Il governo degli accessi logici e della separazione dei ruoli

Transcript

Il governo degli accessi logici e della separazione
dei ruoli tramite l'Identity Management
Parma, 5-6 giugno 2008
Codice documento: PSA-PP079
Abstract
La relazione illustra il progetto di introduzione di un sistema di Identity and
Access Management in una realtà aziendale complessa. L'attenzione è posta sui
fattori critici di successo del progetto IAM e sulle soluzioni organizzative e
tecniche adottate per rendere IAM l'elemento di governo degli accessi alle
applicazioni aziendali, nel rispetto dei principi del “need to know” e della
“segregation of duties”.
Viene, altresì, evidenziato come la realizzazione di IAM rappresenti uno snodo
vitale per il raggiungimento ed il mantenimento della compliance SOX.
Summary
Il contesto e le esigenze
La soluzione: il progetto
I fattori critici
Allegati
Uso: Pubblico
Il contesto e le esigenze
“La guerra è di somma importanza per lo Stato: è sul campo di
battaglia che si decide la vita o la morte delle nazioni, ed è lì che se ne
traccia la via della sopravvivenza o della distruzione. Dunque è
indispensabile studiarla a fondo.”
Sun Tzu
5-6 giugno 2008
Progetto Sicurezza Accessi
4
Uso: Pubblico
IT Enel in Italia
3 Data Centres & 1200 siti connessi
60k utenti intranet
20k utenti mainframe
40k caselle e-mail interne (>500k esterne)
13,2
l MI
13,2
l VE
l TO
8,8
23k utenti SAP/R3
12k utenti “full internet” (30k parziali)
44
30M contatori elettronici (175M operazioni remote)
13,2
l BO
8,8
20
l FI
13,2
20
28
Piattaforme per Sales & workforce management
l ROMA
CRM (~40M. Chiamate/anno).
9,6
20
4,4
Metodi di autenticazione
l NA
.
4,4
SiteMinder, Active Directory, PKI Entrust, …
Repository di identità
8
7,6
Directory X.500 (PKI), Exchange 2000, Remedy, RACF, …
l BA
4
l CA
SAP, Active Directory, Oracle tables, Bea Portal Intranet,
5-6 giugno 2008
4,8
15,2
l PA
5
l CZ
Uso: Pubblico
Enel nel mondo
Europa
SLOVACCHIA
RUSSIA
• 66% di Slovenské Elektrárne: Potenza
installata 6.442 MW
• Gestione di 900MW CCGT
vicino S. Petersburg
(NWTPP)
• 49,5% di Rusenergosbyt
trader
• ~60% di OGK-5
SPAGNA
• ~24% di Endesa
• Viesgo: Potenza installata 2199MW
più di 600K clienti, 29.990 km di
linee di distribuzione
• 50% of EUFR: Potenza installata
228 MW
NORD AMERICA
• Potenza installata
402MW
ROMANIA
• 51% di Banat & Dobrogea
• 1.4M di clienti, 52.972 km di linee di
distribuzione
• 67.5% Electrica Muntenia Sud
(closing expected by 2nd half of 2007)
• 1.1M di clienti e 43,350km di linee di
distribuzione
BULGARIA
• 73% Maritza East III: Potenza
installata 560 MW
FRANCIA
America
AMERICA LATINA
• Potenza installata
471MW
• 5% Powernext MoU per lo sviluppo di EPR
• Erelis: sviluppo energia eolica
• Enel France: fornitore
5-6 giugno 2008
6
Uso: Pubblico
Contesto aziendale
Il parco applicativo IT della realtà Enel è molto ampio ed eterogeneo
L’immagine “digitale” delle risorse umane consente di eseguire controlli in
modo efficace poiché in Enel tutti i processi hanno un’elevata
automazione
L’organizzazione è gestita in modo flessibile per adattarsi rapidamente
alle esigenze del mercato, perciò i cambiamenti sono frequenti e profondi
Occorre ottemperare alle disposizioni di legge, non solo italiane:
• Legge 8 giugno 2001, n. 231
• Legge 30 giugno 2003, n. 196 – “Privacy”
• Legge 28 dicembre 2005, n. 262 – “Risparmio”
• Sarbanes – Oxley Act
Per approfondimenti
5-6 giugno 2008
7
Uso: Pubblico
Il cambiamento organizzativo
Distinguere la responsabilità della correttezza del trattamento
dell’informazione, da quella del raggiungimento dei risultati
• Eliminazione del contrasto di responsabilità sul medesimo soggetto
• Miglioramento della corrispondenza dei processi alla normativa
• Controllabilità delle interferenze tra processi diversi
• Aumento della flessibilità operativa
• Coinvolgimento dei responsabili operativi nelle fasi di controllo
Responsabilità
sulle persone
Responsabilità
su dati e processi
5-6 giugno 2008
User Manager
Data Owner
8
Uso: Pubblico
La soluzione: il progetto
“Ciò che da valore alla guerra, è la vittoria. Quando la guerra dura
troppo a lungo, le armi si spuntano e il morale si deprime. Quando le
truppe assediano troppo a lungo le città, le loro forze si esauriscono in
fretta.”
