Governance delle identità e degli accessi basata sul business

GOVERNANCE DEGLI ACCESSI E
DELLE IDENTITÀ BASATA SUL
BUSINESS: PERCHÉ QUESTO
NUOVO APPROCCIO È IMPORTANTE
ABSTRACT
Per anni i responsabili della sicurezza delle informazioni e delle LOB hanno intuito
che la governance degli accessi e delle identità (IAG, Identity and Access
Governance) dovesse basarsi sulle esigenze del business. Dopo tutto sono proprio
i business manager a sapere davvero "chi deve avere accesso a cosa". Questo
white paper spiega perché adottare un approccio alla governance delle identità e
degli accessi basato sul business consenta alle organizzazioni di provare
facilmente la conformità alle normative vigenti, ridurre al minimo i rischi e
migliorare la produttività del business.
Aprile 2014
Copyright © 2014 EMC Corporation. Tutti i diritti riservati.
EMC ritiene che le informazioni contenute nel presente documento siano esatte alla data di pubblicazione. Le informazioni sono
soggette a modifica senza preavviso.
LE INFORMAZIONI CONTENUTE NELLA PRESENTE PUBBLICAZIONE VENGONO FORNITE "COME SONO". EMC Corporation non
riconosce alcuna garanzia di nessun genere inerente le informazioni riportate nella presente pubblicazione, tra cui garanzie
implicite di commerciabilità o idoneità a un determinato scopo.
L'utilizzo, la copia e la distribuzione dei prodotti software di EMC descritti in questo documento richiedono una licenza d'uso
valida per ciascun software.
Per un elenco aggiornato dei nomi di prodotti EMC, vedere la sezione EMC Corporation Trademarks sul sito web italy.emc.com .
Part Number H13070
WHITE PAPER RSA
SOMMARIO
EXECUTIVE SUMMARY
3
REALTÀ ATTUALE: GESTIONE DELLE IDENTITÀ NON RIUSCITA
3
L'IMPORTANZA DEL CONTESTO DI BUSINESS
4
REQUISITI PER LA GOVERNANCE DELLE IDENTITÀ E DEGLI
ACCESSI BASATA SUL BUSINESS
4
APPROCCIO IN FASI ALLA GOVERNANCE DELLE IDENTITÀ
E DEGLI ACCESSI BASATA SUL BUSINESS
5
RIEPILOGO
7
EXECUTIVE SUMMARY
Per anni i responsabili della sicurezza delle informazioni e delle LOB hanno intuito che la governance delle
identità e degli accessi (IAG, Identity and Access Governance ) dovesse basarsi sulle esigenze del business.
Dopo tutto sono proprio i responsabili aziendali a sapere davvero "chi deve avere accesso a cosa".
Tuttavia troppo spesso gli strumenti e i processi delle organizzazioni non riflettono ciò che possiamo
definire "contesto di business". Questi sistemi in genere non dispongono del supporto per una visione
aziendale dell'accesso degli utenti e dei relativi ruoli e responsabilità all'interno del business. Inoltre
normalmente non riflettono le autorizzazioni specifiche che stabiliscono in modo dettagliato quali azioni
gli utenti possono eseguire all'interno delle applicazioni. Questo di solito è dovuto al tentativo delle
organizzazioni di usare strumenti tecnici e incentrati sull'IT per la gestione degli accessi e delle identità
(IAM, Identity and Access Management) per risolvere problemi di governance basati sul business.
Il contesto di business è la somma totale di tutto ciò che un'organizzazione sa sui propri utenti, le
relative responsabilità lavorative e le informazioni, le applicazioni e le autorizzazioni di cui gli utenti
necessitano. Sebbene parte del contesto sia contenuta all'interno dei sistemi gestiti dall'IT (come
directory e applicazioni HR), ulteriore contesto viene fornito dai responsabili che supervisionano gli
utenti o dagli owner delle funzioni, delle applicazioni e dei dati aziendali, non dal dipartimento IT o dal
personale dedicato alla sicurezza.
