Il rapporto tra Lombardia Informatica e Ca affonda le radici nel remoto passato, dai tempi in cui l’It voleva dire solo mainframe e terminali. “Allora – ricorda Paolo Fornasari (nella foto), direttore Tecnologie e Servizi di Lombardia Informatica, società dedicata alla progettazione e gestione del Sistema informativo regionale della Lombardia – nel settore della sicurezza di questo tipo di architetture c’era solo Ca a rappresentare un’alternativa al monopolio di Ibm”. Altro marchio che, comunque, ha sempre giocato un ruolo importante anche dal punto di vista software nel sistema informativo regionale lombardo: basti pensare all’uso, ancora corrente, di Lotus Notes come sistema di messaggistica interno standard all’organizzazione dell’ente.
Già prima che iniziasse l’attuale progetto di Identity Access Management, “le applicazioni di security di Ca avevano trovato un posto di rilievo all’interno del parco software di Lombardia Informatica a seguito di valutazioni – chiarisce Fornasari – sia della conoscenza del mercato sia di economicità”. E così la relazione tra il vendor e la società di servizi pubblica è proseguita nel corso degli anni, attraverso i passaggi dal modello mainframe a quello client-server, fino ad arrivare all’epoca del Web. Questo non ha impedito, però, che quando tre anni fa la Regione Lombardia ha deciso di intraprendere un progetto di Identity e Access Management, “soprattutto con l’obiettivo di supportare le politiche definite dal Documento Programmatico della Sicurezza”, aggiunge Fornasari, Lombardia Informatica si sia prima di tutto guardata intorno. “Alla fine – spiega Fornasari – è risultato chiaro che solo Ca aveva un’offerta in grado di coprire a 360° tutte le nostre esigenze. Esigenze che nascono dalla grande eterogeneità dei servizi applicativi, che ammontano a circa 160, alcuni dei quali con 10-20 sottoapplicazioni (un esempio su tutti sono quelle che gestiscono i vari tipi di fondi pubblici per la formazione in diversi settori economici), e basati su architetture che vanno dal mainframe al client-server, a Intranet e Internet”.
Test su applicazioni e ambienti eterogenei
Se è vero che ormai il mercato già abbondava di ottime soluzioni di Access management per l’ambiente Web (“in cui sono adottati standard universalmente condivisi”, sottolinea Fornasari), ad avere in portafoglio anche soluzioni in grado di offrire il single sign on e l’identity management anche per gli applicativi legacy sui diversi sistemi operativi erano ben pochi vendor. Ca era sicuramente tra questi. “In più c’è da segnalare – interviene il dirigente di Lombardia Informatica – che proprio in quel periodo Ca aveva acquisito Netegrity”, sicuramente uno dei nomi più prestigiosi nel settore dell’access management per i servizi Web.
La buona idea di Regione Lombardia e di Lombardia Informatica, con la collaborazione anche del Cefriel sul piano dell’analisi organizzativa, è stata quella di identificare cinque servizi fondamentali, basati su tecnologie di tipo molto diverso l’una dall’altra, su cui iniziare i primi test. Tra questi servizi figuravano la posta elettronica, la navigazione sul Web, l’accesso all’Intranet, quello ai sistemi della gestione del personale. Tra gli obiettivi della scelta di servizi diversi e basati su diversi “flavour” tecnologici, vi erano quelli di individuare e superare i problemi posti da diversi tipi di sistemi e cominciare ad abituare gli utenti (circa 6.000 quelli coinvolti) a utilizzare i nuovi metodi di accesso ai dati e alle applicazioni. Last but not least, iniziare a creare una base di documentazione da incrementare in seguito all’estensione delle funzionalità di single sign-on e Identity Management a tutti gli altri applicativi.
“Il progetto di single sign on sui primi cinque servizi – racconta Fornasari – è stato completato nel giro di un anno”. Con le due applicazioni Ca acquisite – Ca Siteminder (ex Netegrity) per l’access management alle applicazioni Web-based e Ca Sso (già Ca eTrust Sso) per quello alle applicazioni client-server – non tutto è andato nello stesso modo. Se grazie all’utilizzo degli standard e a un potente motore di policy management nativo (con funzionalità già predisposte anche per la federation) Siteminder non ha dato alcun problema, l’integrazione di Sso con alcuni sistemi legacy di Lombardia Informatica ha richiesto un lavoro più complesso e lungo. Per esempio per quanto riguarda l’interfacciamento con l’ambiente Lotus Notes, che ha posto a Lombardia Informatica, Ca e il suo partner d’implementazione problemi che non erano evidenti prima dell’inizio del progetto. Una situazione che ora è stata superata, ma che può rappresentare una testimonianza della necessità che oggi vendor e implementatori (le cui competenze sulle evoluzioni delle tecnologie sono sicuramente maggiori di quelle delle aziende utenti) abbiano, nei confronti degli utenti, un atteggiamento proattivo, andandoli a supportare nelle possibili criticità della loro implementazione in ambienti pre-esistenti anche quando l’impatto della stessa può non apparire immediatamente evidente.
