto grado di sicurezza che un'identità è chi dichiarano di essere e che rispettano i dettami delle policy impostate. Troverai i tuoi specialisti di sicurezza informatica, analisti di incidenti e risposte, specialisti di infrastruttura (network / storage / database), pen-tester, specialisti di piattaforme, specialisti di software e IA analitica a questo livello.
È improprio vedere l'autorizzazione e l'autenticazione isolatamente, invece, riconoscere che si tratta di termini usati in modo ampio nell'ambito della sicurezza delle informazioni e della sicurezza delle informazioni.