Compliance e Iam: un bilanciamento spesso difficile

La cultura della sicurezza nell’era dell’accesso assume sfaccettature differenti. Riuscire a controllare dinamicamente gli accessi a servizi, applicazioni e dati in base al contesto e alle esigenze di business richiede notevoli sforzi organizzativi: bisogna concentrarsi sull’identificazione corretta dell’utente e quindi sul suo “ruolo”, interno ed esterno.

Pubblicato il 06 Feb 2014

“Siamo entrati a pieno titolo nella società dell’accesso, nella sharing economy, ossia in una economia dove la condivisione del servizio è una delle direttrici sulle quali iniziare a fare delle riflessioni in termini di strategie evolutive dell’azienda, già oggi fortemente aperte alla collaborazione e allo scambio di informazioni non solo tra utenti interni, ma anche tra partner, fornitori e anche clienti e prospect – esordisce Stefano Uberti Foppa, direttore di ZeroUno, aprendo i lavori di una recente Tavola Rotonda di Redazione tenutasi a Roma in collaborazione con Dell Software -. Le aziende si trovano dunque alle prese con il passaggio dalla necessità di razionalizzare il caos degli accessi (dovuto alla sempre più ampia apertura dei confini aziendali per accessi da parte di utenti esterni) alla vista di uno Iam, Identity and Access Management, quale strumento di business per governare il corretto accesso a servizi e informazioni aziendali che può determinare un vantaggio competitivo”.

L'articolo continua nella pagina seguente

*BRPAGE*

Se da un lato dunque lo Iam assume sempre più la connotazione di asset strategico per il business, dall’altro le aziende non possono non tenere conto delle normative e, quindi, delle esigenze di compliance che, spesso, tendono a irrigidire le strategie aziendali. È un’antitesi complessa che vede oggi molte realtà districarsi tra opportunità, scelte e obblighi di legge per trovare un bilanciamento adeguato alle proprie necessità e obiettivi.

Jacopo Di Clemente, Cto di Savino Del Bene

“La maggior difficoltà nella definizione di un framework di sicurezza che tenga conto sia dello Iam sia delle necessità di compliance deriva dal fatto che oggi le aziende si muovono sempre più verso due dimensioni distinte (per quanto concerne il controllo degli accessi): una riguarda la garanzia di accesso ai propri sistemi da parte di tutti quegli utenti che compongono la ‘galassia del valore’, offrendo servizi It diversi, in momenti differenti, a soggetti diversificati; l’altra riguarda la governance e l’accesso da parte degli utenti aziendali a servizi esterni (l’It è sempre più un service broker e non fornisce più solo servizi propri ma anche di altri soggetti esterni grazie al public cloud) – invita a riflettere Jacopo Di Clemente, Cto di Savino Del Bene –. Questi scenari aprono una serie di difficoltà sia a livello di It security governance, sia a livelli molto più bassi di controllo e qualità del servizio reso (si pensi alle policy di sicurezza che prevedono lo scadere delle password e alla semplificazione delle procedure per il loro cambio da parte dell’utente, evitando di avere problematiche tali da richiedere in continuazione il supporto dell’help desk). La compliance, inoltre, non facilita affatto, anzi spesso rende molto complessa la gestione della sicurezza. La migliore soluzione forse sta nella valutazione di quello che può essere il rapporto costo/opportunità rispetto alle imposizioni normative”.

Francesco Gualdi, Responsabile It Compliance e Privacy di Erg Services

Una via adottata ad esempio da Erg Services, come racconta il Responsabile It Compliance e Privacy della società, Francesco Gualdi: “in merito alla compliance abbiamo cercato di passare da una visione di costo all’identificazione delle opportunità derivanti dall’avere processi strutturati e controllati così come imposto dalle varie legislazioni – commenta il manager -. Per riuscire a trarne il massimo vantaggio rispetto alle esigenze aziendali, però, è fondamentale il coinvolgimento degli utenti e la corretta diffusione della cultura legata alla sicurezza, affinché tutti comprendano il vantaggio che deriva dall’avere un processo strutturato anziché vederlo solo come un fastidioso irrigidimento. Si tratta certamente di un approccio che spesso rallenta le procedure, specialmente se sono coinvolti molti utenti: in questo caso è di estremo supporto la periodicità dei controlli, anche per riuscire a dare una certa strategicità allo Iam”.

