Mentre i confini aziendali perdono la definizione tradizionale e fenomeni come cloud e mobility ridisegnano il concetto stesso di perimetro e sicurezza, l’implementazione di una corretta strategia di Identity and access governance (Iag) o management (Iam) si profila come un’urgenza per moltissime aziende, indipendentemente dal settore. Le soluzioni che rispondono a questa esigenza, viste non solo sotto il profilo della tecnologia, ma anche in una prospettiva business oriented in base alla capacità di mitigare i rischi (attraverso il controllo delle identità, quindi evitando accessi non autorizzati e pericolose fughe di dati sensibili), e restituire competitività (aumentando l’efficienza operativa e la produttività individuale, distribuendo le informazioni necessarie alle attività di business nei tempi e ai destinatari giusti), sono state al centro del recente “Breakfast con l’Analista” organizzato da ZeroUno, in collaborazione con NetIq.
“Oggi – ha esordito Stefano Uberti Foppa, Direttore di ZeroUno in apertura di dibattito – le imprese vivono una condizione di effettiva complessità, dovendo fornire al mercato risposte quanto più tempestive e puntuali. Tale complessità si ripercuote anche sull’It: da qui, la necessità di un’azienda “liquida”, in grado cioè di ridefinire continuamente, in modo flessibile e dinamico, i propri confini e il presidio sul mercato”.
In questo quadro, la sicurezza informatica diventa fondamentale e lo Iag va visto non solo come elemento di controllo per gestire la complessità dell’organizzazione moderna, ma anche per ridisegnare proattivamente i processi aziendali all’interno di una strategia che punti ad accrescere l’efficacia operativa e il differenziale competitivo.
La sicurezza connaturata al processo di digitalizzazione
Riccardo Zanchi, Partner di NetConsulting, inquadra lo Iam come uno “degli effetti collaterali della digitalizzazione aziendale”, che va continuamente declinato in base al mutare delle esigenze dell’organizzazione: “La sicurezza non è statica, ma incrementale. Gli step evolutivi di digitalizzazione – prosegue Zanchi – devono essere valutati in base agli impatti su infrastrutture e applicativi, ma anche e soprattutto sul comportamento degli utenti. La sicurezza va implementata sulle singole aree di criticità, dagli endpoint alle reti, alle applicazioni, ma va sempre ricondotta a un disegno organico e ad hoc”.
Secondo l’analista, infatti, le mosse per costruire una corretta strategia Iag, prevedono l’analisi approfondita del proprio contesto, l’identificazione di regole di base rigide e precise, la definizione dei profili degli utenti in un “database” sempre aggiornato, che racchiuda non solo le informazioni relative all’identità, ma anche, per esempio, gli orari o i dispositivi di accesso.
“La sicurezza – spiega Zanchi – va costruita muovendosi tra gli standard fissi della compliance e l’imprevedibilità del comportamento degli utenti, per cui bisogna coprire preventivamente il numero più alto di possibili azioni a rischio, pur sapendo che ci sarà sempre qualcosa che sfugge al controllo”.
Emergono così esigenze diverse: “L’It ha bisogno di strumenti integrati e pervasivi che vadano a toccare tutti i punti dell’infrastruttura per un controllo completo e granulare. Il business, invece, vuole strumenti semplici, da utilizzare in autonomia “.
La scelta finale presuppone un lavoro sinergico e il compromesso tra le diverse esigenze, attraverso la misurazione di rischi e opportunità: il consiglio è stabilire regole di base chiare, senza però irrigidimenti che limitino la flessibilità dell’azienda.
L’opportunità di razionalizzazione dei processi
Scoperchiando il vaso di Pandora, le considerazioni di Zanchi stimolano la reazione dei presenti. Il primo a intervenire è Leonardo Casubolo, Chief Security Officer, Kion Group : “Abbiamo iniziato ad affrontare il problema in ritardo. Lo Iam dovrebbe essere connaturato allo sviluppo dei sistemi informativi, ma spesso per questioni di ordine economico, viene procrastinato. Lo sviluppo di una strategia Iam corretta presuppone l’analisi a tavolino degli oggetti, prima di definire le autorizzazioni: bisogna partire dalla data classification, identificando il grado di sensibilità delle informazioni e distinguendo, in pratica, i ‘diamanti dai sassolini’, per poi stabilire chi ha accesso a cosa”.
