Per un’azienda, è importante fornire ai nuovi dipendenti l’accesso IT, rendendo più veloce e pulita la “cancellazione” digitale quando qualcuno si licenzia e stando sempre al passo con i cambiamenti dei diritti di accesso.
Ma l’identity access management (IAM) possono rappresentare un lavoro a tempo pieno per i professionisti della sicurezza?
Secondo Robert Whiteley, analista di Forrester Research, la domanda degli utenti di tool per la gestione dell’identità e degli accessi è molto alta e questo ha fatto nascere una pletora di nuovi prodotti proposti a prezzi competitivi.
L’incerta situazione economica ha favorito la crescita di tale domanda, ha sostenuto l’analista Andras Cser, esperto di IAM e di provisioning degli account utente presso la società di consulenza Forrester. I dipendenti più “nervosi” sono tentati di estrarre, rubare o distruggere dati critici, ha scritto Cser in una recente relazione.
Inoltre, con l’aumentare dei licenziamenti, sempre più aziende si rivolgono a lavoratori temporanei e al software as a service (SaaS) per la manutenzione e il supporto di applicazioni. Entrambe le tattiche fanno risparmiare denaro, ma possono portare un aumento dei rischi.
Se da una parte i lavoratori temporanei hanno meno probabilità di fare un uso improprio dei dati, dall’altra, avverte Cser, “il provisioning, la modifica e la cancellazione di utenti nella applicazioni SaaS avviene spesso manualmente, comportando ritardi ed errori” e aumentando il rischio di violazioni delle informazioni.
In realtà, nella fase di recessione il danno potenziale (in notorietà e monetario) causato da una violazione dei dati ha contribuito a far crescere i budget destinati alla sicurezza.
In un suo report, Forrester ha evidenziato che la sicurezza ha aumentato il suo peso percentuale nella spesa IT nel 2008 e prevede che tale percentuale incrementerà ulteriormente nel 2009. Inoltre, Forrester ha inoltre detto che molte grandi organizzazioni di sicurezza IT stanno creando report, sia direttamente sia tramite terze parti, relativi a servizi al di fuori della stessa IT, con lo scopo di elevare l’attenzione per la sicurezza all’interno di tutte le attività aziendali.
Gestire gli account in una società in crescita
Per diverse aziende, la necessità di automatizzare l’identity management è stata determinata non solo da un elevato turnover, ma anche dalla rapida crescita. Per esempio, la società americana Brookdale, quotata in borsa e tra i più grandi fornitori di servizi per anziani degli Stati Uniti, attraverso tre grandi acquisizioni è passata dal fatturato di circa 300 milioni di dollari registrato nel 2005 ai quasi 3 miliardi di dollari del 2008. Il suo budget IT ammonta però solo a un modesto 1,1% delle revenue.
L’IT si può dover trovare a gestire anche 50 transazioni al giorno correlate all’IAM, in cui ogni richiesta necessita di prestare attenzione a molteplici applicazioni e sistemi. Per essere completate, se vengono eseguite manualmente tali transazioni possono anche richiedere giorni.
“Avere un nuovo assunto che deve aspettare tre, quattro e, in alcuni casi, anche cinque giorni per accedere al sistema e iniziare a fare il suo lavoro non è certo un ottimo servizio”, ha sottolineato Scott Ranson, CIO della società.
Dopo l’implementazione della soluzione IAM di Courion, i tempi di gestione delle richieste IAM sono scesi a meno di 24 ore per le applicazioni più critiche, ha precisato Ranson. Il software notifica di notte le nuove assunzioni e quindi effettua il provisioning. Le cessazioni avvengono immediatamente.
Avere il consenso degli uomini di business con lo IAM
I punto cruciale per ottenere tutti questi vantaggi? “Bisogna affrontare un’enorme mole di lavoro al fine di avere le giuste regole per poter iniziare la programmazione”, ha detto Ranson.
Infatti, quando gli è stato chiesto quanto è stato difficile ottenere il prodotto Courion installato e funzionante, Ranson lo ha paragonato a un telecomando universale: “Se sai cosa stai facendo, non è difficile. Se non sai cosa stai facendo, è quasi impossibile”.
Un ingrediente fondamentale è avere l’approvazione del business, ha sottolineato Ranson. Questo tipo di implementazione ha richiesto uno sforzo di gruppo, perché ha obbligato il team di sicurezza, i responsabili dei processi di business e la Courion a sedersi tutti assieme attorno a un tavolo a mappare tutti i ruoli e le autorizzazioni per le circa 700 posizioni impiegatizie di Brookdale. E solamente questa attività ha richiesto sei mesi di lavoro.
