Governance degli accessi e delle identità (IAG

WHITE PAPER
Governance degli accessi e delle identità
(IAG, Identity and Access Governance) –
Incontro tra consulenza aziendale e IT
A causa del numero maggiore di rischi che si accompagnano al panorama
normativo e alle pericolose minacce alla sicurezza odierne, la necessità di una
governance degli accessi e delle identità (IAG, Identity and Access Governance)
non è mai stata così impellente. È necessario sapere esattamente chi può accedere
a determinate risorse e se i corrispondenti livelli di accesso sono adatti. Negli ultimi
anni questa esigenza si è trasformata da direttiva IT a imperativo aziendale vitale.
Con il crescere del livello di sofisticazione tecnica della popolazione generale,
crescono anche i rischi di violazioni alla sicurezza e la velocità con la quale le
organizzazioni devono reagire.
Laddove la gestione delle identità rappresenta una delle principali preoccupazioni
del reparto IT, le aree correlate di conformità della sicurezza, riduzione del rischio e
governance degli accessi sono tra le principali priorità dei dirigenti di un’organizza­
zione. I sistemi di gestione delle identità e di governance degli accessi condividono
molte funzioni identiche. Tuttavia, le persone che fanno uso di questi sistemi
(i professionisti dell’IT e i dirigenti) hanno generalmente obiettivi e background
tecnologici molto diversi. Nonostante sia corretto fare convergere questi due
sistemi, essi devono essere sufficientemente solidi da soddisfare le richieste IT e
sufficientemente semplici da poter essere gestiti dai professionisti aziendali non IT.
Questo non implica che un sistema possa, o debba, svolgere il lavoro di entrambi,
ma che per soddisfare le esigenze in crescita di entrambi i sistemi la soluzione IAG
debba integrare perfettamente l’IT e gli strumenti aziendali.
WHITE PAPER
Indice
Panoramica sul settore dell’IAG .............................................................................................................................. 1
Forze di mercato................................................................................................................................................... 1
Attacchi, cyber-terrorismo, violazioni interne e frodi............................................................................................. 1
La comparsa del cloud......................................................................................................................................... 1
Accesso mobile.................................................................................................................................................... 1
Limiti di budget..................................................................................................................................................... 1
Pressioni derivanti................................................................................................................................................ 2
Controlli, normative, conformità............................................................................................................................ 2
Velocità di accesso e aggiornamenti.................................................................................................................... 2
Unione di due mondi................................................................................................................................................ 2
Definizioni............................................................................................................................................................. 2
Gestione delle identità.......................................................................................................................................... 2
Governance degli accessi.................................................................................................................................... 2
IAG ed esigenze organizzative............................................................................................................................. 3
Integrazione ed evoluzione reale............................................................................................................................. 3
Il valore degli investimenti esistenti...................................................................................................................... 3
Il futuro.................................................................................................................................................................. 3
Elementi chiave per soluzioni IAG efficaci............................................................................................................... 3
Scelta del fornitore................................................................................................................................................... 4
Informazioni su NetIQ............................................................................................................................................... 5
WHITE PAPER: Governance degli accessi e delle identità (IAG, Identity and Access Governance) – |
Incontro tra consulenza aziendale e IT |
Panoramica sul settore dell’IAG
Forze di mercato
Molti fattori hanno contribuito alla crescita esplosiva del settore della governance delle identità e degli accessi. Di seguito
riportiamo alcuni dei principali fattori che promuovono tale crescita.
Attacchi, cyber-terrorismo, violazioni interne e frodi
Benché alla maggior parte delle aziende risulti relativamente facile fornire buoni livelli di sicurezza fisica ai dipendenti presso
le proprie strutture, la sicurezza dei sistemi, dei dati e della proprietà intellettuale sembra essere un compito improbo. I cyber
attacchi, o attacchi informatici, possono provenire da qualsiasi fonte: dall’esterno o persino dagli stessi dipendenti dell’organizza­
zione. Mentre il Federal Bureau of Investigation (FBI) aumenta del 10 percento1 il numero di frodi perseguite ogni anno,
il numero di casi che non arriva fino alla sua attenzione è notevolmente più alto. Dai dipendenti scontenti ai concorrenti
senza scrupoli fino agli hacker a caccia di dati da poter rivendere, i rischi non sono mai stati così elevati come oggi.
Bisogna dire, tuttavia, che la maggior parte dei cyber-attacchi e delle violazioni di sicurezza è evitabile: probabilmente la
propria azienda dispone già di tutte le informazioni che le servono per bloccare gli attacchi. È molto probabile, però, che
non disponga di un metodo per organizzare, gestire e monitorare i dati in modo da poter rilevare i rischi di sicurezza e
intraprendere azioni preventive.