Questo white paper spiega perché gli attuali sistemi di gestione delle identità non siano in grado di
riflettere adeguatamente il contesto di business, perché l'adozione di un approccio basato sul business
alla governance delle identità e degli accessi consenta di ridurre i costi aumentando la sicurezza e
descrive in modo dettagliato la metodologia per la relativa implementazione.
REALTÀ ATTUALE: GESTIONE DELLE IDENTITÀ NON RIUSCITA
Le organizzazioni attuali devono affrontare un numero quanto mai elevato di minacce per la sicurezza
e sfide normative, per non parlare dell'aumento esplosivo del numero di utenti, della proliferazione dei
dispositivi mobili e del potenziale danno per il valore e la reputazione degli azionisti che risulterebbe
da una violazione dei dati aziendali. Eppure, non solo i tradizionali sistemi di governance delle identità
e degli accessi (IAG) non riescono a stare al passo con le suddette sfide, ma non riescono neppure
a rispondere alla necessità di gestire in modo proattivo uno scenario ricco di rischi e minacce e in
continuo cambiamento. Le tradizionali architetture IAG sono frammentate, complesse e male
equipaggiate per stare al passo con i cambiamenti che avvengono nelle organizzazioni, da semplici
trasferimenti dei dipendenti a vere e proprie ristrutturazioni, da nuovi requisiti richiesti dalle normative
vigenti a fusioni e acquisizioni. Inoltre, l'implementazione e l'utilizzo dei tradizionali sistemi di controllo
delle identità continuano a essere costosi in modo proibitivo, il che ne limita la diffusione e l'efficacia.
Il cloud computing aumenta la complessità creando nuovi silos di applicazioni (e altri amministratori
con relativi privilegi di accesso) per ogni nuova applicazione cloud e nuovo service provider cloud.
Aumenta inoltre la percentuale di modifiche da implementare, perché le LOB ottengono nuovi servizi,
spesso senza informare il dipartimento IT centrale o i gruppi dedicati alla sicurezza. Il mobile
computing e le tendenze "Bring Your Own Device" creano ancora altri silos per la governance delle
identità e degli accessi su ciascuna nuova piattaforma.
Il risultato è che anche se le organizzazioni necessitano di una governance delle identità e degli accessi
più semplice, rapida e coerente, il ritmo e la velocità delle modifiche rende l'approccio alla conformità
alle normative vigenti e ai rischi sempre meno sicuro. L'approccio basato su sistemi in silos, reattivi e
incompleti, rende ancora più difficile la discovery e l'applicazione del contesto di business necessario
per ciascuna applicazione o gruppo di sistemi e la mancanza di una singola infrastruttura IAG centrale
un fattore ancora più critico. Le organizzazioni devono poter provare facilmente la conformità alle
normative vigenti, ridurre al minimo i rischi e consentire la produttività del business.
Rispetto a tutte queste sfide, la chiave per risolvere questi problemi è sfruttare un sistema di governance
delle identità e degli accessi centralizzato e moderno, creato sulla base del contesto di business.
3
L'IMPORTANZA DEL CONTESTO DI BUSINESS
Il contesto di business è l'ingrediente chiave spesso dimenticato che consente di assicurare una
governance delle identità e degli accessi efficace ed estesa all'intera azienda. È spesso tralasciato
perché la gestione e la governance delle identità e degli accessi sono in genere nelle mani di CIO, CISO,
VP of Security o Director of Security. Nessuno di essi dispone tuttavia del contesto di business richiesto
per garantire una governance degli accessi efficace ed efficiente per l'intera azienda. La maggior parte
del contesto di business è invece noto ai supervisori e agli altri responsabili aziendali che comprendono
le specifiche responsabilità dei vari utenti e gli accessi necessari per ognuno.