Sun Tzu
5-6 giugno 2008
9
Uso: Pubblico
Obiettivi
1. Orientare il flusso di richiesta delle abilitazione ai principi:
•Need to know
•Segregation of duties
2. Garantire al sistema di controllo la certezza di identificare gli attori del
processo di abilitazione integrandolo con le informazioni del sistema di
gestione del personale.
3. Rendere efficienti ed efficaci le attività tramite adeguati strumenti:
•Impiego del modello RBAC (Role-Based Access Control)
•Processo di abilitazione controllato tramite l’inserimento di vincoli
nel workflow
•Applicazione del principio SOD sia nel disegno dei processi/profili,
che in fase di abilitazione
•Uso di controlli a mitigazione del rischio di frodi/errori non
intenzionali se sussistono ragioni di carattere organizzativo che
indeboliscono l’applicazione del principio SOD
Per approfondimenti
5-6 giugno 2008
10
Uso: Pubblico
Modello
IAM
Utenti
Profili
applicativi
Ruoli
Matrice ruoli
Unità
Organizzative
SOD
Transazioni
elementari
incompatibili
Attività di
business
Matrice attività
incompatibili
5-6 giugno 2008
11
Uso: Pubblico
Calcolo SOD
Attività
incompatibili
A1
A1
A2
A3
X
A2
X
A3
Trans.
incomp.
T1
T1
T2
T2
T3
X
Attività
Trans.
Trans.
Ruolo
A1
T1
T1
R1
A2
T2
T2
R2
A3
T3
T3
R3
R1
R2
R3
Ruoli
incomp.
R1
X
R2
T3
X
X
R3
Per approfondimenti
5-6 giugno 2008
12
Uso: Pubblico
Controllo SOD nella richiesta di abilitazione
Ruoli già associati a utente A
R1
R2
R4
Nuova richiesta
ruoli per utente A
Elenco ruoli
incompatibili
R5
R1
R5
R6
R2
R5
Matrice ruoli
incompatibili
R1
R2
X
R2
X
X
Responsabilità
sulle risorse
R5
R1
R5
Escalation
X
Per approfondimenti
5-6 giugno 2008
13
Uso: Pubblico
Esempio di calcolo
Attività
incompatibili
A1
A1
A2
An
X
A2
Transazioni
T1
Incompatibili
X
An
T1
T2
Attività
Transazioni
A1
T1
A2
T2
An
Tn
5-6 giugno 2008
T2
X
X
Tn
14
Tn
Uso: Pubblico
Sistema
Proprietario
informazioni
User
Manager
Referente
Abilitazioni
IAM
Applicazioni
Front-end
G.In.Ev.R.A.
G.In.Ev.R.A.
Identità
SAP HR
Connettori
Back-end
SAP HR
Utenti
Esterni
SAP R3
Motore
Motore gestione
gestione
flussi
flussi
…
…
Motore
Motore gestione
gestione
incompatibilità
incompatibilità
…
…
Amministratore
di sistema
Per approfondimenti
5-6 giugno 2008
15
Uso: Pubblico
Connettori
I connettori sono bi-direzionali e devono garantire l’allineamento tra IAM
e le applicazioni:
• Aggiunta di utenti o abilitazioni (associazione utente-profilo) da IAM
all’applicazione
• Aggiunta di utenti o abilitazioni dall’applicazione a IAM. L’informazione
si deve abbinare con una richiesta di abilitazione, altrimenti si innesca
il trattamento dell’eccezione
Tramite i connettori trovano attuazione automatica alcune regole basate
su eventi avvenuti nel sistema di gestione del personale. Ad esempio le
seguenti:
• Rimozione di abilitazioni a seguito di cessazione
• Attivazione di abilitazioni standard a seguito di assunzioni
• Modifiche di abilitazioni a seguito di trasferimenti
Per approfondimenti
5-6 giugno 2008
16
Uso: Pubblico
Organizzazione
Il governo del progetto ha richiesto una collaborazione stretta, paritaria
ed a più livelli, di vari enti aziendali:
• Security
• Audit
• Organizzazione
• Amministrazione
• ICT
• Linee operative
La parte più operativa si è svolta in una serie di sottoprogetti paralleli,
affidati alla responsabilità delle linee operative con l’obiettivo di integrare
in IAM il sistema di proprietà della linea.
La presenza sul campo della funzione Audit ha aggiunto subito
concretezza ed efficacia alle decisioni di progetto.