Serve una visione complessiva

Alessio Lo Turco, System Consulting Manager di Dell Software

Interviene a questo proposito Alessio Lo Turco, System Consulting Manager di Dell Software, il quale sottolinea come “i controlli pianificati rappresentino una risposta molto efficace per creare la ‘cultura della compliance’ e sono utili all’It per avere maggior controllo. Tuttavia – evidenzia il manager – non va dimenticato che questi rappresentano solo uno dei tasselli di una più ampia strategia di ‘disegno degli accessi’. La complessità si è spostata ormai fuori dai confini aziendali e questo rende difficile governarla. Il controllo sugli accessi presume un ‘perimetro controllabile’, ma questo si scontra con le esigenze di flessibilità del business. Come districarsi in questo quadro complesso? Disegnando una mappa degli accessi basata su una strategia che tenga conto, prima di tutto, del processo di business, degli attori/utenti coinvolti in tale processo e del loro ruolo (anche e soprattutto rispetto alla compliance); in secondo luogo, avendo ben chiare le potenzialità della tecnologia per adottare quella più idonea non solo alle esigenze dell’It, ma anche a quelle degli utenti (che devono poter usufruire di soluzioni con interfacce semplici, soprattutto per servizi self-service come quelli di password management, per esempio)”.

Claudio Ingravalle, Responsabile tecnologie e sistemi informativi di Asl Roma A

In alcuni casi, è proprio la mancanza di visione complessiva a rallentare non tanto l’adozione di un modello di Iam, quanto la possibilità di calarlo in una visione strategica di business. “Il mondo sanitario è abituato a lavorare in un contesto di rischio – spiega ad esempio Claudio Ingravalle, Responsabile tecnologie e sistemi informativi di Asl Roma A -; questa cultura non ci permette di progredire, quando invece la gestione delle identità, proprio nel nostro settore, sarebbe di grandissimo valore. Il Garante potrebbe essere di aiuto in questo senso, ma a mio avviso procede ‘a singhiozzo’: non sempre le richieste normative risultano chiare e, soprattutto, manca l’analisi di contesto. L’identificazione dovrebbe essere ‘interpretabile’ e quindi gestita e controllata in base al contesto aziendale e all’azione dell’utente: procedure, ruoli e azioni all’interno di un grande ospedale sono ben diversi da quelli di una piccola unità locale; mancando l’analisi di riferimento, la direttiva del Garante rischia di essere inattuabile in alcuni contesti o addirittura ‘punitiva’”.

Focus su identità e ruoli

Guido Sandonà, Chief Information Security Officer di Bulgari

“La necessità di aprire i sistemi verso l’esterno, da un lato, e la forte attenzione alla confidenzialità del dato, dall’altro, non sono concetti in antitesi tra loro, ma di certo rappresentano un’enorme sfida per l’It – interviene nel dibattito Guido Sandonà, Chief Information Security Officer di Bulgari -. Il controllo degli accessi è una problematica facilmente risolvibile attraverso la tecnologia; la criticità risiede nell’identificazione dei ruoli degli utenti, che spesso non collimano con le job description e dipendono da una profilazione strettamente collegata al processo di business. Affinché lo Iam diventi quindi strumento strategico e di reale valore aggiunto per le aziende, serve riorganizzare seppur gradualmente identità e processi autorizzativi (e questo non è un compito da affidare alla pura tecnologia)”.

Carlo Causio, Risk Manager di TeleSpazio

Dello stesso parere anche Carlo Causio, Risk Manager di TeleSpazio che parla di ‘ruoli dinamici’: “il ruolo utente deve essere dinamico e sufficientemente flessibile per rispondere adeguatamente ai cambiamenti organizzativi aziendali. Processo che però si scontra con normative molto rigide. L’ideale sarebbe riuscire a definire ‘ruoli generici’ (che non vuol dire generali, ma ‘di genere’) in modo da garantire una gestione flessibile anche dei processi di autorizzazione e controllo”.