Si consideri ad esempio un dipartimento finanziario con cinque dipendenti, ciascuno dei quali ha il
codice amministrativo Analyst Level 2. Il dipartimento IT potrebbe concludere che ciascuno dei
dipendenti debba ottenere gli stessi diritti e autorizzazioni di accesso. Tuttavia il supervisore sa chi
è responsabile delle spese di viaggio e intrattenimento, chi monitora le spese per telecomunicazioni
e utenze e può quindi prendere decisioni più accurate in merito all'accesso e alle autorizzazioni dei
dipendenti del dipartimento. Membri diversi di un team di sperimentazione clinica possono avere le
stesse qualifiche professionali, ma richiedere livelli di accesso diversi ai dati dei test in base ad
anzianità/ruolo, formazione o assegnazioni del progetto.
Anche gli owner delle applicazioni aziendali sono in grado di comprendere la modalità di utilizzo delle
risorse di applicazioni e dati e quali siano le policy relative ad autorizzazioni e accessi più appropriate.
Gli owner delle applicazioni, insieme ai team dedicati alla gestione dei rischi, audit e conformità alle
normative vigenti, dispongono del contesto migliore per impostare policy IAG specifiche per diverse
applicazioni aziendali o domini del settore. E gli owner delle risorse dati sanno esattamente chi deve
avere accesso ai dati sensibili o regolamentati.
Per applicare il contesto in modo più efficace, le organizzazioni devono consentire a responsabili
aziendali, owner di applicazioni aziendali e team di audit, rischio e conformità di gestire i requisiti delle
policy correlate all'accesso. L'IT deve quindi tradurre tali requisiti in attività operative. Ottenere la
governance delle identità e degli accessi basata sul business richiede nuovi processi e nuove tecnologie
e richiede la partnership di business e IT.
REQUISITI PER LA GOVERNANCE DELLE IDENTITÀ E DEGLI ACCESSI
BASATA SUL BUSINESS
Per portare il contesto di business nel processo di governance delle identità e degli accessi, l'IT deve
trasformare il gergo criptico delle autorizzazioni di applicazioni e infrastruttura in una visualizzazione
degli accessi semplificata e dedicata al business e offrire ai responsabili aziendali un modo semplice e
intuitivo di prendere decisioni in relazione alla IAG per l'intero ciclo di vita delle identità e degli accessi.
Una IAG basata sul business richiede inoltre che le LOB acquisiscano la proprietà delle attività per le
quali dispongono del contesto e ne siano quindi responsabili. I team dedicati ad audit, gestione dei
rischi e della conformità devono poter essere in grado di creare requisiti, misurare i risultati e decidere
i controlli necessari. I team dedicati alle operazioni e alla sicurezza IT devono avere visibilità e controllo
sul modo in cui vengono condotte le attività della IAG, poiché essi sono i responsabili finali per le
decisioni prese dalle LOB.
Le organizzazioni devono poter definire facilmente policy che sfruttano il contesto di business,
garantendo la conformità in aree quali SOD (Segregation-Of-Duties) o richiesta e approvazione
dell'accesso. Una volta creata l'istanza di una policy, è possibile applicarla automaticamente e le
eventuali violazioni possono essere gestite in modo automatico. Poiché il contenuto di tali policy sarà
familiare per le LOB e per i team dedicati alle operazioni e alla sicurezza IT, all'audit e alla gestione dei
rischi e della conformità, si tratta di un modo molto efficace di coinvolgerli nel processo di IAG.
4
L'automazione dell'applicazione delle modifiche agli accessi può ridurre in modo significativo costi e
sforzi, perché fino a oggi le organizzazioni hanno fatto fatica a raggiungere l'automazione necessaria
con strumenti indirizzati all'IT di vendor di gestione delle identità tradizionale. Un approccio davvero
basato sul business alla governance delle identità e degli accessi utilizza un meccanismo semplice di
change management per gli accessi, che tiene separata la logica di business dalla logica di integrazione
specifica delle applicazioni. Tale approccio deve inoltre consentire modifiche agli accessi basate su
policy, utilizzando regole e workflow per fornire un rapido accesso in linea con le policy stabilite. Ciò
offre un metodo rapido e a costi contenuti per l'on-boarding delle applicazioni dal punto di vista della
implementazione completa delle modifiche.
