Colosso bancario nato dalla fusione tra Banca Intesa e Gruppo Sanpaolo Imi (avviata il 1° gennaio 2007), il gruppo Intesa Sanpaolo è oggi il maggior gruppo bancario italiano e uno dei principali in Europa, con una forte presenza focalizzata nell’Europa centro orientale e nel bacino del Mediterraneo.
Leonardo Rosa (nella foto), responsabile ufficio Progettazione e Standard Sicurezza Informatica, racconta a ZeroUno come la gestione delle identità degli utenti e dei loro diritti di accesso sia un’attività aziendale fondamentale in una strategia di gestione completa della sicurezza.
“La soluzione di Identity and Access Management risale ad alcuni anni fa – tiene a precisare Rosa -. Trattandosi di un programma in continuo divenire e assolutamente fondamentale per un istituto bancario come il nostro, ogni anno sviluppiamo interventi di integrazione che vanno ad aggiungersi come una sorta di ‘tassello’ alla soluzione esistente che quindi è in continua evoluzione”.
Soluzione modulare che si costruisce nel tempo
La soluzione di Identity and Access Management di Intesa Sanpaolo, che mano a mano negli anni si è evoluta, è il risultato di un insieme di tecnologie e soluzioni organizzative. “La nostra è una realtà piuttosto grande e il sistema di Iam è quindi molto automatizzato – precisa Rosa –. Per fare un esempio, il censimento degli utenti arriva direttamente dalla funzione Risorse Umane che con il sistema Iam va a popolare gli ambienti non solo per quanto riguarda le identità, ma anche per le abilitazioni e i privilegi di accesso che queste identità hanno o meno in base non tanto alle persone, quanto al ruolo che ricoprono in azienda. Il modello organizzativo è ben strutturato, quindi anche la gestione delle identità è ormai un processo snello e fortemente automatizzato”.
Nell’introduzione di soluzioni evolute Iam ha avuto un forte impatto organizzativo perché si sono resi necessari interventi di ridisegno dei processi, con una visione “business oriented”. “Il modello organizzativo in un progetto Iam è di assoluta importanza – sottolinea Rosa – perché è da questo che si parte per modellare poi il set applicativo. Nel nostro caso abbiamo dovuto analizzare e disegnare tutte le relazioni e le necessità di interazione tra le varie funzioni di business e la fornitura del servizio (tra chi fornisce i dati e chi vi deve accedere) per modellare adeguatamente la soluzione. È stato perciò un progetto del tutto trasversale all’azienda”.
Il successo della soluzione Iam di Intesa Sanpaolo è quindi legato al fatto che si tratta di una vera e propria piattaforma, basata su due principi fondamentali: disegno modulare e integrazione dei componenti. “Anno dopo anno andiamo ad ampliare non solo il parco degli utenti e delle identità gestite (a seguito anche di acquisizioni, fusioni e del consolidamento aziendale) ma anche a gestire, dal punto di vista tecnologico e organizzativo piattaforme che vanno a integrarsi alla soluzione già presente”.
Amministratori di sistema: nuove regole, nuovi tasselli per lo Iam
“Il progetto di quest’anno ci ha visti impegnati nell’adozione di misure tecniche e organizzative che riguardano nello specifico la figura degli amministratori di sistema perché il provvedimento del Garante lo impone”, sottolinea Rosa.
Secondo i termini di legge, lo ricordiamo, le aziende devono tracciare e registrare tutte le attività degli amministratori di sistemi, reti e database, che a loro volta devono essere nominativamente e univocamente identificati. “La Compliance a queste norme comporta problemi sia organizzativi sia tecnologici – osserva Rosa -. Il progetto è stato quindi affrontato ancora una volta con la logica organizzativa prima di tutto, coinvolgendo tutte le funzioni aziendali necessarie, dal top management alla funzione risorse umane, alla funzione legale, all’ufficio tutela aziendale ecc.”.
Dal punto di vista organizzativo la legge richiede, infatti, che il ruolo di amministratore di sistema sia ricoperto da persone che, oltre alle competenze specifiche, abbiano piena conoscenza delle norme sul trattamento dei dati. La loro attività deve essere regolata in modo chiaro ed esplicito da profili autorizzativi assegnati alle singole persone; nomi e funzioni degli amministratori devono essere registrati sulla documentazione che va annualmente inviata all’Authority, con conseguente verifica annuale della loro idoneità e del loro operato.