La comparsa del cloud
Il National Institute of Standards and Technology (NIST) definisce il cloud come “un’offerta informatica sotto forma di servizio
e non di prodotto, laddove risorse, software e informazioni condivisi vengono forniti ai computer e ad altri dispositivi sotto
forma di servizio (come la fornitura di energia elettrica) su una rete (generalmente Internet)”.2 Le piattaforme e i servizi
ospitati in ambienti cloud stanno diventando sempre più comuni a livello globale, ed è facile capire perché. Il SaaS (Software
as a Service) fornito in ambienti cloud è intrinsecamente scalabile. Le aziende pagano solo il software di cui hanno bisogno
al momento e, quando necessitano di maggiore capacità, possono facilmente allocare risorse aggiuntive. Tuttavia, l’uso
dei servizi forniti in ambienti cloud presenta anche alcune difficoltà. Ad esempio, fornire a tutti gli utenti l’accesso a tutte
le applicazioni può essere costoso e rischioso. Per tenere sotto controllo i costi e ridurre i rischi di sicurezza, serve un
modo per allocare l’accesso alle risorse sul cloud in base ai ruoli e alle responsabilità degli utenti. In altre parole, serve una
soluzione IAG efficace.
Accesso mobile
Per restare competitivi è necessario fornire accesso continuo, in qualsiasi momento e da qualsiasi luogo, alle risorse di rete.
Questo comporta molto di più della semplice installazione di client tradizionali di rete privata virtuale (VPN) sui computer
dell’azienda. Gli utenti remoti necessitano dell’accesso da diversi dispositivi non tradizionali, come smartphone e tablet.
Per soddisfare in modo sicuro queste esigenze, la soluzione di controllo degli accessi deve sia autenticare gli utenti che
permettere loro di accedere alle risorse basate sul cloud da più dispositivi. Tale accesso richiede una gestione delle identità
sicura e affidabile che funzioni su tutte le piattaforme.
Limiti di budget
Durante i periodi di difficoltà economica, spesso le organizzazioni limitano i budget dedicati all’IT, aumentando
contemporaneamente le richieste di servizi di questo settore. Le soluzioni IAG completamente integrate che automatizzano
le procedure e i processi più comuni sono investimenti oculati anche nei momenti difficili, poiché consentono di risparmiare
tempo, denaro e frustrazioni.
Tali soluzioni consentono di risparmiare denaro in due aree principali: produttività e sicurezza. Se i dipendenti non possono
accedere alle risorse necessarie per svolgere il loro lavoro, la produttività ne soffre e i costi per la manodopera aumentano.
Analogamente, i costi di produttività aumentano quando i professionisti dell’IT devono passare lunghe ore a svolgere attività
ordinarie e ripetitive. Ma i costi più elevati associati a soluzioni di governance delle identità e degli accessi separate e
gestite manualmente si verificano quando le organizzazioni non dispongono di controlli adeguati di sicurezza e conformità.
Le violazioni di dati sono costose e diventano rapidamente di pubblico dominio. Se un’organizzazione perde la fiducia del
mercato, è a rischio di estinzione.
______________________
1
2
http://www.fbi.gov/stats-services/publications/financial-crimes-report-2010-2011/financial-crimes-report-2010-2011#Corporate
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
WHITE PAPER: Governance degli accessi e delle identità (IAG, Identity and Access Governance) – |
Incontro tra consulenza aziendale e IT | 1
Pressioni derivanti
All’aumentare delle forze di mercato sopra citate, aumenta anche la pressione per adottare una soluzione IAG efficace,
integrata e automatizzata. Le organizzazioni devono garantire sia l’integrità dei loro sistemi che la loro capacità di gestirne
efficacemente l’accesso. Le forze di mercato fanno pressione in due aree principali.
Controlli, normative, conformità
Una maggiore supervisione da parte dello Stato e del settore è causata dalle preoccupazioni circa la sicurezza dei dati,
che a sua volta deriva dalle forze di mercato, tra cui Internet e la sempre maggiore popolarità del cloud. Gli enti normativi
statali e del settore applicano spesso la supervisione sotto forma di normative, le quali a volte si trasformano in leggi per
garantirne l’adempienza. Sarbanes-Oxley (SOX) e l’Health Insurance Portability and Accountability Act (HIPAA) sono
solo due esempi delle molte normative che necessitano di soluzioni IAG efficaci per poter essere rispettate: la capacità
di certificare che le persone possano accedere solo alle risorse di cui necessitano e solo quando ne hanno bisogno è
essenziale per garantire l’adempienza a queste normative.