Lo Iam implica dunque una fase di chiarificazione interna a priori che spesso viene trascurata e che, invece, può avere risvolti significativi nella razionalizzazione di processi e infrastrutture. Una funzione (quella di elemento “razionalizzatore”) che viene attribuita alle soluzioni Iag anche da altri punti di vista.
Lo sottolinea l’intervento di Flavio Tavernelli, Responsabile Rete & Sicurezza di Irccs Humanitas: “Tenere sotto controllo l’accesso alle informazioni nell’ambiente ospedaliero, dove entrano ed escono quotidianamente molte persone, richiede impegno. A questa problematica si somma la complessità di un’infrastruttura It eterogenea, composta da diverse applicazioni verticali. Stiamo quindi lavorando allo sviluppo di soluzioni Iam viste anche come elemento di razionalizzazione per la profilazione degli utenti e la gestione dei dati sensibili”.
In quest’ottica, si muove anche Edipower, come spiega Emanuele Andrico, It Manager Core Business della società: “Abbiamo lavorato alla definizione di una strategia Iam negli ultimi sei anni, attuandola però in maniera verticale, per singole applicazioni. Ci manca una soluzione orizzontale che permetta il provisioning e il deprovisioning degli utenti trasversalmente a tutta l’infrastruttura. Finora abbiamo sopperito a tale carenza grazie alla conoscenza delle persone, sapendone ruoli e comparti, ma il maggiore ricorso a forza lavoro esterna, che porta in azienda dispositivi e piattaforme diverse, fa emergere più che mai la necessità di un controllo maggiore, a livello non solo di endpoint, reti e applicazioni, ma dell’utente stesso”. Come a dire che l’identità diventa il focus attorno a cui costruire la strategia di sicurezza.
La stessa difficoltà nel gestire utenti esterni che si interfacciano con i sistemi aziendali viene raccontata anche da Luca del Bosco, Responsabile Sistemi Informativi del Collegio San Carlo. “Agli studenti che portano i dispositivi personali a scuola – spiega – abbiamo assegnato una rete dedicata diversa da quella utilizzata per i sistemi aziendali”. A preoccupare di più Del Bosco è, infatti, proprio il fattore umano e la rischiosità di alcuni comportamenti: “Gli alunni non comprendono perché a scuola non possono navigare e usare applicazioni con la stessa libertà di casa”, quindi bisogna permettere loro di farlo, ma con le adeguate garanzie di sicurezza per il Collegio.
It e Lob: la mediazione è un continuo work in progress
Un problema comune a tutte le aziende, anche in altri settori. A questo proposito, Adriana Restelli, Responsabile Nucleo Supporto e Demand Management di Ubi Banca Private & Investment, affronta il tema della necessità di compromesso tra It e Lob: “Siamo prevalentemente una banca di promotori finanziari che, lavorando esternamente, hanno esigenze di accesso alle informazioni e problematiche di sicurezza differenti da quelle dei dipendenti interni. Abbiamo deciso di negare ai promotori l’accesso alla rete bancaria, facendoli lavorare su network singoli dedicati”. Anche con questa limitazione, però, il processo di identity management non è banale. “Il principale ostacolo rimane la compliance – dichiara Restelli -: i promotori hanno bisogno di avere quante più informazioni possibili sul cliente, ma bisogna scendere continuamente a compromessi per ottemperare i blocchi imposti dalle normative”.
Chi deve costantemente mediare tra interessi ed esigenze contrapposte è anche Alberto Peralta, Is/It director di Astra Zeneca: “Come multinazionale, la nostra strategia anche in ambito Iam è un compromesso tra direttive globali e declinazione locale. Nella nostra azienda, sul fronte della gestione di identità e accessi noto una forte delega delle scelte da parte del business verso l’It”. E se la delega delle Lob viene vista come un atto di fiducia, Peralta concorda sulla necessità di una stretta collaborazione tra Sistemi Informativi e business.
