Identità digitali a rischio con AI e cloud: nuove strategie per i CISO

La crescita delle identità e la necessità di una sicurezza proattiva

Secondo il CyberArk 2025 Identity Security Landscape, 9 organizzazioni su 10 riportano una violazione di successo incentrata sull’identità, con attori malevoli implacabili e sofisticati che continuano a prendere di mira le identità. Le identità macchina superano già oggi ora quelle umane in un sorprendente rapporto di 82:1, e con l’AI che si prevede sarà il generatore principale di nuove identità con accesso privilegiato e sensibile, la superficie di rischio si sta ampliando in modo esponenziale.

Eppure, nonostante ciò, la sicurezza delle identità rimane palesemente reattiva. I team spesso applicano controlli di accesso privilegiato solo dopo aver distribuito account cloud, carichi di lavoro e risorse. Il risultato? Un crescente debito di sicurezza che deve essere sanato da team di sicurezza che a volte non hanno nemmeno il controllo delle risorse che sono incaricati di proteggere. Questa disconnessione tra proprietà (CIO e CTO) e responsabilità (CISO) non solo crea inefficienza, ma estende anche il divario del rischio legato alle identità.

L’approccio “security at inception”: proteggere fin dall’inizio

È tempo che i CISO traccino una linea. Lo stato attuale della proliferazione delle identità richiede un passaggio a un modello proattivo: proteggere le risorse aziendali e gli accessi privilegiati al momento della loro creazione. Questo paradigma, noto come “sicurezza dall’inizio” (security at inception), richiede l’integrazione di controlli di identità automatizzati nelle pipeline DevOps e infrastructure-as-code come Terraform, Ansible e nei flussi di lavoro CI/CD.

Sicurezza dall’inizio significa:

• Protezione degli account privilegiati al momento del provisioning: account e secret privilegiati locali incorporati e altri account privilegiati a lunga durata vengono automaticamente messi in sicurezza (vaulted) quando sono create le risorse.
• Applicazione del principio ZSP – Zero Standing Privileges: gli utenti umani ricevono accesso just-in-time (JIT) ed effimero solo quando necessario, per impostazione predefinita quando vengono create nuove risorse, riducendo il rischio persistente.
• Validazione delle pratiche di codifica sicura: le identità dei carichi di lavoro vengono verificate attraverso un ciclo di vita di sviluppo software sicuro (SSDLC), garantendo che l’igiene delle identità sia integrata nel codice fin dall’inizio.
• Automazione del ciclo di vita dei certificati: i certificati dovrebbero essere richiesti automaticamente tramite un servizio di gestione del ciclo di vita dei certificati per governarne creazione, gestione e rinnovo attraverso tutte le autorità di certificazione (CA) pubbliche e private.

Questo approccio elimina ogni possibile ritardo tra creazione e protezione, riduce la superficie di attacco e si adatta alla velocità della trasformazione digitale. Il ruolo della sicurezza cambia sostanzialmente: da guardiano reattivo a abilitatore proattivo.

Le forze che rendono urgente una sicurezza proattiva delle identità

Quattro forze convergenti rendono questa trasformazione urgente:

• Accelerazione dell’AI: i sistemi di Agentic AI – agenti software autonomi o semi-autonomi – possono eseguire un’ampia gamma di azioni privilegiate, operando come esseri umani, ma scalando come macchine. Questi sistemi moltiplicano la complessità e riducono la supervisione umana. Una volta distribuiti, saranno difficili da proteggere retroattivamente.
• Velocità del cloud: oggi, l’attivazione di infrastruttura e servizi vengono è più veloce che mai. Le aziende moderne distribuiscono carichi di lavoro cloud a migliaia, spesso in modo dinamico ed effimero. I processi di sicurezza manuali non possono tenere il passo con questa velocità e scala.
• Pressione di audit e conformità: i framework normativi richiedono sempre più spesso prove di controllo, in particolare per quanto riguarda l’accesso privilegiato. Senza automazione, soddisfare questi requisiti è uno sforzo costoso, lento e non coordinato.
• Scarsità di risorse nella cybersecurity: i team di sicurezza sono sotto pressione. Con crescenti responsabilità e personale limitato, le aziende devono trovare modi per fare di più con meno. Integrare la sicurezza nei flussi di lavoro automatizzati riduce significativamente il carico operativo sui team e libera capacità per focalizzarsi su iniziative strategiche.

Le aziende rimangono esposte quando la gestione di identità e privilegi è in ritardo rispetto alla creazione delle risorse. L’unica soluzione sostenibile è incorporare la sicurezza nel punto di inizio, automatizzando protezione e governance su larga scala.