Per approfondimenti
5-6 giugno 2008
17
Uso: Pubblico
Reticolo del progetto elementare
Adeguamento
Adeguamento
applicazione
applicazione
Adeguamento
Adeguamento
IAM
IAM
Pianificazione
Pianificazione
Kick-off
Riconciliazione
Riconciliazione
delle
delle identità
identità
Analisi
Analisi
Organizzativa
Organizzativa
Change
Change
Management
Management
Controllo
Controllo del
del progetto
progetto
Per approfondimenti
5-6 giugno 2008
18
Go-live
Uso: Pubblico
Analisi SOD sui ruoli
Proprietari delle Informazioni coinvolti
81
Processi SOX relevant
43
Sistemi a supporto dei processi SOX relevant
91
Voci di analisi SAP (abbinamenti transazioni\attività)
692.788
Voci di analisi non SAP (abbinamenti ruoli\attività)
9.319
Voci di segregazione (abbinamenti ruoli\unità organizzative)
131.333
1519
13%
Ruoli leciti
Ruoli illeciti
9961
87%
Totale ruoli gestiti = 11.180
5-6 giugno 2008
19
Uso: Pubblico
Informazioni gestite da IAM
Richieste User Manager
Richieste Referenti
04
-m
a
22 g
-m
ag
05
-g
iu
15
-g
iu
07
-lu
g
13
-lu
01 g
-a
go
28
-a
go
12
-s
et
27
-s
et
16
-o
t
06 t
-n
ov
22
-n
ov
13
-d
i
te c
rm
in
e
2400
2200
2000
1800
1600
1400
1200
1000
800
600
400
200
0
5-6 giugno 2008
20
Uso: Pubblico
I fattori critici
“Gestire molti è come gestire pochi: basta curare l’organizzazione.
Controllare molti è come controllare pochi. È solo una questione di
addestramento e di segnalazioni.”
Sun Tzu
5-6 giugno 2008
21
Uso: Pubblico
Punti di forza
• Analisi basata sulle transazioni elementari
• Analisi SOD automatica e trasversale a tutti i sistemi
• Collegamento diretto tra i repository delle identità e IAM: gestione a
360° del singolo dipendente
• Utilizzo di connettori bi-direzionali per garantire l’allineamento tra IAM
e le applicazioni
5-6 giugno 2008
22
Uso: Pubblico
Linee di azione
Organizzativa
• Definizione di una procedura interna
» Disegno del workflow
» Individuazione degli attori
» Controlli specifici (sul flusso) e di monitoraggio (sui compiti)
• Coinvolgimento di tutti gli sponsor
• Formazione
Tecnica
• Realizzazione del modulo IAM
• Realizzazione del motore di calcolo SOD
5-6 giugno 2008
23
Uso: Pubblico
Elementi critici
Cambio di mentalità nell’azienda
• Definizione profili
• Politiche di assegnazione dei profili
• Adeguamento dell’organizzazione e utilizzo della nuova flessibilità
Numerosità delle risorse umane coinvolte
• Formazione degli attori, in gran parte collocati in posizioni di alto
livello
• Definizione di politiche
• Bonifica delle incongruenze
Numerosità dei sistemi da connettere
• Individuazione delle specificità delle singole applicazioni e
realizzazione di soluzioni ad hoc
• Attivazione di connettori
5-6 giugno 2008
24
Uso: Pubblico
Elementi di rischio
Il principale rischio è stato l’interferenza con i processi di business
• Le attività di progetto potevano interrompere altre azioni ugualmente
strategiche per l’azienda
5-6 giugno 2008
25
Uso: Pubblico
L’esperienza
Gli investimenti sulle risorse umane sono indispensabili, ma non bastano
mai
• Le azioni per rafforzare il committment sono state necessarie per
tutta la durata del progetto ed hanno coinvolto i livelli più alti
• La formazione, in molti casi, deve essere ripetuta perché è difficile
trasmettere la visione completa del cambiamento. Inoltre essa deve
essere mirata e specializzata a seconda dei diversi destinatari
• La comunicazione dei risultati “in progress” è servita di stimolo per le
azioni ancora in corso
Le attività IT sono numerose e debbono essere tempestive
• Possono essere eseguite in anticipo: è un’opportunità da sfruttare
• Le persone del business danno per scontato che “la macchina”
funzioni. Non bisogna deluderle perché altrimenti si distraggono
5-6 giugno 2008
26
Uso: Pubblico
Grazie
Umberto Isnardi
[email protected]
Enel
www.enel.it
5-6 giugno 2008
27
Uso: Pubblico
Allegati
5-6 giugno 2008
28
Uso: Pubblico
Definizioni (1/2)
Attività: si tratta delle sole attività rilevanti ai fini SOA cioè quelle la cui
sovrapposizione su una singola persona costituisce un “rischio in relazione ai
potenziali errori intenzionali nell’informativa di bilancio”.
Sistema Target: piattaforma informatica fisicamente collegata al sistema centrale
IAM attraverso uno o più connettori (ad esempio Active Directory, SAP R/3,
Hyperion, eccetera).
Applicazione: rappresentazione logica del target o di una parte di esso sul sistema
centrale.
Transazioni o Funzionalità: si tratta di funzionalità del medesimo sistema
informatico, le quali debbono essere trattate come un tutto unico dal punto di vista
software.
Profilo: si tratta di raggruppamenti di funzionalità del medesimo sistema
informatico, le quali debbono essere trattate come un tutto unico in fase di
abilitazione. In IAM sono rappresentati come coppia Applicazione\Funzionalità
Ruolo: si tratta di raggruppamenti di profili appartenenti a diversi sistemi
informatici, ma che sono assegnabili ad un unico soggetto all’interno del processo
abilitativo gestito in IAM. La definizione del ruolo avviene nel solo ambito
informatico. Nel sistema IAM ad un utente possono essere assegnati uno o più Ruoli.
