La ricertificazione dell'accesso è un controllo IT che prevede il controllo dei privilegi di accesso degli utenti per determinare se sono corretti e aderiscono alle politiche interne dell'organizzazione e alle normative di conformità. La ricertificazione dell'accesso è in genere responsabilità del Chief Information Security Officer (CISO) o del Chief Compliance Officer (CCO) dell'organizzazione e può anche essere nota come attestazione di accesso o revisione dei diritti.
La ricertificazione dell'accesso può essere eseguita manualmente o in modo programmatico. Il primo passaggio in un processo di ricertificazione manuale consiste nell'estrarre e raccogliere le informazioni sull'account dai sistemi IT e aziendali dell'organizzazione e distribuirle in un formato che consenta a ciascun manager di vedere facilmente quali privilegi sono stati concessi a ciascuno dei suoi dipendenti. Ai manager viene quindi assegnata una scadenza per la revisione delle informazioni per segnalare un accesso inappropriato e verificare l'accesso appropriato. Le sfide con questo approccio includono la possibilità che la ricertificazione possa essere eseguita solo sporadicamente e che alcuni manager potrebbero non comprendere l'importanza della ricertificazione dell'accesso e timbrare le loro verifiche.
Nelle organizzazioni di grandi dimensioni, il software di governance degli accessi può essere utilizzato per automatizzare il processo di ricertificazione e garantire che i controlli vengano effettuati regolarmente. Una volta che le informazioni sono state estratte e normalizzate, il software utilizza un modello di messaggio per inviare richieste di ricertificazione. Se il destinatario della richiesta di ricertificazione non risponde entro un periodo di tempo specificato, il software sospende i diritti di accesso del destinatario e informa il manager del destinatario. Le sfide con questo approccio includono il costo del software, nonché il tempo, gli sforzi e le conoscenze tecniche necessarie per garantire l'interoperabilità del software con i sistemi legacy.