Velocità di accesso e aggiornamenti
Anni fa, le aziende si accontentavano di attendere che il servizio postale consegnasse loro la corrispondenza e le
informazioni. Nell’ambiente delle comunicazioni odierno, le aziende si aspettano, invece, una condivisione istantanea,
nonché un provisioning e un de-provisioning immediato degli utenti. La generazione di richieste di assistenza all’help desk
e l’attesa che un personale IT oberato di lavoro conceda o rimuova manualmente l’accesso a ogni risorsa non è più una
procedura accettabile. Mai come adesso funzioni come l’aggiornamento dei sistemi e delle applicazioni per soddisfare le
nuove esigenze aziendali e le normative sulla conformità, gli aggiornamenti periodici e gli aggiornamenti delle policy e delle
procedure IT attirano l’attenzione dei livelli più alti di un’organizzazione. Il management pretende un’esecuzione immediata,
anche con l’aumentare delle complessità.
Unione di due mondi
Definizioni
Per comprendere le soluzioni IAG è prima necessario conoscere il funzionamento di base della gestione delle identità e
della governance degli accessi.
Gestione delle identità
Le esigenze e i requisiti IT promuovono lo sviluppo di sistemi di gestione delle identità e degli accessi. Gli strumenti di
gestione delle identità consentono ai professionisti dell’IT di:
•
•
•
•
•
•
Fornire l’accesso alle applicazioni e al server.
Fornire meccanismi di autenticazione sicuri in grado di garantire l’identità effettiva degli utenti.
Semplificare i processi di accesso sicuro.
Allocare l’accesso alle risorse SaaS e ai dispositivi mobili.
Amministrare le funzioni di Active Directory.
Fornire capacità di amministrazione dettagliate e privilegiate al personale IT.
Questi strumenti sono molto potenti e risolvono problemi complessi. Sono progettati per lavorare in modo automatizzato
dietro le quinte e in genere non vengono utilizzati dagli utenti aziendali medi.
Governance degli accessi
I problemi di governance degli accessi generalmente sono localizzati a livello aziendale, quindi gli strumenti appositi
dispongono di interfacce utente progettate per i responsabili aziendali piuttosto che per il personale IT. Generalmente questi
strumenti supportano le attività seguenti:
•
•
•
•
•
•
Garantire la conformità dell’azienda alle regole e alle normative IAG.
Autorizzare le richieste di accesso per i neoassunti, i dipendenti in nuove posizioni e i team temporanei.
Certificare livelli di accesso appropriati.
Definire e gestire i ruoli utente a livello di sistema.
Gestire le autorizzazioni associate ai vari ruoli e posizioni.
Valutare, gestire e ridurre i rischi basati sui ruoli, sulle autorizzazioni e sui livelli di accesso.
WHITE PAPER: Governance degli accessi e delle identità (IAG, Identity and Access Governance) – |
Incontro tra consulenza aziendale e IT | 2
Gli strumenti di governance degli accessi non solo permettono ai responsabili aziendali di soddisfare i requisiti normativi e
di autorizzare gli accessi, ma automatizzano anche le attività comuni e ripetitive, riducendo in tal modo il carico di lavoro del
personale IT e dell’help desk.
IAG ed esigenze organizzative
Le organizzazioni IT devono supportare le attività di conformità, fornire l’accesso, mantenere sicuri i sistemi e aggiornare gli
ambienti tecnologici e di elaborazione, tentando nel contempo di supportare gli obiettivi aziendali strategici. I responsabili
aziendali hanno come obiettivo rispettare la conformità, superare i controlli di sicurezza/normativi, ridurre i rischi, rispondere
rapidamente ai clienti interni ed esterni e avere una visione d’insieme dell’azienda grazie a un sistema facile da comprendere
e utilizzare.
Per quanto possano sembrare diverse le esigenze IT e aziendali, nel caso dei sistemi di gestione delle identità e di
governance degli accessi non è possibile soddisfare le esigenze dell’uno senza soddisfare anche quelle dell’altro.
È imperativo che entrambi i sistemi collaborino per soddisfare e superare gli obiettivi aziendali e IT.
La governance non sostituisce la necessità di una robusta gestione delle identità, ma integra tale infrastruttura e consente
di sfruttare appieno i sistemi aziendali, invece di diventarne schiavi. In altre parole, un’integrazione perfetta tra i sistemi di
gestione delle identità e di governance degli accessi soddisfa sia le esigenze IT che quelle aziendali.
