Governance delle identità e degli accessi basata sul business
Transcript
Governance delle identità e degli accessi basata sul business
GOVERNANCE DEGLI ACCESSI E DELLE IDENTITÀ BASATA SUL BUSINESS: PERCHÉ QUESTO NUOVO APPROCCIO È IMPORTANTE ABSTRACT Per anni i responsabili della sicurezza delle informazioni e delle LOB hanno intuito che la governance degli accessi e delle identità (IAG, Identity and Access Governance) dovesse basarsi sulle esigenze del business. Dopo tutto sono proprio i business manager a sapere davvero "chi deve avere accesso a cosa". Questo white paper spiega perché adottare un approccio alla governance delle identità e degli accessi basato sul business consenta alle organizzazioni di provare facilmente la conformità alle normative vigenti, ridurre al minimo i rischi e migliorare la produttività del business. Aprile 2014 Copyright © 2014 EMC Corporation. Tutti i diritti riservati. EMC ritiene che le informazioni contenute nel presente documento siano esatte alla data di pubblicazione. Le informazioni sono soggette a modifica senza preavviso. LE INFORMAZIONI CONTENUTE NELLA PRESENTE PUBBLICAZIONE VENGONO FORNITE "COME SONO". EMC Corporation non riconosce alcuna garanzia di nessun genere inerente le informazioni riportate nella presente pubblicazione, tra cui garanzie implicite di commerciabilità o idoneità a un determinato scopo. L'utilizzo, la copia e la distribuzione dei prodotti software di EMC descritti in questo documento richiedono una licenza d'uso valida per ciascun software. Per un elenco aggiornato dei nomi di prodotti EMC, vedere la sezione EMC Corporation Trademarks sul sito web italy.emc.com . Part Number H13070 WHITE PAPER RSA SOMMARIO EXECUTIVE SUMMARY 3 REALTÀ ATTUALE: GESTIONE DELLE IDENTITÀ NON RIUSCITA 3 L'IMPORTANZA DEL CONTESTO DI BUSINESS 4 REQUISITI PER LA GOVERNANCE DELLE IDENTITÀ E DEGLI ACCESSI BASATA SUL BUSINESS 4 APPROCCIO IN FASI ALLA GOVERNANCE DELLE IDENTITÀ E DEGLI ACCESSI BASATA SUL BUSINESS 5 RIEPILOGO 7 EXECUTIVE SUMMARY Per anni i responsabili della sicurezza delle informazioni e delle LOB hanno intuito che la governance delle identità e degli accessi (IAG, Identity and Access Governance ) dovesse basarsi sulle esigenze del business. Dopo tutto sono proprio i responsabili aziendali a sapere davvero "chi deve avere accesso a cosa". Tuttavia troppo spesso gli strumenti e i processi delle organizzazioni non riflettono ciò che possiamo definire "contesto di business". Questi sistemi in genere non dispongono del supporto per una visione aziendale dell'accesso degli utenti e dei relativi ruoli e responsabilità all'interno del business. Inoltre normalmente non riflettono le autorizzazioni specifiche che stabiliscono in modo dettagliato quali azioni gli utenti possono eseguire all'interno delle applicazioni. Questo di solito è dovuto al tentativo delle organizzazioni di usare strumenti tecnici e incentrati sull'IT per la gestione degli accessi e delle identità (IAM, Identity and Access Management) per risolvere problemi di governance basati sul business. Il contesto di business è la somma totale di tutto ciò che un'organizzazione sa sui propri utenti, le relative responsabilità lavorative e le informazioni, le applicazioni e le autorizzazioni di cui gli utenti necessitano. Sebbene parte del contesto sia contenuta all'interno dei sistemi gestiti dall'IT (come directory e applicazioni HR), ulteriore contesto viene fornito dai responsabili che supervisionano gli utenti o dagli owner delle funzioni, delle applicazioni e dei dati aziendali, non dal dipartimento IT o dal personale dedicato alla sicurezza. Questo white paper spiega perché gli attuali sistemi di gestione delle identità non siano in grado di riflettere adeguatamente il contesto di business, perché l'adozione di un approccio basato sul business alla governance delle identità e degli accessi consenta di ridurre i costi aumentando la sicurezza e descrive in modo dettagliato la metodologia per la relativa implementazione. REALTÀ ATTUALE: GESTIONE DELLE