Impedire l’accesso ai dati e alle applicazioni aziendali alle persone non autorizzate e permettere, invece, a coloro che lo sono di entrare e utilizzare i sistemi informativi in modo controllato. È il controllo che ci si aspetterebbe di poter avere attraverso un sistema di Identity and access management (Iam), un insieme di tecnologie e di strategie di governance sempre di grande attualità nel mondo delle imprese, dei servizi e degli enti della pubblica amministrazione.
L’adozione di misure di questo tipo è propedeutica a quella di sistemi deputati ad attività ancora più specifiche, una delle quali è sicuramente quella del fraud management, che mira a prevenire l’acquisizione e l’utilizzo non autorizzati di informazioni relative a clienti, asset, sviluppi di nuovi brand e così via. In particolare, se le soluzioni di fraud management devono svolgere compiti come l’analisi degli accessi ai dati e alle applicazioni, l’identificazione di comportamenti anomali, l’invio di alert e l’archiviazione di dei log relativi a ogni attività monitorata, è necessario che a monte vi sia un sistema di Iam affidabile. La strada verso l’adozione di un sistema Iam completo, efficiente, allo stato dell’arte, agile e scalabile non è semplice e dipende molto dall’organizzazione, dai processi di business e dalla storia It pregressa di ogni singola realtà aziendale o pubblica. Tanto che per una società di analisi autorevole, quale Forrester, un modello di introduzione dell’Iam di tipo lineare (che preveda cioè l’effettuazione, uno dopo l’altro, di step uguali per tutte le organizzazioni) non è applicabile. E quindi propone un modello non lineare, versatile, basato sulla maturità in diversi aspetti. Con il suo Identity and Access Management Maturity Model, Forrester si propone di offrire un aiuto effettivo a chi deve creare una strategia Iam.
L’importanza dell’automazione
“L’introduzione dell’Iam necessita di sponsor all’interno dell’organizzazione. Per questo motivo i responsabili dei sistemi informativi che decidono di intraprenderla devono prima di tutto elaborare una strategia che preveda anche la dimostrazione del valore di business dell’Iam”, spiega Andras Cser, analista di Forrester. “Prima di procedere all'elaborazione di un piano strategico è necessario valutare a quali stadi di maturità si trovano già i diversi aspetti dell'Iam nella propria azienda. Sulla base di questa comprensione è possibile stabilire obiettivi realistici di evoluzione di medio e lungo termine e inserirli in un solido piano strategico”.
L’Iam Maturity Model proposto da Forrester divide gli aspetti da valutare in tre domini principali: governance and value, access management e identity management. Per ciascuno di essi, quindi, definisce delle categorie di valutazione che riguardano le persone, i processi e la tecnologia (figura 1).
Figura 1: La composizione dell’ Identity and Access Management Maturity Model proposto da Forrester
(Cliccare sull'immagine per visualizzarla correttamente)
Fonte: Forrester Research
Un focus particolare è rivolto alla tecnologia, ovvero a ciò che consente l’automazione dei processi e dei controlli. “Se ci si concentra, come spesso avviene, quasi esclusivamente sulle persone e sui processi, e si sottovaluta il ruolo della tecnologia, l’Iam rischia di rimanere un insieme di procedure, magari ben documentate, ma destinate a restare nei cassetti”, sottolinea Cser.
Le tecnologie che facilitano la “maturità”
Prendiamo ad esempio il dominio dell’access management. Fra i primi aspetti da valutare, secondo Forrester, vi è quello del Single sign-on (Sso) desktop, il primo tassello di ogni implementazione Iam. Questa tecnologia permette all’utente di autenticarsi una volta sola quando accede al suo desktop e di non dover inserire identificativi e password diversi per ogni applicazione a cui accede. “Le domande da porsi, in questo caso, possono essere: Il sistema di desktop Sso è integrato con quello di modifica delle password (password reset)? Quante applicazioni copre? Come si integra con tecnologie di autenticazione multifattoriale e altri sistemi Iam? Come sono controllati i log?”, osserva l’analista. “Un altro aspetto cruciale dell’access management, anche per motivi di compliance, è quello del controllo degli accessi da parte di utenze privilegiate, quelle che possono superare i sistemi di controllo di tutte le applicazioni e dei componenti infrastrutturali critici”.
Fra gli altri aspetti considerati dall’Iam Maturity Model di Forrester nell’ambito dell’access control, vi sono, quindi, anche quello del Web single sign-on (evita agli sviluppatori la necessità di manutenere i codici relativi a security e login/authentication nelle applicazioni), l’Entitlement management (aiuta a realizzare la segregation of duties, SoD, prescritta da diverse normative), l’Iam federato e cloud (consente di evitare di gestire le credenziali di accesso di utenti che non si controllano direttamente – come business partner, clienti finali etc. – accettando che utilizzino quelle attribuite dai sistemi che usano più frequentemente nei loro posti di lavoro).
Per quanto riguarda il dominio dell’Identity management, invece, il modello propone criteri di valutazione della maturità di aspetti quali: l’infrastruttura di directory (pilastro fondamentale dell’Iam), il sistema di gestione delle password (in cui rientra il già citato strumento di password reset), l’Access recertification (il processo che controlla e certifica in modo automatico i permessi rispetto a ogni singola applicazione), lo User account provisioning (che dovrebbe gestire in modo sempre più automatico la creazione di account, la loro cancellazione, la sospensione di un periodo di inattività etc.), e il Job role management (consente il provisioning automatico di account in funzione del ruolo, i controlli di SoD, i processi di assegnazione e revoca dei permessi in occasione di cambiamenti di funzione).
Si comincia con un self-assessment
Forrester supporta le aziende attraverso un primo sistema di auto valutazione che, sulla base di 6 livelli predefiniti di maturità (nonexistent; ad hoc; repeatable; defined; measured; optimized – figura 2) consente alle aziende di capire in modo semplice a che punto della scala di maturità ci si trova e verso quale livello protendere.
Figura 2: I vari gradi dei livelli di maturità e loro definizione
(Cliccare sull'immagine per visualizzarla correttamente)
Fonte: Forrester Research
Il maturity model, poi, attraverso questa scala predeterminata, consente di avere una valutazione un po’ più approfondita attraverso un self-assessment per ciascuno dei domini (governance and value, access management e identity management). Ossia, per ogni singolo dominio, si identifica il proprio grado di maturità in funzione dei 6 livelli definiti da Forrester (figura 3), avendo così una visione chiara delle aree su cui sarebbe necessario intervenire.
Figura 3: Il maturity model mostra alle aziende le aree su cui intervenire
(Cliccare sull'immagine per visualizzarla correttamente)
Fonte: Forrester Research
Le raccomandazioni
Forrester, infine, raccomanda di prestare attenzione agli aspetti che risultano più in basso nelle classifiche di maturità. Che potrebbero anche non essere di tipo tecnologico ma legati, invece, ai temi della governance e della capacità di dimostrare il valore di business. Altro consiglio, quello di partire dai problemi più semplici di ogni dominio e di attivare al massimo tre progetti di breve termine in contemporanea. Infine, di tenere traccia e valutare i processi di maturità con cadenza periodica.