5-6 giugno 2008
29
Uso: Pubblico
Definizioni (2/2)
Utente: si tratta di un soggetto, interno od esterno all’azienda, che esegue delle
attività. Può essere abilitato a determinate funzionalità dei sistemi informatici.
Abilitazione o Autorizzazione: si tratta della capacità di un soggetto di far
eseguire ad un sistema informatico certe funzionalità. Nel modello della soluzione è
una relazione tra un utente ed un ruolo.
Unità Organizzativa: è un raggruppamento di utenti all’interno dell’azienda.
Disponibilità Ruoli su Base unità organizzativa: un Ruolo, per essere assegnato
ad un Utente appartenente ad una unità organizzativa, deve essere stato dichiarato
“assegnabile” a quella unità
Transazioni, profili o ruoli illeciti: si intendono elementi che, da soli, abilitano ad
eseguire almeno due attività tra loro incompatibili.
Transazioni, profili o ruoli incompatibili: si intendono elementi che, presi da soli
sono leciti, ma insieme abilitano ad eseguire almeno due attività tra loro
incompatibili.
Delega: un utente delegante può delegare uno o più ruoli, a lui assegnati, ad un
altro utente chiamato delegato; i ruoli posseduti da un utente in delega sono
SEMPRE temporanei, ma possono essere rinnovati.
Profilo Autorizzativo di un Utente: insieme dei Ruoli posseduti da un utente ad
una certa data.
5-6 giugno 2008
30
Uso: Pubblico
Riferimenti normativi – Legge 196/03
TITOLO IV - SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
Art. 28 (Titolare del trattamento)
1.Quando il trattamento è effettuato da una persona giuridica, da una pubblica
amministrazione o da un qualsiasi altro ente, associazione od organismo,
titolare del trattamento è l'entità nel suo complesso o l'unità od organismo
periferico che esercita un potere decisionale del tutto autonomo sulle finalità e
sulle modalità del trattamento, ivi compreso il profilo della sicurezza.
Art. 29 (Responsabile del trattamento)
1.Il responsabile è designato dal titolare facoltativamente.
2.Se designato, il responsabile è individuato tra soggetti che per esperienza,
capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo
alla sicurezza.
3.Ove necessario per esigenze organizzative, possono essere designati
responsabili più soggetti, anche mediante suddivisione di compiti.
4.I compiti affidati al responsabile sono analiticamente specificati per iscritto
dal titolare.
5.Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal
titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale
osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.
5-6 giugno 2008
31
Uso: Pubblico
Art. 30 (Incaricati del trattamento)
1.Le operazioni di trattamento possono essere effettuate solo da
incaricati che operano sotto la diretta autorità del titolare o del
responsabile, attenendosi alle istruzioni impartite.
2.La designazione è effettuata per iscritto e individua puntualmente
l'ambito del trattamento consentito. Si considera tale anche la
documentata preposizione della persona fisica ad una unità per la
quale è individuato, per iscritto, l'ambito del trattamento consentito
agli addetti all'unità medesima.
Titolo V - SICUREZZA DEI DATI E DEI SISTEMI
CAPO II - MISURE MINIME DI SICUREZZA
Art. 33 (Misure minime)
1.Nel quadro dei più generali obblighi di sicurezza di cui all'articolo
31, o previsti da speciali disposizioni, i titolari del trattamento sono
comunque tenuti ad adottare le misure minime individuate nel
presente capo o ai sensi dell'articolo 58, comma 3, volte ad
assicurare un livello minimo di protezione dei dati personali.
5-6 giugno 2008
32
Uso: Pubblico
Art. 34 (Trattamenti con strumenti elettronici)
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito
solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto
nell'allegato B, le seguenti misure minime:
a)autenticazione informatica;
b)adozione di procedure di gestione delle credenziali di autenticazione;
c)utilizzazione di un sistema di autorizzazione;
d)aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici;
e)protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti
di dati, ad accessi non consentiti e a determinati programmi informatici;
f)adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
g)tenuta di un aggiornato documento programmatico sulla sicurezza;
h)adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
5-6 giugno 2008
33
Uso: Pubblico
Capo III - Sezione V-bis
Redazione dei documenti contabili societari
Art. 154-bis. - (Dirigente preposto alla redazione dei documenti
contabili societari).
1.Lo statuto prevede le modalità di nomina di un dirigente preposto
alla redazione dei documenti contabili societari, previo parere
obbligatorio dell’organo di controllo.
2.Gli atti e le comunicazioni della società previste dalla legge o diffuse
al mercato, contenenti informazioni e dati sulla situazione economica,
patrimoniale o finanziaria della stessa società, sono accompagnati da
una dichiarazione scritta del direttore generale e del dirigente
preposto alla redazione dei documenti contabili societari, che ne
attestano la corrispondenza al vero.
3.Il dirigente preposto alla redazione dei documenti contabili societari
predispone adeguate procedure amministrative e contabili per la
predisposizione del bilancio di esercizio e, ove previsto, del bilancio
consolidato nonché di ogni altra comunicazione di carattere
finanziario.
