Il processo di flessibilizzazione tecnologica e organizzativa delle aziende è in continua evoluzione; ormai da anni i confini delle imprese risultano essere sempre più sfumati con persone che si muovono sul territorio e utilizzano strumenti differenti per accedere alle informazioni del sistema informativo aziendale. Un fenomeno che fa però oggi i conti con un periodo di turbolenza economica che rende incerti gli scenari evolutivi delle aziende e aumenta i rischi per le organizzazioni.
Secondo Andras Cser, analista di Forrester, l’incerta situazione economica, infatti, crea delle condizioni all’interno delle aziende che possono far aumentare il rischio di perdita delle informazioni. “Appare chiaro – si legge in un recente report dell’analista – che le aziende oggi sono in continua lotta con i bilanci economici e, di fronte a scelte che comprendono spesso il taglio del personale o la ricerca di collaboratori esterni per un tempo parziale, il rischio di perdita o furto di dati sensibili ha una crescita esponenziale”. Con l’aumento dei licenziamenti e il riscorso a dipendenti “temporanei” cresce l’insoddisfazione del personale aziendale; i dipendenti più “nervosi” (così li definisce Cser nel suo report) potrebbero essere tentati da comportamenti fraudolenti o di scarsa attenzione nei confronti di dati sensibili o mission critical per l’azienda.
In questo scenario, i sistemi di Identity and Access Management (Iam) possono risultare un valido strumento tattico (nella scelta delle tecnologie) e strategico (nella definizione di un modello e una metodologia che guarda al business). Vediamo come.
1) Centralizzare l’access management accresce la sicurezza e riduce i costi. Avere una gestione degli accessi centralizzata significa governare correttamente l’accesso (e i controlli) a livello sia di applicazioni sia di dati e informazioni. Alcune soluzioni di controllo degli accessi integrate, per esempio, con soluzioni non web-based come desktop, telefoni e sistemi di interactive voice response (Ivr), consentono un controllo limitato e non sempre è possibile capire “chi accede a cosa”. Esistono invece soluzioni Iam che nativamente hanno sistemi risk-based capaci di definire in modo molto granulare policy adeguate legate proprio alla gestione degli accessi (per esempio, sistemi di Ip address geolocation, rilevamento biometrico, tracciamento delle transazioni, ecc. oltre alle soluzioni di single sign-on che facilitano la gestione delle password). L’efficacia della gestione centralizzata si comprende bene, per esempio, proprio con i sistemi di single sign-on. Nel caso di recupero o recovery di una password, per esempio, senza un sistema centralizzato è difficile capire se vi siano altre password compromesse collegate per l’accesso ai sistemi. Se, al contrario, esiste un’unica password per l’accesso a tutte le applicazioni e il governo e controllo è centralizzato, non solo il recupero è immediato ma anche meno costoso (in termini di tempo necessario al ripristino e, quindi, di costi) e più facilmente controllabile.
2) Provisioning e deprovisioning dei lavoratori temporanei veloce e con un unico strumento uniforme. Le soluzioni che provvedono al provisioning degli account degli utenti aziendali gestiscono quello che è il workflow legato alla creazione degli account (richiesta nuovo account, processo di autorizzazione, creazione, abilitazione). Quando un lavoratore viene assunto, solitamente, i suoi dati vengono inseriti in un database separato; se questi dati possono essere recuperati in maniera automatica dai motori di provisioning, la creazione e gestione degli account diventa molto più veloce e automatizzata (in questo modo si può avere l’importazione automatica di dati da un database e quindi velocizzare il provisioning e la gestione degli account, con un maggior ed immediato controllo).
3) Integrazione con soluzioni SaaS. In questo caso Forrester precisa che, accanto a soluzioni di Identity and Access Management, per mitigare i nuovi rischi si possano far scelte che integrano a tali sistemi servizi gestiti da provider esterni (managed security services).
Le tecnologie per mitigare i nuovi rischi
Forrester, nella sua analisi, valuta anche quali sono le funzionalità tecnologiche capaci di garantire una corretta gestione delle identità anche alla luce dei nuovi rischi che le aziende possono correre. Cser, nel suo report, ne elenca tre:
1) Soluzioni di gestione degli accessi e mitigazione dei rischi via web: le soluzioni più recenti in quest’ambito, sono tutte basate sul web e consentono, attraverso interfacce molto semplici e intuitive, di monitorare e controllare gli accessi in tempo reale anche da parte del top management e delle linee di business (secondo le varie autorizzazioni concesse). Questo, oltre ad aver aumentato la conoscenza legata all’importanza della gestione delle identità e degli accessi lungo tutta l’organizzazione, facilita la gestione della sicurezza anche da un punto di vista strategico (prima dei controlli via web, è necessario definire metodologie e policy adeguate, disegnare i processi e, quindi, delineare una strategia di sicurezza aziendale; tutte operazioni che necessitano dell’approvazione del business).
2) Tecnologie con definizione di regole e funzionalità standard: in relazione alle specifiche esigenze delle aziende utenti e del contesto di mercato in cui si trovano, spesso vendor e terze parti “adattano” le proprie soluzioni. Ma nel caso dello Iam tali “customizzazioni” possono poi diventare standard come per la definizione delle regole o delle funzionalità. Volendo fare l’esempio dei lavoratori temporanei, la definizione delle policy e la gestione delle identità di questa tipologia di lavoratori può diventare comune a tutte le aziende che, di fatto, necessitano di gestire questa casistica (e i vendor possono offrire tecnologie o funzionalità Iam già predisposte).
3) Architetture modulari: più le architetture Iam sono aperte e standard più sono integrabili con altri sistemi e tecnologie e più possono essere arricchite di funzionalità (proprio come nel caso di nuovi rischi da mitigare che potrebbero essere gestiti attraverso le tecnologie Iam già esistenti senza dover ricorrere a soluzioni ad hoc).
I leader del mercato IAM
Nell’elenco dei vendor che, secondo Forrester, in ambito Identity and Access Management (Iam) stanno dimostrando di avere una buona offerta e presenza di mercato (strategica e tecnologica), Oracle, Ca e Ibm (vedi elenco sotto) guidano il mercato con piattaforme integrate in ambito Iam caratterizzate da: interfacce user friendly, funzionalità avanzate e integrate, capacità di analisi e reporting, gestione centralizzata, soluzioni web based. Novell e Courion si stanno facendo strada con soluzioni specifiche, facili da usare, che stanno riscuotendo buon successo, anche se hanno funzionalità ridotte che non riescono a soddisfare, per ora, le esigenze delle grandi imprese. Microsoft, Hitachi, Id Systems e Sap, invece, accusano un notevole ritardo sugli altri e non hanno ancora un vero portfolio di soluzioni.
CA
CA Identity Manager
CA Role & Compliance Manager
CA SiteMinder
CA SOA Security Manager
CA Federation Manager
CA Embedded Entitlements Manager
CA Single Sign-On
CA Directory
CA Access Control
IBM
Tivoli Identity Manager
Tivoli Federated Identity Manager
Tivoli Security Policy Manager
Tivoli Access Manager for Enterprise Single Sign-On
Tivoli Directory Server
Tivoli Directory Integrator
Tivoli Compliance Insight Manager
Tivoli Security Information and Event Manager
Tivoli Access Manager for e-business
ORACLE
Oracle Identity Manager
Oracle Access Manager
Oracle Identity Federation
Oracle Internet Directory
Oracle Virtual Directory