Colmare il divario tra proprietà e responsabilità

La sfida di proteggere le identità al ritmo dell’infrastruttura moderna non è solo tecnica, ma organizzativa. Nella maggior parte delle aziende, spettano al CIO o al CTO la creazione e la gestione dei sistemi aziendali, degli account cloud e delle identità macchina. Nel frattempo, il CISO è ritenuto responsabile della protezione di questi stessi asset e accessi.

Questa disconnessione crea un attrito significativo. I team di sicurezza devono inseguire i rischi introdotti da infrastrutture che non hanno fornito e identità che non hanno approvato. Sono bloccati nell’applicazione dei controlli a posteriori, rispondendo reattivamente a audit, avvisi o violazioni.

L’onere della bonifica ricade sull’organizzazione del CISO, mentre la fonte del rischio spesso ha origine a monte, nell’IT o nell’engineering. Questo approccio a silos è insostenibile. Secondo il 2025 Identity Security Landscape, il 70% dei professionisti della sicurezza ritiene che i silos di identità siano un fattore chiave di rischio per la cybersecurity. E man mano che aumenta l’adozione di cloud, microservizi e agenti AI da parte delle aziende, questi silos diventano più pericolosi.

Oltre all’automazione, le aziende dovrebbero investire in architetture di riferimento e playbook di governance che standardizzino i principi di sicurezza dall’inizio in tutte le business unit. Integrare questo nel proprio modello operativo IT può aiutare a garantire che la sicurezza delle identità non sia un progetto una tantum, ma una capacità persistente e in evoluzione.

L’agentic AI e l’evoluzione del rischio per la sicurezza delle identità

L’ascesa dell’Agentic AI aggrava questo problema. Questi agenti software autonomi – costruiti su modelli linguistici di grandi dimensioni (LLM) e operanti con crescente indipendenza – stanno iniziando a fornire risorse, prendere decisioni e interagire con i sistemi su larga scala.

Ogni agente AI interagisce indipendentemente con le risorse e i dati aziendali e, dato il suo livello di privilegio, ha il potenziale per creare altri segreti o risorse. Stanno diventando operativi al di fuori della supervisione della sicurezza, così come la loro autorizzazione e autenticazione a queste risorse. Se i controlli di protezione non vengono incorporati nei flussi di lavoro operativi degli agenti fin dall’inizio, l’azienda potrebbe presto essere inondata di identità non gestite e accessi incontrollati.

Cercare di proteggerli dopo la distribuzione è come inseguire le ombre – o, con una metafora calzante, cercare di rimettere il dentifricio nel tubetto.

Senza una governance proattiva, la crescita dell’Agentic AI supererà la nostra capacità di proteggerla. Solo una sicurezza “by design”, fin dall’inizio, può aiutare a garantire che questi sistemi operino entro i limiti definiti su larga scala dal primo giorno. Sarà necessario prendere il controllo mentre l’azienda è nella fase esplorativa dell’Agentic AI, osservando gli agenti in fase di esecuzione e proteggendo i segreti con cui si autenticano. Tutte le parti in gioco ne trarrebbero vantaggi significativi.

Benefici della sicurezza delle identità proattiva per l’organizzazione

Da un lato, i CISO potranno beneficiare di un rischio di violazione ridotto, applicando i principi di Zero Trust ed eliminando i privilegi permanenti. La postura di sicurezza cloud e SaaS risulterà più forte, allineata ai moderni modelli di minaccia. Si garantirà inoltre una maggiore prontezza per audit e conformità, attraverso l’applicazione coerente delle policy e la raccolta automatizzata delle prove. Aumenterà l’efficienza operativa, riducendo le attività manuali di onboarding e bonifica, e migliorerà la resilienza, proteggendo i servizi mission-critical dalle interruzioni.

Per CIO e CTO, invece, questa evoluzione si tradurrà in un tempo di accesso più rapido per sviluppatori e ingegneri, con meno attrito con la sicurezza grazie a un’integrazione fluida del flusso di lavoro. Avranno inoltre una maggiore fiducia nel CISO, sapendo che i rischi sono mitigati senza rallentare l’innovazione.

Il futuro sta arrivando velocemente. I carichi di lavoro cloud, le identità macchina e gli agenti AI vengono creati più velocemente di quanto la sicurezza possa rispondere, a meno che non sia integrata fin dall’inizio.

Abbracciando la sicurezza sin all’inizio, i CISO possono finalmente rompere il ciclo del debito di sicurezza ereditato, guidare con chiarezza ed elevare i loro team dalla gestione delle emergenze a una leadership lungimirante. E così facendo, proteggere la loro azienda e consentirle di innovare senza paura.

Incorporare la sicurezza delle identità dall’inizio è il nuovo mandato per la leadership moderna della cybersecurity. È tempo di passare da “proteggilo dopo” a “secure by design” – e il momento di iniziare è adesso.