5-6 giugno 2008
34
Uso: Pubblico
4.Al dirigente preposto alla redazione dei documenti contabili
societari devono essere conferiti adeguati poteri e mezzi per
l’esercizio dei compiti attribuiti ai sensi del presente articolo.
5.Gli organi amministrativi delegati e il dirigente preposto alla
redazione dei documenti contabili societari attestano con apposita
relazione, allegata al bilancio di esercizio e, ove previsto, al bilancio
consolidato, l’adeguatezza e l’effettiva applicazione delle procedure
di cui al comma 3 nel corso dell’esercizio cui si riferisce il bilancio,
nonché la corrispondenza del bilancio alle risultanze dei libri e delle
scritture contabili. L’attestazione è resa secondo il modello stabilito
con regolamento dalla CONSOB.
6.Le disposizioni che regolano la responsabilità degli amministratori
si applicano anche ai dirigenti preposti alla redazione dei documenti
contabili societari, in relazione ai compiti loro spettanti, salve le
azioni esercitabili in base al rapporto di lavoro con la società».
5-6 giugno 2008
35
Uso: Pubblico
Titolare dell’abilitazione
È il dipendente o l’eventuale collaboratore esterno, al quale viene
consentito l’utilizzo di un sistema/applicazione informatica in relazione
alle attività assegnate o al rapporto di collaborazione in essere
Ha l’obbligo di segnalare al proprio responsabile ogni irregolarità
riscontrata nelle proprie abilitazioni, con particolar riguardo alle
abilitazioni che dovessero risultare a lui attribuite senza giustificato
motivo
5-6 giugno 2008
36
Uso: Pubblico
User Manager
È il Responsabile di Unità Organizzativa
Individua, in relazione alle attività affidate e anche nel rispetto del
principio della segregation of duty, le esigenze di accesso ai sistemi ed ai
dati per i propri collaboratori e per i soggetti esterni che prestano la loro
attività sulla base di contratti gestiti nell’ambito della sua unità.
Incarica uno o più Referenti alle Abilitazioni con il compito di gestire il
flusso delle richieste di abilitazioni attinenti alla sua unità
5-6 giugno 2008
37
Uso: Pubblico
Referente alle Abilitazioni
E’ la persona incaricata da uno o più User Manager per gestire il flusso
delle richieste di abilitazione per una o più unità Organizzative.
Verifica la completezza e la correttezza della richiesta ricevute dallo/dagli
User Manager di competenza e, ove necessario, la conformità alle policy
Richiede, nel caso di abilitazioni applicative non appartenenti a categorie
preventivamente autorizzate, l’approvazione al Proprietario delle
Informazioni competente
Richiede l’autorizzazione alla Security, nel caso di abilitazione “sensibile”
Richiede, a positiva conclusione delle precedenti verifiche, l’abilitazione
all’operatore competente
Riceve conferma dell’avvenuta abilitazione e trasmettere al titolare le
opportune indicazioni
5-6 giugno 2008
38
Uso: Pubblico
Proprietario delle Informazioni
E’ il responsabile di una determinata applicazione per la quale assicura
l'integrità e la riservatezza dei dati, nonché l'uso degli stessi
coerentemente con le finalità per le quali i dati sono raccolti e detenuti,
conformemente con le norme e i regolamenti vigenti.
Cura, nel rispetto del principio della “segregation of duties”, la
definizione e periodica manutenzione delle politiche di accesso alle
applicazioni di competenza, assicurando la loro aderenza ai mutamenti
dell’organizzazione aziendale
Cura, nel rispetto del principio del "need-to-know”, l'appropriata
attribuzione dei profili autorizzativi agli utenti, in base alle necessità di
servizio formulate dagli User Manager
5-6 giugno 2008
39
Uso: Pubblico
Operatore alle Abilitazioni
E’ la persona incaricata di attivare sui sistemi le abilitazioni degli utenti a
fronte di richieste inviate solo dai Referenti alle Abilitazioni designati.
È responsabile di:
• dare conferma dell’avvenuta abilitazione a chi ha formulato la
richiesta;
• tenere traccia di ogni richiesta gestita, con evidenza di colui che le ha
originate;
• collaborare con le diverse figure aziendali coinvolte nel processo della
gestione delle abilitazioni.
5-6 giugno 2008
40
Uso: Pubblico
Gestione incompatibilità
Il modello di calcolo usa delle semplici tabelle per rappresentare i concetti
da trattare.
L’algoritmo permette di trasformare le informazioni di ingresso, costruite
con il linguaggio dei processi aziendali, in oggetti che i sistemi informatici
possono associare agli utenti per consentirgli di usare il sistema.
La matrice dei ruoli incompatibili è usata nel workflow delle abilitazioni
per determinare se è necessario effettuare escalation
I valori di incompatibilità sono: High, Medium
5-6 giugno 2008
41
Uso: Pubblico
Workflow abilitazioni
User manager
A
Invio
richiesta
Referente alle abilitazioni
B
Richiesta SI
completa?
Resp User
Manager
Funzione ICT
C
E
Ruoli
compatibili?.
SI
Security
Proprietario delle
informazioni
F
Tecnica &
Budget OK?