IDENTITÀ NON RIUSCITA Le organizzazioni attuali devono affrontare un numero quanto mai elevato di minacce per la sicurezza e sfide normative, per non parlare dell'aumento esplosivo del numero di utenti, della proliferazione dei dispositivi mobili e del potenziale danno per il valore e la reputazione degli azionisti che risulterebbe da una violazione dei dati aziendali. Eppure, non solo i tradizionali sistemi di governance delle identità e degli accessi (IAG) non riescono a stare al passo con le suddette sfide, ma non riescono neppure a rispondere alla necessità di gestire in modo proattivo uno scenario ricco di rischi e minacce e in continuo cambiamento. Le tradizionali architetture IAG sono frammentate, complesse e male equipaggiate per stare al passo con i cambiamenti che avvengono nelle organizzazioni, da semplici trasferimenti dei dipendenti a vere e proprie ristrutturazioni, da nuovi requisiti richiesti dalle normative vigenti a fusioni e acquisizioni. Inoltre, l'implementazione e l'utilizzo dei tradizionali sistemi di controllo delle identità continuano a essere costosi in modo proibitivo, il che ne limita la diffusione e l'efficacia. Il cloud computing aumenta la complessità creando nuovi silos di applicazioni (e altri amministratori con relativi privilegi di accesso) per ogni nuova applicazione cloud e nuovo service provider cloud. Aumenta inoltre la percentuale di modifiche da implementare, perché le LOB ottengono nuovi servizi, spesso senza informare il dipartimento IT centrale o i gruppi dedicati alla sicurezza. Il mobile computing e le tendenze "Bring Your Own Device" creano ancora altri silos per la governance delle identità e degli accessi su ciascuna nuova piattaforma. Il risultato è che anche se le organizzazioni necessitano di una governance delle identità e degli accessi più semplice, rapida e coerente, il ritmo e la velocità delle modifiche rende l'approccio alla conformità alle normative vigenti e ai rischi sempre meno sicuro. L'approccio basato su sistemi in silos, reattivi e incompleti, rende ancora più difficile la discovery e l'applicazione del contesto di business necessario per ciascuna applicazione o gruppo di sistemi e la mancanza di una singola infrastruttura IAG centrale un fattore ancora più critico. Le organizzazioni devono poter provare facilmente la conformità alle normative vigenti, ridurre al minimo i rischi e consentire la produttività del business. Rispetto a tutte queste sfide, la chiave per risolvere questi problemi è sfruttare un sistema di governance delle identità e degli accessi centralizzato e moderno, creato sulla base del contesto di business. 3 L'IMPORTANZA DEL CONTESTO DI BUSINESS Il contesto di business è l'ingrediente chiave spesso dimenticato che consente di assicurare una governance delle identità e degli accessi efficace ed estesa all'intera azienda. È spesso tralasciato perché la gestione e la governance delle identità e degli accessi sono in genere nelle mani di CIO, CISO, VP of Security o Director of Security. Nessuno di essi dispone tuttavia del contesto di business richiesto per garantire una governance degli accessi efficace ed efficiente per l'intera azienda. La maggior parte del contesto di business è invece noto ai supervisori e agli altri responsabili aziendali che comprendono le specifiche responsabilità dei vari utenti e gli accessi necessari per ognuno. Si consideri ad esempio un dipartimento finanziario con cinque dipendenti, ciascuno dei quali ha il codice amministrativo Analyst Level 2. Il dipartimento IT potrebbe concludere che ciascuno dei dipendenti debba ottenere gli stessi diritti e autorizzazioni di accesso. Tuttavia il supervisore sa chi è responsabile delle spese di viaggio e intrattenimento, chi monitora le spese per telecomunicazioni e utenze e può quindi prendere decisioni più accurate in merito all'accesso e alle autorizzazioni dei dipendenti del dipartimento. Membri diversi di un team di sperimentazione clinica possono avere le stesse qualifiche professionali, ma