Tutto ciò richiede una piattaforma di governance delle identità e degli accessi automatizzata e
centralizzata, in grado di offrire agli owner del business una visualizzazione semplificata delle identità
e degli accessi, di controllare l'accesso automatizzato e basato su policy, di soddisfare le richieste di
modifica di IAG e garantire la conformità degli accessi proattiva nel tessuto dell'organizzazione. La
Figura 1 illustra il modo in cui una tale piattaforma consenta a un'organizzazione di creare processi
di business per il completamento di tutte queste attività.
APPROCCIO IN FASI ALLA GOVERNANCE DELLE IDENTITÀ E DEGLI
ACCESSI BASATA SUL BUSINESS
La IAG basata sul business viene applicata al meglio attraverso l'implementazione di processi di
business discreti e misurabili, con un approccio in fasi graduali in grado di offrire valore in ciascuna
fase. Le fasi identificabili sono le seguenti:
Visibilità e certificazione: questo processo sostenibile e ripetibile raccoglie automaticamente e
ripulisce i dati di identità e di autorizzazioni per ottenere una singola vista unificata e normalizzata
delle autorizzazioni di accesso correnti. Questa vista tecnica degli accessi viene trasformata in una
visualizzazione per il business, in modo che i responsabili delle LOB, come i supervisori o gli owner
delle risorse, possano diventare responsabili dell'analisi delle autorizzazioni di accesso. Questo avviene
mediante un facile processo di business di certificazione dell'accesso (noto anche come analisi degli
accessi), nel quale le autorizzazioni degli utenti vengono esaminate e approvate o revocate da un
supervisore o un owner dell'applicazione.
Un'importante fase aggiuntiva, che è anche un buon esempio di creazione di un contesto di business,
è l'identificazione degli owner del business delle risorse dati (quali file share o siti SharePoint), oltre
che dei metadati che ne definiscono lo scopo per il business e la classificazione dei rischi.
Gestione delle policy: l'acquisizione del contesto decisionale e della logica di business in un set di
policy definite come regole è un metodo eccellente per automatizzare la sicurezza e i controlli di
conformità. La disponibilità di regole che attivano specifici workflow consente l'automazione dei
processi e delle policy e permette una riduzione dei costi.
Ad esempio, l'identificazione di un nuovo dipendente può attivare un processo in più fasi che include la
creazione di account per il dipendente, l'assegnazione delle appartenenze ai gruppi appropriate,
l'assegnazione agli account delle autorizzazioni appropriate per applicazioni e dati e la ricezione delle
necessarie approvazioni.
5
Gestione dei ruoli: i ruoli consentono ai responsabili aziendali di gestire più facilmente le modifiche
alle autorizzazioni. Si consideri ad esempio il ruolo di Trader di titoli Livello 2. Un utente con questo
ruolo potrebbe disporre di 35 diverse autorizzazioni (ad esempio la possibilità di gestire titoli fino a una
certa cifra) su diverse applicazioni. Anziché richiedere a un responsabile di analizzare e valutare
ciascuna delle 35 autorizzazioni, è possibile fare in modo che il responsabile verifichi che il ruolo sia
corretto per la persona specifica. Si tratta di un modo più semplice e naturale per il responsabile di
applicare il necessario contesto di business perché diventa necessario considerare il ruolo ricoperto
da una specifica persona invece di un elenco dettagliato di autorizzazioni per le applicazioni.
I ruoli consentono inoltre di semplificare i processi JML (Joiner, Mover, Leaver) e di rendere più facile
l'assegnazione di accessi aggiuntivi agli utenti. Rendono inoltre più efficaci le operazioni di analisi,
convalida o test degli accessi degli utenti per semplificare la gestione della conformità e il risk
management e rendere più veloce l'implementazione.
Questa fase produce inoltre processi per la gestione del ciclo di vita dei gruppi di directory, spesso
utilizzati per gestire l'accesso (specialmente per le risorse dati) in modo molto simile ai ruoli.