Operatore alle
abilitazioni
G
SI
SI
Corretta OK?
SI
Sensibile OK?
NO
NO
NO
NO
NO
H
SI
D
Richiesta
viene
modificata?
NO
Effettuazione
abilitazione e
archiviazione
richiesta
DB
Accetto
incompatibilità?
D
SI
Proposta
controllo
compensativo
NO
Comunicazione
User manager
H
H
Invia al titolare
le opportune
informazioni
5-6 giugno 2008
42
Notifica
avvenuta
abilitazione
Uso: Pubblico
Workflow abilitazioni
A. Lo User Manager richiede al Referente alle Abilitazioni il rilascio dell’abilitazione per il titolare
B. Il Referente alle Abilitazioni verifica la completezza della richiesta e, secondo il tipo coinvolge
nella verifica, gli attori “C”, “D”, “E”, “F” ed eventualmente anche la Funzione del PO
C. Qualora l’aggiunta dell’abilitazione generi un’incompatibilità, il referente alle abilitazioni
effettua escalation chiedendo ulteriore conferma allo User Manager.
D. Nel caso di incompatibilità lo User manager può annullare la richiesta, o ribadirla e così
indirizzarla al”Resp User Manager” che è incaricato di approvare o rifiutare la richiesta.
E. La funzione ICT valuta la correttezza tecnica, nonché, qualora le procedure divisionali lo
prevedano, la conformità alle policy/architetture e la copertura del budget.
F. Proprietario delle Informazioni competente è coinvolto nel caso in cui non coincida con lo
User Manager richiedente
G. L’autorizzazione dalla Security è necessaria nel caso di abilitazione “sensibili”
H. A conclusione positiva e documentata di tutte le precedenti verifiche, il Referente alle
abilitazioni, trasmette la richiesta all’Operatore alle Abilitazioni competente. Se una delle
verifiche dà esito negativo, il referente alle abilitazioni lo comunica allo User Manger
richiedente. L’Operatore alle Abilitazioni, effettuata l’abilitazione, tiene traccia delle
operazioni svolte e né dà riscontro al Referente alle Abilitazioni il quale, a sua volta,
trasmette al titolare le opportune indicazioni.
5-6 giugno 2008
43
Uso: Pubblico
Tipologie di abilitazione
Tipologia
Tipologia
Standard
Standard
Criteri
Criteri di
di Assegnazione
Assegnazione
Abilitazioni
Abilitazioni ritenute
ritenute essenziali
essenziali per
per ii dipendenti
dipendenti in
in virtù
virtù
dell’appartenenza
dell’appartenenza ad
ad una
una determinata
determinata unità
unità organizzativa
organizzativa ed
ed aa
prescindere
prescindere dalle
dalle specifiche
specifiche mansioni
mansioni affidate
affidate (ad
(ad es.
es. accesso
accesso
rete
rete Windows,
Windows, posta
posta elettronica,
elettronica, SAP
SAP Time
Time &
& Travel
Travel
Management
Management ).
).
Abilitazioni
Abilitazioni rilasciate
rilasciate ai
ai singoli
singoli dipendenti
dipendenti in
in virtù
virtù delle
delle
specifiche
specifiche attività
attività ad
ad essi
essi affidate.
affidate. Si
Si distinguono
distinguono in
in
Non
Non
Standard
Standard
Infrastrutturali:
Infrastrutturali: sono
sono quelle
quelle relative
relative aa particolari
particolari servizi
servizi di
di
accesso
accesso ed
ed utilizzo
utilizzo del
del sistema
sistema informativo
informativo aziendale
aziendale (ad
(ad es.
es.
accesso
accesso ad
ad Internet,
Internet, certificati
certificati digitali,
digitali, Remote
Remote Access
Access Server,
Server,
Outlook
Outlook Web
Web Access
Access Internet,
Internet, Virtual
Virtual Private
Private Network)
Network)
Applicative:
Applicative: sono
sono quelle
quelle relative
relative all’accesso
all’accesso aa
procedure
procedure informatiche,
informatiche, applicazioni,
applicazioni, data
data base
base ee aree
aree
es.
SAP,
eccetera).
es. SAP, eccetera).
singole
singole
dati
dati (ad
(ad
Automaticamente
Automaticamente concesse
concesse
allorché
allorché ilil dipendente
dipendente
prende
prende per
per la
la prima
prima volta
volta
servizio
servizio presso
presso una
una
specifica
specifica unità
unità
Concesse
Concesse al
al dipendente
dipendente al
al
presentarsi
presentarsi di
di specifiche
specifiche
esigenze
esigenze di
di accesso
accesso aa
dati/sistemi
dati/sistemi connesse
connesse alle
alle
mansioni/attività
mansioni/attività affidate
affidate ee
nel
nel rispetto
rispetto dei
dei principi
principi di
di
Segregation
Segregation of
of duties
duties
Con
Con riferimento
riferimento agli
agli esterni,
esterni, siano
siano essi
essi collaboratori
collaboratori aa tempo
tempo determinato
determinato (stagisti,
(stagisti, somministrati,
somministrati,
lavoratori
lavoratori aa progetto)
progetto) oo dipendenti
dipendenti da
da altre
altre aziende
aziende che
che devono
devono accedere
accedere al
al sistema
sistema informativo
informativo dell’Enel
dell’Enel
nel
nel quadro
quadro di
di un
un contratto
contratto di
di fornitura
fornitura di
di servizi,
servizi, tutte
tutte le
le abilitazioni
abilitazioni sono
sono considerate
considerate non
non standard.
standard.