richiedere livelli di accesso diversi ai dati dei test in base ad anzianità/ruolo, formazione o assegnazioni del progetto. Anche gli owner delle applicazioni aziendali sono in grado di comprendere la modalità di utilizzo delle risorse di applicazioni e dati e quali siano le policy relative ad autorizzazioni e accessi più appropriate. Gli owner delle applicazioni, insieme ai team dedicati alla gestione dei rischi, audit e conformità alle normative vigenti, dispongono del contesto migliore per impostare policy IAG specifiche per diverse applicazioni aziendali o domini del settore. E gli owner delle risorse dati sanno esattamente chi deve avere accesso ai dati sensibili o regolamentati. Per applicare il contesto in modo più efficace, le organizzazioni devono consentire a responsabili aziendali, owner di applicazioni aziendali e team di audit, rischio e conformità di gestire i requisiti delle policy correlate all'accesso. L'IT deve quindi tradurre tali requisiti in attività operative. Ottenere la governance delle identità e degli accessi basata sul business richiede nuovi processi e nuove tecnologie e richiede la partnership di business e IT. REQUISITI PER LA GOVERNANCE DELLE IDENTITÀ E DEGLI ACCESSI BASATA SUL BUSINESS Per portare il contesto di business nel processo di governance delle identità e degli accessi, l'IT deve trasformare il gergo criptico delle autorizzazioni di applicazioni e infrastruttura in una visualizzazione degli accessi semplificata e dedicata al business e offrire ai responsabili aziendali un modo semplice e intuitivo di prendere decisioni in relazione alla IAG per l'intero ciclo di vita delle identità e degli accessi. Una IAG basata sul business richiede inoltre che le LOB acquisiscano la proprietà delle attività per le quali dispongono del contesto e ne siano quindi responsabili. I team dedicati ad audit, gestione dei rischi e della conformità devono poter essere in grado di creare requisiti, misurare i risultati e decidere i controlli necessari. I team dedicati alle operazioni e alla sicurezza IT devono avere visibilità e controllo sul modo in cui vengono condotte le attività della IAG, poiché essi sono i responsabili finali per le decisioni prese dalle LOB. Le organizzazioni devono poter definire facilmente policy che sfruttano il contesto di business, garantendo la conformità in aree quali SOD (Segregation-Of-Duties) o richiesta e approvazione dell'accesso. Una volta creata l'istanza di una policy, è possibile applicarla automaticamente e le eventuali violazioni possono essere gestite in modo automatico. Poiché il contenuto di tali policy sarà familiare per le LOB e per i team dedicati alle operazioni e alla sicurezza IT, all'audit e alla gestione dei rischi e della conformità, si tratta di un modo molto efficace di coinvolgerli nel processo di IAG. 4 L'automazione dell'applicazione delle modifiche agli accessi può ridurre in modo significativo costi e sforzi, perché fino a oggi le organizzazioni hanno fatto fatica a raggiungere l'automazione necessaria con strumenti indirizzati all'IT di vendor di gestione delle identità tradizionale. Un approccio davvero basato sul business alla governance delle identità e degli accessi utilizza un meccanismo semplice di change management per gli accessi, che tiene separata la logica di business dalla logica di integrazione specifica delle applicazioni. Tale approccio deve inoltre consentire modifiche agli accessi basate su policy, utilizzando regole e workflow per fornire un rapido accesso in linea con le policy stabilite. Ciò offre un metodo rapido e a costi contenuti per l'on-boarding delle applicazioni dal punto di vista della implementazione completa delle modifiche. Tutto ciò richiede una piattaforma di governance delle identità e degli accessi automatizzata e centralizzata, in grado di offrire agli owner del business una visualizzazione semplificata delle identità e degli accessi, di controllare l'accesso automatizzato e basato su policy, di soddisfare le richieste di modifica di IAG e garantire