Integrazione ed evoluzione reale
Il valore degli investimenti esistenti
Alcuni nuovi fornitori nel settore dell’IAG difendono la spinta verso le tecnologie emergenti, lasciando indietro tutto ciò che
appartiene al passato. Questo approccio è come minimo costoso e, nella peggiore delle ipotesi, pericoloso. Il fatto di poter
sfruttare le attrezzature e la tecnologia esistenti ne aumenta il valore e presenta un importante vantaggio aggiuntivo: i
sistemi esistenti sono già stati accettati dagli utenti. Con la giusta soluzione IAG è possibile preservare le tecnologie vincenti
del passato e mantenere il passo con le nuove, importanti tecnologie. La “giusta” soluzione IAG deve supportare un’ampia
gamma di piattaforme, applicazioni e tecnologie. Ciò garantirà all’azienda di utilizzare correttamente i sistemi correnti come
base tecnologica sulla quale applicare le ultime tecnologie, consentendo così di creare un percorso di sviluppo futuro.
Il futuro
L’azienda deve creare una forte visione del futuro e determinare la direzione da seguire. Il sistema IAG adottato sarà una
parte importante di tale futuro. Se l’azienda sta contemplando l’acquisizione di altre società (o se è in fase di acquisizione da
parte di altre società), sa già che avrà bisogno di sistemi in grado di adattarsi a tecnologie nuove e diverse, ma tali sistemi
servono anche nel caso in cui non siano previste acquisizioni. Dopo tutto, le tecnologie di oggi diventeranno le tecnologie
preesistenti del futuro e, quando questo succederà, sarà meglio usarle come punto di partenza piuttosto che sostituirle
del tutto. È necessario verificare che il percorso di sviluppo futuro comprenda solide capacità di integrazione in grado di
consentire ai sistemi di coesistere perfettamente con tecnologie nuove ed emergenti, comprese le nuove piattaforme e i
nuovi ambienti di elaborazione.
Elementi chiave per soluzioni IAG efficaci
Le seguenti funzioni di prodotto costituiscono parte integrante di una soluzione IAG vincente:
•
Integrazione completa tra i sistemi di governance: verificare che il sistema di governance scelto non sia
semplicemente “compatibile” o non si limiti a “interfacciarsi” al proprio sistema di gestione delle identità e degli
accessi. Un’integrazione davvero perfetta tra offerte solide in ogni categoria garantirà un maggiore successo.
•
Semplicità d’uso: un’interfaccia semplificata e intuitiva è essenziale, soprattutto per gli utenti aziendali che
trattano la governance degli accessi. Cercare un’interfaccia dashboard che consenta ai responsabili aziendali di
visualizzare rapidamente l’intera infrastruttura IAG e fornire informazioni dettagliate sui profili utente che mostrino
i ruoli e le autorizzazioni di ognuno. Queste capacità aiuteranno gli utenti aziendali ad adottare i nuovi sistemi
rapidamente e in modo indolore e a soddisfare gli obiettivi di conformità.
WHITE PAPER: Governance degli accessi e delle identità (IAG, Identity and Access Governance) – |
Incontro tra consulenza aziendale e IT | 3
•
Controllo sulle utenze non attribuite: benché sia importante fornire rapidamente il giusto accesso alle risorse,
è ancora più importante revocare rapidamente l’accesso ai dipendenti o ai fornitori non più attivi. Verificare che
la soluzione IAG scelta comprenda trigger che impediscano alle utenze non attribuite di trasformarsi in potenziali
rischi per la sicurezza.
•
Controllo dell’estensione indebita delle autorizzazioni: quando i dipendenti cambiano reparto, accettano
le promozioni, partecipano a team temporanei e così via, esistono soluzioni che consentono loro di mantenere
facilmente i privilegi di accesso di progetti precedenti. Una soluzione IAG efficace, tuttavia, monitorizza e controlla
tale estensione indebita delle autorizzazioni, garantendo così che i privilegi di accesso degli utenti si estendano
solo alle esigenze attuali.
•
Processo sicuro e affidabile: i sistemi di governance offrono solo il livello di qualità dei sistemi di gestione delle
identità ai quali sono integrati. È necessario verificare che entrambi i sistemi siano potenti e facili da utilizzare e
forniscano una buona interazione.
•
Supporto multipiattaforma: un sistema IAG robusto supporta tutte le principali applicazioni software e di
database, sistemi operativi, hardware e ambienti di server Web.
•
Strumenti di valutazione e riduzione del rischio: la capacità di identificare e ridurre rapidamente i rischi è
chiaramente un elemento essenziale di qualsiasi buona soluzione IAG.
