L’Identity Governance and Administration (IGA) è la disciplina che si occupa di gestire in modo sistematico il ciclo di vita delle identità digitali in un’organizzazione — dalla creazione dell’account al primo giorno di lavoro, attraverso i cambi di ruolo, fino alla revoca completa all’uscita — garantendo che ogni identità abbia esattamente i permessi necessari per il proprio ruolo, né più né meno. È la risposta operativa al problema del privilege creep: l’accumulo progressivo di diritti di accesso che gli utenti acquisiscono nel tempo (cambio di reparto, progetti temporanei, sostituzione di colleghi) e che nessuno revoca sistematicamente.
Il problema del privilege creep
In organizzazioni di medie e grandi dimensioni, la gestione manuale degli accessi scala male. Un dipendente che lavora in azienda per cinque anni, ha cambiato tre ruoli e ha partecipato a dieci progetti accumula tipicamente decine di accessi che non usa più ma nessuno ha mai revocato. Questo viola il principio del minimo privilegio e crea rischio reale: un account dimenticato con accessi residui è un vettore di attacco per compromissione di credenziali o abuso insider.
Componenti principali
Identity Lifecycle Management: automazione dei processi di provisioning e deprovisioning degli account. Integrazione con il sistema HR come sistema sorgente autorevole — quando HR inserisce un nuovo dipendente, il sistema IGA crea automaticamente gli account necessari (Active Directory, email, applicazioni SaaS) in base al ruolo. Quando HR marca il dipendente come uscito, tutti gli account vengono revocati entro minuti, non giorni.
Role Management e RBAC: definizione di ruoli aziendali con i relativi permessi associati. Un ruolo Sviluppatore Backend include automaticamente accesso a GitLab, Jira, AWS dev environment, Confluence — senza richiedere approvazioni separate per ogni sistema. L’assegnazione e revoca del ruolo gestisce tutti i permessi in un’unica operazione.
Access Request e Approval Workflow: processo strutturato per richiedere accessi aggiuntivi rispetto al profilo base. L’utente fa richiesta nel portale self-service; il workflow instrada l’approvazione al responsabile del sistema target e/o al manager dell’utente. Tutto è tracciato e auditabile.
Access Certification (Recertification): processo periodico (trimestrale, semestrale) in cui i responsabili di ogni sistema o manager certificano che i propri utenti hanno ancora bisogno degli accessi assegnati. Gli accessi non certificati vengono automaticamente revocati. È il meccanismo principale per combattere il privilege creep ed è spesso richiesto da standard di compliance (SOX, PCI DSS, ISO 27001).
Segregation of Duties (SoD): rilevamento e prevenzione di combinazioni di permessi incompatibili che violano il principio della separazione dei doveri. Esempio: lo stesso utente non dovrebbe poter creare fornitori nel sistema ERP e approvare i relativi pagamenti — combinazione che abilita frodi. Il sistema IGA rileva queste combinazioni e blocca le richieste che le creerebbero.
IGA e compliance normativa
L’IGA è spesso adottata primariamente per soddisfare requisiti di compliance:
- SOX (Sarbanes-Oxley): richiede controlli sugli accessi ai sistemi finanziari e audit trail di chi ha accesso a cosa
- PCI DSS: richiede revisione trimestrale degli account utente e rimozione degli accessi non necessari
- ISO 27001: controllo A.9 (gestione degli accessi) richiede processi formali di provisioning/deprovisioning e revisione periodica
- GDPR: principio di minimizzazione dei dati implica che solo chi ha necessità lavorativa acceda a dati personali
IGA vs. IAM vs. PAM
I tre acronimi coprono aspetti complementari della gestione delle identità:
| IAM | IGA | PAM | |
|---|---|---|---|
| Focus | Autenticazione e autorizzazione in tempo reale | Governance del ciclo di vita e compliance | Protezione degli accessi privilegiati |
| Domanda | «Chi sei e cosa puoi fare adesso?» | «Chi dovrebbe avere accesso a cosa e perché?» | «Come usiamo gli account admin in sicurezza?» |
| Strumenti | IdP, SSO, MFA, directory | Joiner-Mover-Leaver, certification, SoD | Vault, session recording, JIT |
| Esempio | Okta, Azure AD | SailPoint, Saviynt, One Identity | CyberArk, BeyondTrust, Delinea |