Obiettivo automazione e controllo
“Ora che il progetto single sign on è praticamente concluso rispetto ai primi servizi su cui volevamo adottarlo, l’acceleratore è pigiato sull’implementazione della parte di Identity management”. Siteminder e Sso, infatti, si occupano esclusivamente dell’unificazione delle credenziali necessarie per accedere ai diversi servizi e di permettere di farlo in osservanza a quanto prevede un Dps: ovvero che l’accesso a ogni sistema richieda l’uso di un codice identificativo e di una password con un numero minimo di caratteri, che queste password siano modificate e così via. Oltre a garantire una maggiore sicurezza nell’accesso alle applicazioni, l’uso del single sign on è in grado di ridurre notevolmente il tempo richiesto agli utenti per accedere ai programmi necessari per il loro lavoro. Secondo Fornasari questo guadagno di tempo (e quindi di produttività) è valutabile intorno al 70-80%.
Ora la seconda sfida che Lombardia Informatica sta affrontando con un altro prodotto Ca, Ca Identity Management, è quello di automatizzare il provisioning delle credenziali agli utenti attraverso l’interfacciamento di questa soluzione, che funge da “cappello” o da “padre” rispetto ai “fratelli” Ca Siteminder e Ca Sso, con i sistemi della direzione risorse umane. Già nell’attuale fase di avanzamento del progetto, l’assegnazione di Id e password agli utenti continua a prevedere una fase di approvazione, basata su una funzionalità di workflow, ma poi il provisioning è gestito in automatico perché ogni sera le modifiche effettuate sul sistema di gestione delle risorse umane sono scaricate sul sistema di Im. Man mano che il progetto complessivo di Identity e Access Management evolverà, si passerà sempre di più a una gestione automatica dell’assegnazione o del ritiro di credenziali (al momento dell’assunzione e delle dimissioni, per esempio), ma anche dei permessi di accesso ai diversi sistemi assegnati a quelle identità, con un meccanismo che tiene conto dei ruoli svolti da ciascuna figura professionale.
“In questo modo – aggiunge Fornasari – la piattaforma di Iam non permetterà solo di assicurare che ciascun utente abbia le richieste credenziali per il single sign-on, ma consentirà anche di avere sempre una visione in tempo reale della situazione di quali sono gli utenti e le applicazioni cui accedono. Con vantaggi evidenti a livello di compliance”.
Se si chiede a Fornasari quale pensa che sarà il driver principale che trainerà gli investimenti e gli sforzi futuri rispetto alle tecnologie di Iam, il manager non vede tanto le norme e la compliance. “Questa è una visione reattiva: il tema della compliance è importante ma è indotto dalle leggi che sono emanate. Noi stiamo cercando di dare alla Regione qualcosa in più rispetto a quello che ci viene al momento richiesto. La possibilità di adottare soluzioni di single sign-on e di Identity management – prosegue Fornasari – ci permette di pensare a sistemi informativi in cui la sicurezza è vista in una logica di servizio comune verso le applicazioni. Anche se non mi piace usare termini altisonanti, si va verso quella che è chiamata Soa e che ci porta a rivedere il concetto di sicurezza applicativa. Ora dobbiamo integrare le funzionalità dei sistemi di access management con i sistemi di sicurezza sviluppati nativamente nelle diverse applicazioni in uso. Domani queste funzionalità saranno uno strato di servizio per tutte le applicazioni e continuamente aggiornate allo stato dell’arte, mentre non è raro che le funzionalità di sicurezza oggi presenti in alcuni programmi legacy abbiano dei bachi. In quest’ottica, in Lombardia Informatica abbiamo creato due centri di eccellenza diversi: il primo si occuperà dello sviluppo applicativo e il secondo delle tecnologie di sicurezza”.
Poter sganciare chi sviluppa le soluzioni a supporto di attività operative dalle problematiche di sicurezza, permetterà di avere applicazioni più efficienti rispetto ai loro compiti “core”. Dall’altro lato, le tecnologie di security e le risorse umane ad esse dedicate potranno offrire la miglior difesa possibile dalle minacce interne ed esterne.