5-6 giugno 2008
44
Uso: Pubblico
La componenti front-end di IAM
GINEVRA (Gestione INtegrata EVasione Richieste Abilitazione)
• Realizza il workflow delle richieste di abilitazione
• Gestisce l’insieme di tutti i Processi aziendali e le relative attività di
Business necessarie per l’espletamento di ogni specifico processo
• Gestisce la matrice di incompatibilità delle attività
• Fornisce un’interfaccia per i controlli da parte degli attori della
procedura di gestione delle abilitazioni (User Manager, Referenti alle
Abilitazioni, Proprietari delle Informazioni, eccetera)
5-6 giugno 2008
45
Uso: Pubblico
Le componenti back-end di IAM:
Motore di gestione flussi (Profile Manager)
• Interfaccia i sistemi source (repository di identità)
• Esegue gli “ordini” impartiti da GINEVRA verso i sistemi target
• Esegue regole automatiche preimpostate
• Si preoccupa della memorizzazione dei profili, della tracciatura dei
processi abilitativi e della generazione della reportistica
Motore di calcolo delle incompatibilità SOD (RPD - Role Policy Definition)
• Calcola le matrici di incompatibilità delle transazioni e dei ruoli
• Manda in escalation le richieste che generano conflitti SOD
5-6 giugno 2008
46
Uso: Pubblico
GINEVRA
User Manager
Referente
Abilitazioni
Proprietario delle Informazioni (PI)
Responsabile Personale e Organizzazione (PO)
Referente Corporate Security (CS)
Referente Demand & Delivery (DD)
Operatore Abilitazioni
GINEVRA
Flusso di richiesta delle abilitazioni
• Richiesta di abilitazione (testo libero)
• Formalizzazione / autorizzazione / rifiuto della richiesta
• Visualizzazione stato della richiesta
• Visualizzazione unitaria dei ruoli attribuiti ad un utente
• Consultazione reportistica
5-6 giugno 2008
Interfaccia WEB
47
Uso: Pubblico
GINEVRA: Definizione attività / funzioni (1/2)
User
Manager
Referente
Abilitazioni
PI, PO, CS, DD
Generazione richiesta: inserimento e registrazione a sistema di una
particolare richiesta da parte dello User Manager; questa fase spesso si
concretizza nella compilazione di un campo puramente descrittivo per
descrivere la caratteristiche della richiesta (dati non strutturati)
Formalizzazione richiesta: i dati relativi alla richiesta vengono inseriti dal
Referente alle Abilitazioni all’interno di campi con valore e tipo definiti (dati
strutturati)
Autorizzazione della richiesta: in presenza di particolari sub-stati
autorizzativi inseriti a sistema, la richiesta può essere APPROVATAANNULLATA-SOSPESA da uno o più attori
5-6 giugno 2008
48
Uso: Pubblico
GINEVRA: Definizione attività / funzioni (2/2)
Evasione richiesta: è normalmente lo step finale di un flusso di processo nel
sistema; l’Operatore alle Abilitazioni evade la richiesta attivandone gli effetti
Operatore
Abilitazioni
Proprietario
Informazioni
Autorizzazione aggiunta ruoli e applicazioni: blocco del flusso di
processo necessario quando un Ruolo non sia assegnabile per una certa
unità organizzativa od un’applicazione debba essere aggiunta in visibilità ad
una certa unità; tutte le operazioni di questo genere sono perfezionate
dall’Amministrato di Sistema IAM - Gestione
5-6 giugno 2008
49
Uso: Pubblico
RPD - Funzionalità
Amministrazione: gestione delle anagrafiche con le classiche funzionalità di
Inserimento/Modifica/Cancellazione per :
• Processi di Business
• Attività di Business
• Matrice di incompatibilità
• Abbinamento Attività Profilo applicativo
Calcolo incompatibilità: produzione report e gestione escalation SOD su Ginevra
Report: visualizzazione elenchi prodotti dalla fase di calcolo
Utility - Export: permette di estrarre i report in formato excel
Configurazione:
• soglie di incompatibilità (Min % di attività accettata (0-100), Max livello di
incompatibilità accettato (Nessuno, Basso, Medio, Alto))
• flag di attivazione per Ginevra
• Bypass Calcolo Incompatibilità per unità organizzativa
• Bypass Calcolo Incompatibilità per Applicazione
5-6 giugno 2008
50
Uso: Pubblico
RPD – Elenco Report
Profili applicativi illeciti: profili applicativi che, se assegnati anche singolarmente
ad un utente, consentono di eseguire attività tra loro incompatibili.
Profili applicativi incompatibili: coppie di profili che, se assegnati
contestualmente, consentono ad un utente di eseguire attività tra loro incompatibili.
Ruoli IAM illeciti: ruoli IAM che raggruppano profili illeciti o incompatibili.