“Il provvedimento del Garante ci ha permesso prima di tutto di riflettere su questo ruolo e su come riconoscerlo e definirlo al nostro interno classificandolo adeguatamente – sottolinea Rosa –. Da noi le persone che ricoprivano ruoli identificabili come amministratori di sistema già esistevano, dato che la struttura era ben definita sia a livello strutturale sia tecnologico. Tuttavia, erano funzioni che rispondevano ‘on demand’: la gestione era sostanzialmente delegata ai responsabili di struttura che avevano il presidio e il controllo di determinate risorse (per esempio di un database). Oggi, dopo l’implementazione del progetto che ha ampliato la nostra soluzione di Identity and Access Management, la visione è più strutturata e oltre ad avere un elenco preciso delle persone e dei loro ruoli, funzioni e responsabilità, abbiamo anche un controllo maggiore e immediato nella gestione ordinaria”.
Sul piano tecnologico, infatti, secondo quanto definito dal Garante, occorre che le attività dei system administrator siano controllate da sistemi che garantiscano un tracciamento completo, continuo e inalterabile degli accessi e delle operazioni svolte e che questo tracciamento sia registrato e mantenuto su archivi sicuri per almeno sei mesi.
“Siamo riusciti a impostare la struttura degli amministratori di sistema come se fosse una delle tante applicazioni dell’azienda, potendo quindi gestire il tutto in modo automatico”, enfatizza Rosa. “Possiamo fare un semplice paragone: abbiamo un’applicazione specifica per la pratica di apertura dei fidi che ha una serie di codici abilitativi; le varie strutture dell’azienda accedono o utilizzano quest’applicazione sfruttando questi codici abilitativi; ciò che abbiamo fatto è portare questo stesso disegno sul mondo degli amministratori. In pratica, abbiamo considerato gli amministratori come una sorta di grande applicazione aziendale all’interno della quale esiste una serie di codici abilitativi che vanno a identificare cosa possono fare gli amministratori e su quali sistemi”.
La fase iniziale del progetto ha visto naturalmente coinvolta anche la funzione It che, dal suo lato, aveva interesse a implementare un progetto che andasse nella direzione della semplificazione e facilitazione di tutte le operazioni necessarie ad aderire alle richieste della normativa. “La struttura tecnica, grazie alla collaborazione di Antonio Colasanto, responsabile ufficio Sviluppo Gestione Sicurezza, in questo caso ha agito sia a livello di processi interni (processi It, dunque, modellati però nella logica richiesta dalla struttura di sicurezza che, lo ricordiamo, ha agito in stretta sinergia con la funzione risorse umane e con l’ufficio di tutela legale), sia a livello tecnologico attraverso l’implementazione e l’integrazione delle soluzioni adottate”, precisa Rosa.
“Il risultato raggiunto è molto soddisfacente – aggiunge ancora il responsabile dell’ufficio Progettazione Sicurezza Informatica dell’Istituto–. Avendo indirizzato in fase progettuale il cosiddetto “caso peggiore”, abbiamo realizzato un’infrastruttura grazie alla quale oggi siamo in grado non solo di fornire i cosiddetti log on e log off richiesti dal Garante ma tutta una serie di informazioni aggiuntive che, seppur attualmente non richieste dalla normativa, ci consentono di avere una visione più ampia e, dunque, un maggior controllo”.
Il beneficio maggiore però Rosa lo enfatizza a livello di organizzazione: “Essendo una società soggetta a continue modifiche organizzative, l’investimento continuo in un sistema di Identity and Access Management è fondamentale ed è sempre stato un must per poter adeguatamente seguire e gestire questi cambiamenti. È ovvio che, soprattutto recentemente, molte sono state le modifiche fatte a livello di sistemi e ora che inizia a consolidarsi la struttura è fondamentale trovare l’adeguato modello organizzativo necessario per far fronte al mercato. Il progetto di gestione degli amministratori di sistema ci ha quindi permesso di fare ulteriore chiarezza in quest’ambito – conclude Rosa – permettendoci non solo di implementare le adeguate soluzioni tecnologiche ma anche di impostare la struttura in modo conforme”.
Le soluzioni CA per Intesa Sanpaolo
La scelta tecnologica di Intesa Sanpaolo è orientata anche all’offerta CA che, in questo specifico ambito, si compone dei seguenti moduli: CA Access Control per la risposta puntuale alle esigenze di tracciabilità e di controllo accessi degli amministratori di sistema; CA Audit per la raccolta dei log di accesso in tempo reale e l’archiviazione centralizzata degli eventi di sicurezza; CA Role & Compliance Manager per un agevole inventario continuativo di utenti e risorse correlate ai ruoli organizzativi e funzionali presenti in Banca e la generazione di report di conformità.