Spesso le organizzazioni non desiderano dedicare tempo e personale alla creazione e gestione di ruoli.
Un'altra alternativa da prendere in considerazione è l'uso di autorizzazioni suggerite, che possono
offrire ai responsabili aziendali una scelta di autorizzazioni assegnate a utenti simili durante i processi
Joiner o Mover.
Gestione delle richieste di accesso: una volta creata una visualizzazione per il business degli
accessi e le astrazioni necessarie per semplificare e automatizzare la gestione degli accessi,
l'organizzazione è in una buona posizione per stabilire il front-end delle richieste di accesso self-service
per gli utenti di business e un engine di change management conforme alle policy per l'IT nel back-end.
Questo processo consente alle LOB di richiedere le richieste di accesso senza alcuna conoscenza della
infrastruttura e dei dettagli coinvolti nell'evadere le richieste, semplificando in questo modo il processo
di richiesta di accesso. Fornisce inoltre una conformità proattiva applicando le policy prima che
l'accesso venga concesso.
Applicazione delle modifiche (provisioning): le modifiche alle identità e agli accessi basate sul
business hanno come risultato modifiche effettive degli account degli utenti, delle appartenenze ai
gruppi e delle assegnazioni delle autorizzazioni per sistemi, risorse dati, directory, applicazioni e
soluzioni di controllo dell'accesso. L'applicazione delle modifiche, o provisioning , è un processo che di
solito esiste già sotto qualche forma prima che un'organizzazione intraprenda una delle fasi di cui si è
accennato. La sfida in questo caso riguarda la capacità di far evolvere il processo in modo che diventi
coerente, basato su policy, a livello di autorizzazione e per, quando possibile, automatizzato.
Esistono diversi meccanismi per l'applicazione delle modifiche agli accessi. La semplice notifica di
un'attività, come una email a un System Administrator, è spesso l'approccio più semplice e diretto
all'applicazione delle modifiche. La creazione di un ticket in un Service Desk è un modo più coerente di
tenere traccia di richieste, risposte e conferme e può sfruttare un sistema di change management già
esistente all'interno dell'azienda. Tuttavia i ritardi, i costi e i tassi di errore associati spesso spingono le
organizzazioni verso l'automazione. Una soluzione di applicazione automatizzata garantisce efficienza
operativa e modifiche tempestive e supporta in modo ideale il rapido on-boarding di nuove applicazioni.
I tradizionali engine di provisioning rendono difficile l'on-boarding (la connessione a) un numero più
elevato di applicazioni perché questi sistemi meno recenti combinano la logica di business che definisce
le policy di governance con la logica richiesta per l'integrazione con ciascuna applicazione. Ciò richiede
una costosa codifica personalizzata per ciascuna nuova connessione e ogni volta che le policy vengono
modificate. I tradizionali engine di provisioning tendono inoltre a concentrarsi sul provisioning a livello
di account o a livello di gruppo, il che non fornisce il livello di visibilità necessario o i requisiti di accesso.
I moderni sistemi di IAG basati sul business mantengono la logica di business basata su policy a un
livello più alto, rendendo questo ultimo passaggio di integrazione più semplice e meno costoso. E i
moderni sistemi di IAG basata sul business si concentrano sul provisioning completo con la capacità di
visualizzare e modificare autorizzazioni a livello granulare nelle applicazioni.
6
RIEPILOGO
Le organizzazioni non possono affrontare una spesa superiore al dovuto per la governance delle
identità e degli accessi. E non possono nemmeno affrontare i rischi correlati alla proprietà intellettuale
o alla mancata conformità alle normative causati da una possibile non corretta gestione della
governance delle identità e degli accessi. La strada verso la governance delle identità e degli accessi
più efficiente passa attraverso gli owner dei processi, delle applicazioni e dei dati aziendali. Utilizza il
ricco "contesto di business" in merito a quale utente richieda quale accesso e quali autorizzazioni come
elemento fondamentale per una governance delle identità e degli accessi automatizzata e basata sul
business in grado di offrire il massimo valore per il business al costo più basso.
7