Ruoli IAM incompatibili: coppie di ruoli singolarmente leciti ma che, se assegnati
contestualmente, consentono di eseguire attività incompatibili.
Utenti illeciti: utenti di sistema abilitati a ruoli illeciti o tra loro incompatibili,
ovvero che eseguono attività definite tra loro incompatibili.
Vengono calcolate anche le seguenti relazioni:
• Attività – Profilo applicativo: Elenco attività associate ad un profilo
applicativo
• Profili applicativi - Attività: Elenco dei profili associati ad una attività
• Profili applicativi orfani: Elenco dei profili che non sono stati analizzati dal
punto di vista SOD
5-6 giugno 2008
51
Uso: Pubblico
RPD – Simulazione
Viene fornita una funzionalità che permette di gestire un ulteriore
ambiente identificato come Ambiente di Simulazione, dove effettuare a
priori modifiche sulla compatibilità tra le attività e relative associazioni
con i profili.
Nell’ambiente di Simulazione è possibile effettuare modifiche ed
effettuare analisi what-if su:
• ANAGRAFICA
• Processi di Business
• Attività di Business
• Associazione Profili-Attività
• CONFIGURAZIONE
• Min % di attività accettata (0-100)
• Max livello di incompatibilità accettato (Nessuno, Basso, Medio, Alto)
Non è possibile simulare variazioni di Bypass su Applicazioni e Unità
Organizzative.
5-6 giugno 2008
52
Uso: Pubblico
Organigramma
Organizzazione
Security
Amministrazione
Audit
ICT
Linee di business
Steering Committee
Project Management Office
Comitato
tecnico
Change Management Office
Gruppo di lavoro
(1)
Gruppo di lavoro
(….)
Gruppo di lavoro
(n)
Linea di business
ICT
Amministrazione
5-6 giugno 2008
53
Uso: Pubblico
Competenze e responsabilità
Roll Out dei vari sistemi
Preparazione
Steering
Committee
Fabbisogni
funzionali
Escalation 2^ livello
Comitato
tecnico
Requisiti
Escalation 1^ livello
PMO
Pianificazione
CMO
Gruppi di
lavoro
Controllo avanzamento
GO
Live
Erogazione formazione
Analisi SoD
Adeguamento IAM
Adeguamento applicazione
5-6 giugno 2008
54
Supporto
Post avvio
Uso: Pubblico
Perimetro di integrazione
Il perimetro è stato limitato alle società italiane del gruppo Enel.
La funzione Amministrazione ha consegnato una lista prioritaria di sistemi
da integrare basata su considerazioni di materialità (impatto sul bilancio
consolidato).
La funzione ICT ha consegnato una lista di sistemi la cui integrazione ha
elevate caratteristiche di efficienza (elevata movimentazione delle
abilitazioni).
La selezione dei sistemi è avvenuta anche sulla base dell’aspettativa di
vita.
5-6 giugno 2008
55
Uso: Pubblico
Master plan
2007
03
04
05
06
07
08
09
10
11
Completamento
Completamento
infrastruttura
infrastruttura
Analisi
Analisi Organizzative
Organizzative
Change
Change Management
Management
Adeguamenti
Adeguamenti applicazioni
applicazioni e
e IAM
IAM
Governo
Governo del
del programma
programma
5-6 giugno 2008
56
12
Uso: Pubblico
I numeri del progetto
Proprietari delle Informazioni coinvolti
81
File prodotti
3125
Verbali redatti
133
Presentazioni effettuate
76
Piani di programma redatti
63
Deliverable censiti
323
Mail scambiate
5900
Dimensione repository
5,99 Gbyte
Dimensione casella di posta di progetto
1,3 Gbyte
Riunioni effettuate
144
5-6 giugno 2008
57
Uso: Pubblico
Attività di integrazione
Pianificazione
• Definizione del piano di rilascio
Analisi organizzativa
• Analisi del profili applicativi in funzione delle attività che hanno impatto sul
bilancio
• Assegnazione dei profili alle strutture organizzative
Adeguamento applicazione
• Adeguamento applicativo
• Data cleansing / riconciliazione delle identità
Change Management
• Identificazione e formalizzazione dei ruoli e dei flussi autorizzativi
• Formazione degli attori
Riconciliazione delle identità
• Soluzione delle discordanze tra l’analisi organizzativa ed i dati dell’applicazione
Adeguamento IAM
• Realizzazione del connettore tra IAM e l’applicazione
• Applicazione dei risultati dell’Analisi Organizzativa
• Applicazione dei risultati del Change Management
• Importazione dei dati dall’applicazione
5-6 giugno 2008
58

Il governo degli accessi logici e della separazione dei ruoli

Transcript

Documenti analoghi

Nome Commerciale: Application Server GDL2016 Codice articolo

Prot. n. 3717 del 12 febbraio 2015

X FInger - Zucchetti

Scheda Tecnica

terminalerilevazione presenze econtrollo accessi

Per essere sempre al passo con le nuove tecnologie di

MiY-Card

Scarica la brochure del prodotto in formato PDF

Consulente per la sicurezza informatica