L’accesso a servizi in cloud, in particolare sotto la spinta della mobility, è una pratica sempre più diffusa anche in ambito b2b e non solo b2c. Un trend che costringe le aziende a ripensare le proprie strategie di azione sul mercato: “La logica della flessibilizzazione di accesso diventa parte integrante di nuovi modelli di business – invita a riflettere Stefano Uberti Foppa, Direttore di ZeroUno, aprendo i lavori di un recente “Breakfast con l’Analista” organizzato in partnership con Dell Software -; in quest’ottica, si può associare lo Iam (Identity and Access Management) alle strategie di differenziazione competitiva delle imprese?”.
L'articolo continua nella pagina seguente
*BRPAGE*
(segue dalla pagina precedente)
La risposta è probabilmente sì, ma per le aziende diventa fondamentale razionalizzare e governare gli accessi ai propri servizi. “Lo Iam oggi deve coniugare esigenze differenti – spiega Riccardo Zanchi, Partner di NetConsulting -: la gestione degli accessi non è più un elemento “standard” e deve tener conto di utenti interni ed esterni (che cambiano dinamicamente), di user con privilegi particolari, nonché di accessi da multidevice. La sfida principale sta nel coniugare le nuove esigenze di flessibilità del business con quelle più tradizionali di governance e controllo dell’It: lo Iam diventa dunque la strategia attraverso la quale far convivere utenti, processi, device e tecnologie”.
I relatori da sinistra Stefano Uberti Foppa, Direttore di ZeroUno, Riccardo Zanchi, partner di NetConsulting e Alessandro Festa, Senior System Consultant di Dell SoftwareUna situazione piuttosto complessa dove, anche dal lato dell’It, le sfide non sono banali, come fa notare Alessandro Perrino, Business Development di Fastweb: “Il cloud probabilmente trova nella mobility la chiave primaria per l’accesso ai servizi, ma ai fini del controllo It, le identità devono necessariamente essere gestite insieme agli accessi [ovvero, dal momento che esistono piattaforme Iam che permettono di amministrare identità e accessi in modo unificato, è preferibile, sotto il profilo della governance, optare per questo tipo di soluzioni oppure si possono mantenere le due funzioni separate e gestite con tool diversi?, ndr]?”, si chiede il manager.
“L’importante è capire qual è la definizione di identità – interviene Alessandro Festa, Senior System Consultant di Dell Software -. Oggi tale definizione è strettamente collegata alle attività e alle esigenze del business, non dell’It, quindi anche il controllo degli accessi è a essa connesso: l’It governance in questo caso deve gestire tutti gli accessi e i privilegi, ma questo può essere svolto efficacemente solo se è chiaro il confine di identità e di ciò che può fare o non fare tale identità sui sistemi aziendali”.
La nuova complessità nella quale si muovono le aziende, caratterizzata da una sempre maggiore collaborazione tra diversi attori (dipendenti, clienti, fornitori, partner) e dalla possibilità di fruire delle applicazioni aziendali con modalità e device differenti, deve comunque misurarsi con una governance degli accessi che garantisca la sicurezza di dati e applicazioni aziendali. La difficoltà sta proprio nel capire come procedere verso una revisione dei processi di gestione e autorizzazione delle identità, in ottica dinamica, flessibile e adattiva (magari con sistemi gestibili anche da figure business).
“Noi riscontriamo una serie di difficoltà nel determinare il profilo degli utenti – ammette Gianbattista Caragnini, Cto di Helvetia Assicurazioni -, soprattutto laddove si tende a utilizzare i cosiddetti ‘super utenti’, ossia profili generici con privilegi di vario tipo utilizzabili contemporaneamente da più persone. Situazioni di questo tipo sono comuni nell’It, ma questo apre non poche problematiche sul fronte degli audit e della compliance. La governance diventa quindi l’unico elemento efficace per mantenere il controllo; sul piano tecnologico, servono però strumenti in grado di fornire tutte le informazioni necessarie a esercitare tale controllo (ossia per avere un chiaro quadro di ‘chi fa cosa’, anche utilizzando profili generici)”.
La sicurezza come abitudine
Concorda con questa visione anche Marco Lupi, Responsabile Sistemi di Produzione di Nordcom che, partendo da alcune considerazioni rispetto alle esigenze e alle abitudini degli utenti finali, fa notare “una certa immaturità nell’accesso ai dati e alla loro protezione, soprattutto nel mondo mobile che in azienda subisce le forti contaminazioni delle abitudini d’uso consumer e che sul piano It generano una complessità continua”. “In contesti simili – puntualizza Lupi – la governance diventa l’elemento cardine anche per il controllo It, affinché la gestione delle identità possa concretamente diventare un supporto alle strategie di business”.