“L’It – afferma Filippo Giannelli, Sales Director di NetIq – è sotto pressione: da un lato, la compliance viene avvertita come freno, dall’altro le nuove tecnologie mettono in dubbio il reale controllo sulle applicazioni. In più, c’è la necessità di risposte immediate alle esigenze di business. Il rischio di perdere la governance sugli accessi è alto: diventa èerciò fondamentale l’adozione di strumenti Iam modulari e flessibili, in grado di rispondere puntualmente ad ambienti dinamici: se, per esempio, un dipendente cambia reparto, come gestire la transizione dal punto di vista degli accessi alle applicazioni?”.
Lo testimonia l’esperienza di A2A, cliente NetIq, raccontata da Mario Gentile, Ict – Service Line Energy & Risk Management della società: “Recentemente, per scelte organizzative ed esigenze di compliance, abbiamo dovuto apportare dei cambiamenti al sistema informativo, per cui i processi di distribuzione e vendita, che prima erano gestiti centralmente, oggi vengono smistati su sistemi differenti. La soluzione Iag implementata ci ha permesso, in questa fase di trasformazione, di gestire con rapidità le identità e gli accessi degli utenti, adattandoli al nuovo assetto applicativo”.
Ed è proprio sulla capacità di vista integrata e profilatura degli utenti “orizzontale” alle applicazioni che Giannelli identifica il punto di forza delle soluzioni NetIq: “Non bisogna vietare in modo categorico l’utilizzo di dispositivi e applicazioni, perché, quando si impongono regole troppo rigide, è alto il rischio che vengano aggirate. Piuttosto, dopo avere messo in sicurezza dati e applicazioni core, si devono mappare accessi e identità trasversalmente, tenendo un registro delle azioni: non si possono prevenire comportamenti scorretti, ma, in caso di incidente, si ha la possibilità di dimostrare al business di avere fatto tutto il possibile per tutelare il patrimonio informativo aziendale”.
Soluzioni automatizzate e modulari da NetIq NetIq è una software house americana con headquarter a Houston in Texas. Il portfolio aziendale include soluzioni automatizzate e modulari per la gestione della sicurezza, sistemi e applicazioni, workload, identità e accessi, che aiutano le organizzazioni a fornire, misurare e gestire in modo sicuro i servizi It in ambienti fisici, virtuali e cloud. tra i prodotti di punta, Access Manager integra gli standard di federazione più recenti (Saml – Security Assertion Markup Language – per lo scambio di dati di autenticazione e autorizzazione tra domini di sicurezza distinti, tipicamente un identity provider che fornisce informazioni di identita e un service provider che eroga servizi; Ws-Federation, una specifica sottoscritta da numerosi vendor tecnologici, che definisce i meccanismi per permettere ai domini di sicurezza di negoziare e gestire informazioni su identità e autenticazioni; Liberty Alliance, un progetto che dal 2011 definisce linee guida e best practice per lo Iam secondo un approccio olistico) con le tradizionali tecnologie di gestione degli accessi, garantendo una soluzione ottimizzata per la protezione dell’accesso alle applicazioni, che siano esse di proprietà delle aziende o dei partner aziendali o in hosting nel cloud. Identity Manager è una soluzione flessibile e completa di provisioning utente in grado di gestire le risorse attraverso implementazioni fisiche, virtuali e sulla nuvola, che fornisce scalabilità di livello enterprise e integrazione di reporting. Sentinel è una soluzione competa di Security information and event management (Siem) che garantisce alle aziende una visibilità in tempo reale sull’ampia gamma di attività It per contenere le minacce, migliorare le operazioni di sicurezza e applicare controlli delle policy. Recentemente, il vendor è stato riconosciuto da Forrester Research come leader nel settore dell’Identity and Access Management, in base al report del terzo trimestre 2013 che ha preso in analisi nove fornitori di soluzioni Iam. |