la conformità degli accessi proattiva nel tessuto dell'organizzazione. La Figura 1 illustra il modo in cui una tale piattaforma consenta a un'organizzazione di creare processi di business per il completamento di tutte queste attività. APPROCCIO IN FASI ALLA GOVERNANCE DELLE IDENTITÀ E DEGLI ACCESSI BASATA SUL BUSINESS La IAG basata sul business viene applicata al meglio attraverso l'implementazione di processi di business discreti e misurabili, con un approccio in fasi graduali in grado di offrire valore in ciascuna fase. Le fasi identificabili sono le seguenti: Visibilità e certificazione: questo processo sostenibile e ripetibile raccoglie automaticamente e ripulisce i dati di identità e di autorizzazioni per ottenere una singola vista unificata e normalizzata delle autorizzazioni di accesso correnti. Questa vista tecnica degli accessi viene trasformata in una visualizzazione per il business, in modo che i responsabili delle LOB, come i supervisori o gli owner delle risorse, possano diventare responsabili dell'analisi delle autorizzazioni di accesso. Questo avviene mediante un facile processo di business di certificazione dell'accesso (noto anche come analisi degli accessi), nel quale le autorizzazioni degli utenti vengono esaminate e approvate o revocate da un supervisore o un owner dell'applicazione. Un'importante fase aggiuntiva, che è anche un buon esempio di creazione di un contesto di business, è l'identificazione degli owner del business delle risorse dati (quali file share o siti SharePoint), oltre che dei metadati che ne definiscono lo scopo per il business e la classificazione dei rischi. Gestione delle policy: l'acquisizione del contesto decisionale e della logica di business in un set di policy definite come regole è un metodo eccellente per automatizzare la sicurezza e i controlli di conformità. La disponibilità di regole che attivano specifici workflow consente l'automazione dei processi e delle policy e permette una riduzione dei costi. Ad esempio, l'identificazione di un nuovo dipendente può attivare un processo in più fasi che include la creazione di account per il dipendente, l'assegnazione delle appartenenze ai gruppi appropriate, l'assegnazione agli account delle autorizzazioni appropriate per applicazioni e dati e la ricezione delle necessarie approvazioni. 5 Gestione dei ruoli: i ruoli consentono ai responsabili aziendali di gestire più facilmente le modifiche alle autorizzazioni. Si consideri ad esempio il ruolo di Trader di titoli Livello 2. Un utente con questo ruolo potrebbe disporre di 35 diverse autorizzazioni (ad esempio la possibilità di gestire titoli fino a una certa cifra) su diverse applicazioni. Anziché richiedere a un responsabile di analizzare e valutare ciascuna delle 35 autorizzazioni, è possibile fare in modo che il responsabile verifichi che il ruolo sia corretto per la persona specifica. Si tratta di un modo più semplice e naturale per il responsabile di applicare il necessario contesto di business perché diventa necessario considerare il ruolo ricoperto da una specifica persona invece di un elenco dettagliato di autorizzazioni per le applicazioni. I ruoli consentono inoltre di semplificare i processi JML (Joiner, Mover, Leaver) e di rendere più facile l'assegnazione di accessi aggiuntivi agli utenti. Rendono inoltre più efficaci le operazioni di analisi, convalida o test degli accessi degli utenti per semplificare la gestione della conformità e il risk management e rendere più veloce l'implementazione. Questa fase produce inoltre processi per la gestione del ciclo di vita dei gruppi di directory, spesso utilizzati per gestire l'accesso (specialmente per le risorse dati) in modo molto simile ai ruoli. Spesso le organizzazioni non desiderano dedicare tempo e personale alla creazione e gestione di ruoli. Un'altra alternativa da prendere in considerazione è l'uso di autorizzazioni suggerite, che possono offrire ai responsabili aziendali una scelta di autorizzazioni assegnate a utenti simili durante i processi