“La sicurezza è un’abitudine – incalza Festa -. Abbinare l’utente con privilegi alle singole identità per capire, come si diceva, ‘chi fa cosa’, è risolvibile attraverso la tecnologia. Ma cosa farà l’identità attraverso tale utenza, diventa una questione culturale [dipende cioè dal fattore umano, dal grado di percezione e consapevolezza dell’utente stesso, inteso come persona, circa la sicurezza informatica e la rischiosità di certi comportamenti, ndr]”.
“Ma come si costruisce in azienda una cultura della sicurezza?”, chiede Uberti Foppa ai partecipanti al dibattito. “Oggi l’abitudine alla sicurezza si può coltivare, ad esempio, anche attraverso nuovi processi e strategie di gamification”, risponde in primis Festa, ma tali pratiche risultano ancora poco utilizzate. Formazione, demand e change management sembrano essere le vie più efficaci e accreditate nelle aziende. “Nel nostro caso abbiamo introdotto figure Ict (provenienti dall’esterno) all’interno delle Lob che lavorano come demand manager a fianco ai direttori delle business unit”, testimonia per esempio Caragnini.
“L’esigenza di controllare identità e accessi c’è sempre stata – sostiene Nicla Ivana Diomede, Capo Servizio Progettazione e Sicurezza Ict dell’Università degli Studi di Milano-Bicocca -. Ciò che cambia oggi è la percezione, da parte del business, del suo valore quale elemento abilitatore di nuovi servizi, che non deve però tradursi in minor controllo, sicurezza e protezione”. Risultati che, secondo molti degli It manager che hanno partecipato al dibattito, possono essere raggiunti solo attraverso un’adeguata ‘education’ delle persone coinvolte. “Gli utenti non hanno ancora capito che il furto dell’identità digitale può avere ripercussioni importanti anche sulla propria identità fisica”, invita a riflettere Leonardo Casubolo, Chief Security Officer di Kion Group. “Tale cattiva percezione si ripercuote inevitabilmente sulle abitudini d’uso e di comportamento delle persone negli ambiti professionali e lavorativi e compete all’It la messa in sicurezza di dati, sistemi e servizi, lavorando nel difficile bilanciamento tra esigenze di protezione/controllo e garanzia di accesso a nuovi servizi”.
“La chiave sta nel valore di business – suggerisce in chiusura Mario Gentile, Ict – Service Line Energy & Risk Management di A2A -. L’erogazione di nuovi servizi, ovviamente genera valore, ma questo si scontra con i rischi derivanti dall’accesso a dati e sistemi. Il valore complessivo dipende quindi da più fattori: l’importante è che la sicurezza non arrivi a rappresentare un freno e, come abbiamo più volte ribadito in questa aperta discussione, affinché non lo sia, diventa prioritario lavorare sulla profilazione degli utenti e sulla definizione delle identità”.
Dell One Identity Solutions: un puzzle componibile Offrire agli utenti il corretto accesso alle informazioni di importanza critica per l’azienda dovrebbe essere una priorità dell'azienda e non dell’It perché da esso possono dipendere la produttività e la competitività del business. Per fare in modo che gli utenti possano operare efficacemente accedendo alle risorse disponibili in maniera dinamica e flessibile, riducendo al contempo il carico sulle risorse It, Dell Software ha adottato un modello di proposta modulare, chiamato Dell One Identity Solutions, che racchiude tutti i tasselli tecnologici necessari a governare accessi, identità e compliance da un unico punto di controllo. Le soluzioni disponibili sono pensate per rispondere in maniera puntuale a ogni singola problematica (controllo degli accessi, gestione delle identità, gestione degli account privilegiati, monitoraggio delle attività degli utenti) attraverso svariate funzionalità (provisioning aziendale, federazione, identity intelligence, gestione dei ruoli, single sign-on, gestione account, audit, gestione policy, controllo vulnerabilità ecc.). Implementabili singolarmente, ma componibili a seconda delle necessità, le soluzioni Dell sono state pensate secondo questo modello per consentire alle aziende di costruire gradualmente la propria strategia di Identity and Access Management (quindi anche con investimenti progressivi), senza dover riscrivere i propri processi, ma semplicemente adattandoli alle normative e alle tecnologie di supporto. Qualsiasi sia il punto di partenza, il percorso adottato e le tecnologie implementate, il ‘puzzle’ risultante è nativamente integrato grazie all’utilizzo di standard aperti e, soprattutto, è controllabile da un unico punto, facilitando così le operazioni di It management. |
