Identity and Access Management (IAM)

Autenticazione, autorizzazione, AAA, modelli di controllo accessi, RBAC/ABAC, federazione, MFA e gestione identità.

La gestione delle identità e degli accessi (IAM) è uno dei pilastri fondamentali della sicurezza informatica. In questo dominio della certificazione CISSP, imparerai come controllare chi può accedere a sistemi, dati e risorse, utilizzando principi come least privilege, autenticazione forte e gestione delle identità.

🚀 Inizia quiz

Domande disponibili: 114

Cosa imparerai in questo topic

Questo argomento fa parte del percorso CISSP. In questa pagina puoi capire meglio cosa copre questo argomento, quali concetti vengono richiesti e perché è utile esercitarti con un quiz dedicato prima di passare all’esame completo o ai quiz misti.

Il quiz su Identity and Access Management (IAM) ti aiuta a concentrarti su nozioni specifiche, definizioni, scenari pratici e concetti ricorrenti che possono comparire durante la preparazione alla certificazione.

Perché questo argomento è importante

Studiare bene Identity and Access Management (IAM) è importante perché questo argomento contribuisce alla comprensione generale della certificazione CISSP. Una buona preparazione sui singoli topic rende più semplice affrontare sia le domande teoriche sia quelle applicative, migliorando la sicurezza e la rapidità nel rispondere.

Allenarti topic per topic ti permette anche di individuare con precisione i tuoi punti deboli, ripassare meglio e costruire una preparazione più solida nel tempo.

Cos’è l’Identity and Access Management (IAM)

IAM è l’insieme di processi, tecnologie e policy utilizzate per gestire le identità digitali e controllare l’accesso alle risorse. L’obiettivo è garantire che solo gli utenti autorizzati possano accedere ai sistemi giusti, al momento giusto.

Autenticazione vs Autorizzazione

L’autenticazione verifica l’identità di un utente (es. password, biometria), mentre l’autorizzazione determina cosa può fare una volta autenticato. Questi due concetti sono distinti ma strettamente collegati.

Principio del Least Privilege

Ogni utente deve avere solo i privilegi minimi necessari per svolgere il proprio lavoro. Questo riduce il rischio in caso di compromissione dell’account.

Modelli di controllo accessi

DAC (Discretionary Access Control)
MAC (Mandatory Access Control)
RBAC (Role-Based Access Control)
ABAC (Attribute-Based Access Control)

Autenticazione forte e MFA

L’uso della Multi-Factor Authentication (MFA) è fondamentale per aumentare la sicurezza. Combina almeno due fattori tra qualcosa che sai, hai o sei.

Argomenti correlati

Security and Risk Management

Concetti fondamentali CISSP, triade CIA, risk management, governance, policy, compliance, etica e gestione del rischio residuo.

Asset Security

Classificazione delle informazioni, data handling, protezione degli asset, retention, distruzione sicura e data privacy di base.

Communication and Network Security

Sicurezza delle reti e delle comunicazioni: protocolli, segmentazione, architetture, difese, VPN, IDS/IPS e attacchi di rete.

Security Assessment and Testing

Audit e assessment, vulnerability management, penetration test, metriche, validazione dell’efficacia dei controlli e reporting.

Security Architecture and Engineering

Architettura di sicurezza, modelli (Bell-LaPadula, Biba, Clark-Wilson), crittografia, PKI, key management, hardware security e trusted computing.

Security Operations

Operazioni di sicurezza: incident handling, monitoring, logging, forensics, change/config management, BCP/DR, vulnerability remediation e gestione operativa.

Software Development Security

Sicurezza nello sviluppo: SDLC, secure coding, threat modeling, OWASP, code review, DevSecOps e gestione delle vulnerabilità applicative.