Scelta del fornitore
Scegliere il giusto fornitore è importante quanto scegliere i sistemi e gli strumenti giusti. Ecco alcune domande da porsi al
momento della scelta di un fornitore:
•
Credibilità: qual è la reputazione nel mercato del potenziale fornitore? Qual è il livello di soddisfazione degli altri
clienti relativamente all’assistenza e ai servizi del fornitore? Se la reputazione di un potenziale fornitore è sospetta,
oppure se è in attività da troppo poco tempo per essersi costruito una solida reputazione, prestare maggiore
attenzione durante il processo di selezione.
•
Visione del futuro: qual è la visione del potenziale fornitore? Segue i fornitori leader o è lui stesso un leader?
Gli obiettivi e le strategie del fornitore sono allineati a quelli dell’azienda? Cercare un fornitore la cui visione si
integri correttamente a quella dell’organizzazione.
•
Leadership del settore ed esperienza: qual è la storia del potenziale fornitore? È stato un innovatore nei
mercati in cui opera? Ha dimostrato che il mercato IAG è un’area di competenza chiave oppure sembra essere
secondaria? Le leadership precedenti sono la migliore indicazione di un successo futuro.
•
Prestazioni comprovate: qual è il livello di esperienza del personale tecnico e di supporto del fornitore? Il fornitore
ha implementato con successo soluzioni molto simili a quella destinate alla propria azienda in altre situazioni?
Anche in questo caso, scoprire in che modo la valutazione del fornitore da parte dei suoi clienti esistenti possa
contribuire a determinare le sue performance presso la propria azienda.
Al convergere delle tecnologie di gestione delle identità e di governance degli accessi, è doppiamente importante scegliere
i giusti prodotti dai giusti fornitori. Una ricerca, una pianificazione e una selezione accurate del partner garantiranno che la
soluzione IAG dell’organizzazione soddisfi le proprie esigenze sul lungo periodo.
WHITE PAPER: Governance degli accessi e delle identità (IAG, Identity and Access Governance) – |
Incontro tra consulenza aziendale e IT | 4
Informazioni su NetIQ
NetIQ è un produttore di software costantemente impegnato nella realizzazione di soluzioni che favoriscono il successo
dei clienti. I clienti e i partner scelgono NetIQ per proteggere le informazioni e gestire la complessità di ambienti applicativi
aziendali dinamici e altamente distribuiti a costi ridotti.
L’offerta di NetIQ comprende soluzioni scalabili e automatizzate per le identità, la sicurezza e la governance e per la
gestione delle attività IT, che consentono alle organizzazioni di offrire, misurare e gestire in modo sicuro i servizi di
elaborazione in ambienti fisici, virtuali e di cloud computing. Queste soluzioni e l’approccio pratico e orientato ai clienti di
NetIQ alla risoluzione delle continue sfide IT consente alle organizzazioni di ridurre costi, complessità e rischi.
Per ulteriori informazioni sulle note soluzioni di software di NetIQ, visitare il sito www.netiq.com.
Questo documento può contenere inesattezze tecniche o errori tipografici. Le informazioni ivi contenute vengono modificate periodicamente. Le modifiche possono essere incorporate nelle nuove
versioni del documento. NetIQ Corporation si riserva il diritto di apportare in qualsiasi momento miglioramenti o modifiche al software descritto in questo documento.
Copyright © 2012 NetIQ Corporation e affiliate. Tutti i diritti riservati.
562-IT1004-001 DS 07/12
ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security
Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge
Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server
Consolidator, VigilEnt e Vivinet sono marchi o marchi registrati di NetIQ Corporation o delle sue affiliate negli Stati Uniti. Tutti gli altri nomi di aziende e prodotti citati nel documento vengono utilizzati
esclusivamente a scopo identificativo e possono essere marchi o marchi registrati delle rispettive aziende.
Italy - Milan
Italy - Rome
Via Varese, 6/A
20037
Paderno Dugnano (MI)
Tel: +39 (0) 2 99 06 02 01
Fax: +39 (0) 2 9904 4784
[email protected]
www.NetIQ.com
http://community.netiq.com
Via Tirone 11
00146 Rome
Italy
Tel: +39 06 45 213 421
Fax: +39 06 45 213 301
Email : [email protected]
Per un elenco completo dei nostri
uffici in Nord America, Europa,
Medioriente, Africa, Asia-Pacifico
e America Latina, visitate
www.netiq.com/contacts.
Seguiteci:
WHITE PAPER: Governance degli accessi e delle identità (IAG, Identity and Access Governance) – |
Incontro tra consulenza aziendale e IT | 5