Se lo era già ai tempi dei mainframe e dei terminali cosiddetti “stupidi”, oggi la disciplina dell’Identity and access management è diventata ancora più cruciale e complessa. Nell’era del web, del cloud e della mobility, miliardi di persone (a ogni ora del giorno e della notte, dall’ufficio o da casa o dalla località di vacanza) si connettono, identificati, autenticati e autorizzati (i canonici tre processi dello Iam) con molteplici device a decine di applicazioni aziendali e personali. E ovviamente non possono farlo utilizzando altrettante credenziali, impossibili da ricordare. Le Id e le password devono necessariamente essere in numero ridotto e multiuso. Ecco quindi, per chi sviluppa, acquista e implementa applicazioni, e per i responsabili della security e delle compliance aziendali, diventare obiettivi quotidiani concetti come web Single Sign-On (Sso) o Federation and cloud (la possibilità di usare le stesse credenziali su siti e servizi cloud differenti grazie alla delega a un soggetto terzo, come Google, Yahoo, Facebook e Twitter, di garantire l’identificazione e l’autenticazione degli utenti anche quando desiderano accedere ad altri portali e risorse su internet).
Iniziare dal Business process re-engineering
Nell’età dell’It pervasivo e globale, l’Identity and access management non può essere visto come un semplice pezzo di tecnologia da interporre tra i sistemi informativi aziendali “on premise” e “on the cloud” (come i software-as-a-service, SaaS) e gli utenti interni ed esterni. Come ben chiarisce la società di ricerche e consulenze Forrester Research nel suo recente report “Build Your Identity And Access Management Strategy”, si tratta di “progetti complessi, che solitamente falliscono senza pianificazione. Sono progetti che richiedono l’attenzione e il supporto del top management e che non devono sconvolgere i servizi esistenti”. Forrester sottolinea quindi come “iniziare prematuramente una vendor selection è il più grande errore a cui assistiamo sovente. I progetti di Identity e access management prevedono molto business re-engineering; focalizzarsi sulla selezione dei fornitori troppo in anticipo distrae i responsabili dei progetti dalle attività principali. Comprendere, prima di tutto, a fondo i processi di business e le loro esigenze, e su questa base fornire raccomandazioni su come soddisfare queste ultime in modo più semplice, riduce in modo significativo i costi legati alle personalizzazioni dei prodotti Iam e quelli operativi”.
Comunicazione e condivisione con top management e stakeholder
I progetti Iam, sostengono gli autori del report, “poiché coinvolgono molti core business e processi customer-facing, sono al 70% costituiti da persone, processi, politiche, comunicazione e training, e solo per il 30% da tecnologie”. Il primo passo è definire l’ampiezza (scope) del progetto; Forrester rileva che, molto probabilmente, gli obiettivi tenderanno a restringersi al fine di poter essere meglio gestibili e misurabili. Questo va visto non in un’ottica di mere rinunce, ma di prospettiva di prioritizzazione, sostituzione graduale e non disruptive dei sistemi Iam già esistenti, misurazione e comunicazione dei Return on investment (Roi) ottenuti, comunicazione e condivisione continua tra responsabili It, Chief security officer (Cso) e stakeholder.
Gli stakeholder rappresentano un elemento decisivo per un buon progetto di Iam, anche se non l’unico. Forrester ricorda più volte l’importanza della comunicazione fra responsabili dei progetti di Identity and access management a il top management, anche perché “i progetti Iam non sono bottom-up, iniziative che partono dalla base. Gli input per buona parte del change management e l’esaltazione dei buoni risultati devono arrivare dal top management”. Tuttavia, affinché i responsabili della sicurezza possano elaborare le più plausibili proposte per gli executive, non possono fare a meno di aprire un produttivo canale di dialogo con tutti gli stakeholder.
Un processo necessariamente iterativo
Figura 1 – Il ciclo di vita della strategia Iam che deve ripetersi ogni anno – Fonte: Forrester, 2015 Quali sono questi “portatori d’interessi”? Fra gli altri, Forrester mette in luce i responsabili marketing e quelli delle Lob, che “rappresentano una forza continuamente in crescita intorno ai tavoli in cui si affrontano i temi della sicurezza e dello Iam dei siti web rivolti verso il mondo esterno”. Per i ricercatori dell’istituto di Cambridge, per sollecitare questi stakeholder a investire nell’innovazione dello Iam, si dovrebbe fare ricorso a “metriche” come i tassi di abbandono dei processi di registrazione, i numero di login falliti, la quantità di reset di password non riuscite. Tutti problemi che possono causare la decisione, da parte dei clienti, di passare ai siti di concorrenti. Nel promuovere il miglioramento della “usability” dei siti web e delle applicazioni da parte sia degli utenti esterni sia di quelli interni, i responsabili dei progetti Iam non possono fare a meno di affrontare l’annoso problema della scelta fra produttività e sicurezza. Un bilanciamento sempre più favorito dall’adozione di nuove metodologie e tecnologie di Identity e access management. Le soluzioni non devono essere introdotte senza le già citate attività di demand management, un assessment di ciò che già esiste in azienda, un confronto con gli sviluppatori e i responsabili delle architetture It, un dialogo con i responsabili delle risorse umane (Hr) che conoscono gli utenti e i loro ruoli, una roadmap degli interventi, una verifica dei risultati e la ridefinizione degli obiettivi. Un articolato ciclo di vita in sei tappe della strategia Iam che deve ripetersi ogni anno (figura 1) e un approccio di pianificazione (figura 2) che si rivelano quanto mai decisivi per trasformare la sicurezza da fastidio ad abilitatore di business.
Figura 2 – Esempio di roadmap di un progetto Iam – Fonte: Forrester, 2015 