Joiner o Mover. Gestione delle richieste di accesso: una volta creata una visualizzazione per il business degli accessi e le astrazioni necessarie per semplificare e automatizzare la gestione degli accessi, l'organizzazione è in una buona posizione per stabilire il front-end delle richieste di accesso self-service per gli utenti di business e un engine di change management conforme alle policy per l'IT nel back-end. Questo processo consente alle LOB di richiedere le richieste di accesso senza alcuna conoscenza della infrastruttura e dei dettagli coinvolti nell'evadere le richieste, semplificando in questo modo il processo di richiesta di accesso. Fornisce inoltre una conformità proattiva applicando le policy prima che l'accesso venga concesso. Applicazione delle modifiche (provisioning): le modifiche alle identità e agli accessi basate sul business hanno come risultato modifiche effettive degli account degli utenti, delle appartenenze ai gruppi e delle assegnazioni delle autorizzazioni per sistemi, risorse dati, directory, applicazioni e soluzioni di controllo dell'accesso. L'applicazione delle modifiche, o provisioning , è un processo che di solito esiste già sotto qualche forma prima che un'organizzazione intraprenda una delle fasi di cui si è accennato. La sfida in questo caso riguarda la capacità di far evolvere il processo in modo che diventi coerente, basato su policy, a livello di autorizzazione e per, quando possibile, automatizzato. Esistono diversi meccanismi per l'applicazione delle modifiche agli accessi. La semplice notifica di un'attività, come una email a un System Administrator, è spesso l'approccio più semplice e diretto all'applicazione delle modifiche. La creazione di un ticket in un Service Desk è un modo più coerente di tenere traccia di richieste, risposte e conferme e può sfruttare un sistema di change management già esistente all'interno dell'azienda. Tuttavia i ritardi, i costi e i tassi di errore associati spesso spingono le organizzazioni verso l'automazione. Una soluzione di applicazione automatizzata garantisce efficienza operativa e modifiche tempestive e supporta in modo ideale il rapido on-boarding di nuove applicazioni. I tradizionali engine di provisioning rendono difficile l'on-boarding (la connessione a) un numero più elevato di applicazioni perché questi sistemi meno recenti combinano la logica di business che definisce le policy di governance con la logica richiesta per l'integrazione con ciascuna applicazione. Ciò richiede una costosa codifica personalizzata per ciascuna nuova connessione e ogni volta che le policy vengono modificate. I tradizionali engine di provisioning tendono inoltre a concentrarsi sul provisioning a livello di account o a livello di gruppo, il che non fornisce il livello di visibilità necessario o i requisiti di accesso. I moderni sistemi di IAG basati sul business mantengono la logica di business basata su policy a un livello più alto, rendendo questo ultimo passaggio di integrazione più semplice e meno costoso. E i moderni sistemi di IAG basata sul business si concentrano sul provisioning completo con la capacità di visualizzare e modificare autorizzazioni a livello granulare nelle applicazioni. 6 RIEPILOGO Le organizzazioni non possono affrontare una spesa superiore al dovuto per la governance delle identità e degli accessi. E non possono nemmeno affrontare i rischi correlati alla proprietà intellettuale o alla mancata conformità alle normative causati da una possibile non corretta gestione della governance delle identità e degli accessi. La strada verso la governance delle identità e degli accessi più efficiente passa attraverso gli owner dei processi, delle applicazioni e dei dati aziendali. Utilizza il ricco "contesto di business" in merito a quale utente richieda quale accesso e quali autorizzazioni come elemento fondamentale per una governance delle identità e degli accessi automatizzata e basata sul business in grado di offrire il massimo valore per il business al costo più basso. 7