Far convivere lo Iam quale strumento strategico di business con la compliance, secondo i manager coinvolti nel dibattito della tavola rotonda, richiede quindi una focalizzazione primaria sulla “definizione di ruolo”. “La risposta sta dunque nella ‘classificazione’: quella dell’utente dipende e deriva dal processo di business (da cui derivare il ruolo utente) – spiega Lo Turco -; quella degli accessi dipende dalla relazione tra identità (utente cui è legato un ruolo) e grado di rischio. L’obiettivo è riuscire a governare una gestione degli accessi in base al livello di rischio del dato”.

Fabrizio Marcelli, General Counsel Information Security Governance Manager di 3 Italia.

Approccio tutt’altro che semplice che richiede un’analisi e un tuning continui, soprattutto in contesti dinamici come quelli delle Telco, dove non solo i confini aziendali sono sempre più evanescenti, ma anche i ruoli utente diventano dinamici, così come testimoniano Fabrizio Marcelli e Daniela Maricchiolo, rispettivamente General Counsel Information Security Governance Manager e Information Security Awareness di 3 Italia. “Nella nostra realtà è molto diffuso il ‘social care’ – spiega Marcelli -: l’utente esterno/cliente esperto spesso viene ‘ingaggiato’ per dare suggerimenti, aiuto e supporto ad altri utenti/clienti sostituendosi al customer care istituzionale. È chiaro che un approccio di questo tipo richiede una strategia di governo degli accessi e un controllo delle identità che non può partire dalla vista tecnologica, ma da quella di processo”.

Daniela Maricchiolo, Information Security Awareness di 3 Italia

“Diventa fondamentale lavorare sulla sensibilizzazione dell’utente per riuscire a creare awareness sul processo di business, anche in virtù di regole normative che per le Telco sono molto stringenti – conferma Maricchiolo -. Non solo, internamente è di assoluta importanza la formazione così come il demand management, soprattutto laddove vi sono utenti che spesso necessitano di acquistare servizi It ‘as a service’ dall’esterno”.

Stefano Uberti Foppa, Direttore di ZeroUno

E su questi temi torna dunque, come risposta, il processo continuo di verifica. “Il nodo centrale sta nel governo dei ruoli che non si esercitano solo nei nostri sistemi It, ma che si dipanano su sistemi di altre organizzazioni aziendali – osserva in conclusione Di Clemente -. La mobilità del contesto rappresenta oggi dunque la maggiore difficoltà nelle strategie Iam e nel difficile bilanciamento di queste rispetto agli obblighi di legge”.


Dell One Identity Solutions: un puzzle componibile

Offrire agli utenti il corretto accesso alle informazioni di importanza critica per l’azienda dovrebbe essere una priorità dell'azienda e non dell’It perché da esso possono dipendere la produttività e la competitività del business. Per fare in modo che gli utenti possano operare efficacemente accedendo alle risorse disponibili in maniera dinamica e flessibile, riducendo al contempo il carico sulle risorse It, Dell Software ha adottato un modello di proposta modulare, chiamato Dell One Identity Solutions, che racchiude tutti i tasselli tecnologici necessari a governare accessi, identità e compliance da un unico punto di controllo. Le soluzioni disponibili sono pensate per rispondere in maniera puntuale a ogni singola problematica (controllo degli accessi, gestione delle identità, gestione degli account privilegiati, monitoraggio delle attività degli utenti) attraverso svariate funzionalità (provisioning aziendale, federazione, identity intelligence, gestione dei ruoli, single sign-on, gestione account, audit, gestione policy, controllo vulnerabilità ecc.). Implementabili singolarmente, ma “componibili” a seconda delle necessità, le soluzioni Dell sono state pensate secondo questo modello per consentire alle aziende di costruire gradualmente la propria strategia di Identity and Access Management (quindi anche con investimenti progressivi), senza dover riscrivere i propri processi, ma semplicemente “adattandoli” alle normative e alle tecnologie di supporto. Qualsiasi sia il punto di partenza, il percorso adottato e le tecnologie implementate, il “puzzle” risultante è nativamente integrato grazie all’utilizzo di standard aperti e, soprattutto, è controllabile da un unico punto facilitando così le operazioni di It management.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati