Metriche di rischio nel controllo degli accessi: sintesi

Transcript

1 UNIVERSITÀ DEGLI STUDI ROMA 3 FACOLTÀ DI SCIENZE M.F.N. CORSO DI LAUREA MAGISTRALE IN MATEMATICA Tesi di Laurea Magistrale in Matematica Metriche di rischio nel controllo degli accessi: sintesi Lucia Miggiano Anno Accademico 2013/2014 Relatore Prof. Roberto Di Pietro Correlatore Prof. Alessandro Colantonio

2 1 Introduzione L Identity e Access Management è un aspetto chiave della strategia di sicurezza per qualsiasi impresa ed è fondamentale per garantire alle persone di accedere tempestivamente solo alle applicazioni aziendali necessarie per il loro lavoro. In un organizzazione di dimensioni medio-grandi, il Chief Information Security Officer (CISO) sviluppa politiche di sicurezza che riflettono la propensione al rischio delle imprese e l approccio alla gestione delle identità e degli accessi. Tali politiche sono fondamentali per capire come l impresa definisce chi può accedere ai dati o eseguire una determinata operazione. Queste politiche sono poi perfezionate in una serie di controlli tecnici e procedurali che aiutano a raggiungere la posizione di rischio appropriata. Nel campo delle identità, tali controlli comprendono la gestione degli elenchi dei dipendenti (es.: active directory e single-sign-on (SSO)), gestione del ciclo di vita dell account utente, gestione del controllo dell accesso alle informazioni e ai sistemi, meccanismi di autenticazione, strumenti di conformità e di reporting. Durante la vita di un impresa, il CISO e gli esponenti aziendali devono sapere quanto bene stanno incontrando le posizioni di rischio che hanno definito, monitorando le metriche di rischio chiave. In questo lavoro di tesi ci occuperemo di analizzare approcci innovativi all identity analytics, cioè gli strumenti che aiutano il CISO e altri decisori di sicurezza a esplorare rigorosamente le conseguenze delle scelte delle loro politiche di sicurezza e più precisamente spiegano ai dirigenti perché dovrebbero investire in una soluzione di accesso o identità consigliati. Inoltre, esplorando le relazioni tra controlli tecnici e procedurali, l Identity Analytics fornisce una migliore comprensione di quali parametri devono essere monitorati e i modi in cui essi indicano il rischio. Ci proponiamo di comprendere quali sono le principali domande che i decisori aziendali si pongono quando si tratta di analizzare i rischi legati al controllo degli accessi. Affineremo poi queste domande in modelli in grado di esplorare diversi scenari aiutando in tal modo i decisori a valutare le impli- 2

3 cazioni e le conseguenze di decisioni diverse. Infine analizzeremo il rapporto tra gestione del rischio e performance aziendale. 3

4 2 Definizione, proprietà e applicazioni delle metriche di sicurezza In questo capitolo definiamo cos è una metrica di sicurezza, quali sono le sue proprietà e alcune sue applicazioni. Il termine metriche di sicurezza è comunemente usato per denotare una misura che quantifica alcuni aspetti della sicurezza di un sistema IT. Prima di definire cosa sono le metriche di sicurezza, è importante chiedersi per cosa sono utilizzate, cioè per quale obiettivo servono. La risposta a questa domanda si può ricavare dalla famosa frase non si può gestire ciò che non si può misurare : le metriche, in generale, sono strumenti per la gestione e le metriche di sicurezza, in particolare, sono un mezzo per sostenere e migliorare la gestione della sicurezza delle informazioni. Definiamo la sicurezza attraverso la sua manifestazione più concreta, cioè l esistenza di perdite quando la sicurezza è assente. Più formalmente, per un dato sistema IT S, si calcola la perdita attesa EL (expected loss) da incidenti di sicurezza. In una prima approssimazione, EL = loss P (loss) size(loss). Questa equazione si può raffinare e si dimostra l equazione: EL = value E(t m ) vulnerability(s) (1) In questa equazione, value è il valore monetario (in dollari o euro) del sistema IT S, il fattore E(T m ) è la malizia attesa dell ambiente della minaccia in cui S esiste e l ultimo fattore è una misura di quanto sia vulnerabile il sistema IT S. In particolare, il sistema S è tanto più vulnerabile quanto più le sue vulnerabilità sono frequenti, gravi e facilmente sfruttabili. Supponiamo che, senza modificare il valore del sistema IT S, facciamo alcune modifiche alla sua architettura che si traduce in una minore perdita attesa EL. Questo significa, ovviamente, che abbiamo migliorato la sicurezza. Tuttavia, questo miglioramento di sicurezza avviene senza modificare il valore del sistema S e senza modificare la malizia attesa E(T m ). Pertanto, la riduzione di EL 4

5 deve essere il risultato del calo del fattore di vulnerabilità di S. Dunque, la sicurezza di un sistema è inversamente proporzionale alla sua vulnerabilità. Questo dà luogo alla seguente definizione (ancora informale): Definizione 1 (informale di metrica di sicurezza): una metrica di sicurezza è una funzione che misura la vulnerabilità di un sistema e la mappa a un numero reale non negativo che è inversamente proporzionale alla vulnerabilità del sistema. Lo scopo di una metrica di sicurezza è quello di aiutare la gestione a prendere decisioni migliori di sicurezza informatica. Per danneggiare il sistema S, una minaccia deve indirizzare una vulnerabilità che può sfruttare con il suo livello di abilità. Lo sfruttamento con successo dà alle minacce certi privilegi sul sistema S, che utilizzano poi per infliggere danni su S. L entità del danno inflitto dipende da quanto la minaccia è maliziosa. Per formalizzare questi concetti, definiamo: Valore del sistema: la variabile value indica il caso peggiore della perdita monetaria che i proprietari del sistema S possono incorrere se S è compromesso. Questo valore di perdita include i costi diretti di riparazione, spese legali, spese di reputazione, e tutti gli altri costi potenziali. Si misura in dollari, euro o qualche altra valuta. Malizia T m [0, 1] di una minaccia T T: alcune minacce sfruttano le vulnerabilità solo per il brivido della vittoria, mentre altre lo fanno al fine di infliggere danni sul sistema di destinazione S. Le minacce pertanto differiscono rispetto alla loro malizia, che si misura su una scala da 0 a 1. L interpretazione è dovuta al fatto che una minaccia di malizia x causerebbe x per cento della perdita massima che può teoricamente infliggere. Livello di abilità T s [0, 1] di una minaccia T T: ogni minaccia T ha un livello di abilità diverso che riflette la sua conoscenza, esperienza, accesso a strumenti di hacking e altri fattori. Per definire il livello di 5

6 abilità di una minaccia, prima notiamo che entrambi gli insiemi V e T sono insiemi finiti perché i sistemi IT hanno un numero finito di stati e actors. Sia s(t ) := {V V : T può sfruttare V all interno dell unità di tempo ξ} / V la frazione delle vulnerabilità in V che T può sfruttare entro l unità di tempo ξ. L intuizione è che più una minaccia T è abile più è grande s(t) e viceversa. Ora definiamo il livello di abilità T s = {t T : s(t) < s(t )} / T. Notiamo che T s mantiene lo stesso ordine di minacce definito da s() ma ha l ulteriore proprietà che 1 T s equivale alla probabilità che una minaccia abbia livello di abilità T s o più. Livello di privilegio V p [0, 1] raggiunto sfruttando la vulnerabilità V V: le vulnerabilità sono differenti per il livello di privilegio che un utente malintenzionato può ottenere dal loro sfruttamento. Ad esempio, alcune vulnerabilità danno privilegi agli attacanti root sul sistema di destinazione, mentre altre permettono all attaccante solo di leggere alcuni dati o rallentare un pò la funzione del sistema. Definiamo il livello di privilegio V p come la frazione del valore del sistema che è esposta quando la vulnerabilità V viene sfruttata con successo. Il livello di privilegio di una vulnerabilità è anche conosciuto come la sua gravità. Difficoltà V d [0, 1] di sfruttare la vulnerabilità V V : le vulnerabilità differiscono anche in quanto sono facili o difficili da sfruttare. Alcune vulnerabilità, ad esempio race conditions, richiedono notevole abilità per essere sfruttate, mentre altre, come ad esempio le password di default, sono molto più facili da sfruttare. Formalmente, definiamo la difficoltà V d di sfruttamento come il livello di abilità della minaccia meno qualificata in grado di sfruttare la vulnerabilità V, cioè V d = min{t s T T e T può sfruttare V all interno dell unità di tempo ξ}. Non tutte le misure di vulnerabilità di un sistema sono metriche di sicurezza. Piuttosto, la teoria della misurazione definisce tre proprietà operative 6

7 che ogni metrica deve soddisfare. Queste proprietà sono: Validità: la validità indica fino a che punto una metrica riflette adeguatamente il significato del concetto che cerca di misurare. In altre parole, le metriche valide sono altamente correlate ai concetti che cercano di misurare. È generalmente difficile definire metriche valide per dei concetti immateriali come sicurezza, affidabilità, o intelligenza perchè i concetti di base sono difficili da afferrare. Accuratezza: le metriche spesso misurano cose che non sono facilmente osservabili. L accuratezza di una metrica è la differenza tra il valore determinato dalla metrica e il vero o reale valore dell oggetto misurato. Gli errori di misurazione sono la principale fonte di imprecisioni. Ad esempio, una metrica che usa uno scanner di vulnerabilità per misurare il numero di vulnerabilità in un sistema IT è accurato se i suoi valori restituiti corrispondono o sono vicini al numero effettivo di vulnerabilità. Precisione: la precisione valuta la riproducibilità delle misurazioni. Più precisamente, essa rappresenta la quantità di variabilità tra misurazioni ripetute dello stesso oggetto in condizioni simili. Ad esempio, il numero di allarmi virus è una metrica imprecisa di sicurezza del sistema perchè le misurazioni consecutive possono variare significativamente a seconda dell ambiente della minaccia. In particolare, quando ci sono più o meno attacchi virus, il numero di allarmi virus sarà più alto o più basso, anche se non è cambiato nulla nel sistema o nella sua sicurezza. Da queste proprietà segue la definizione formale di metrica di sicurezza: Definizione 2 (formale di metrica di sicurezza) Una metrica di sicurezza è una funzione m() dall insieme di tutti i sistemi IT all insieme dei numeri reali non negativi. È inoltre valida, accurata e precisa nel seguente senso: 7

8 Validità: per ogni due sistemi IT S1 e S2, la relazione m(s1) m(s2) vulnerability(s1) vulnerability(s2) è la funzione definita nella (10). In altre parole, la validità richiede che i sistemi più vulnerabili segnino valori più bassi sulle metriche di sicurezza. Accuratezza: Se S (m) è la specifica della metrica di sicurezza m(), allora m() è accurata se la differenza tra i suoi valori di ritorno ed i veri valori secondo S (m) è piccola in media. Le imprecisioni sorgono quando le metriche utilizzano procedure approssimate, sia perchè i valori esatti non possono essere calcolati sia perchè sono troppo costosi da calcolare Precisione: Per ogni sistema IT S, misurazioni ripetute sotto le condizioni e i vincoli previsti dalla metrica m(), restituiscono sempre lo stesso valore m(s). (Una forma più debole di questo requisito è che la varianza di misure ripetute deve essere piccola.) La teoria sviluppata in questo capitolo può essere utilizzata per risolvere i seguenti problemi di gestione: 1. Come ridurre al minimo le perdite relative alla sicurezza; 2. Come dividere il proprio budget per la sicurezza tra più sistemi IT che necessitano di protezione; 3. Quanto spendere per la sicurezza. 8

9 3 Sistemi di Identity and Access Management (IAM) Nel capitolo 2 abbiamo visto la definizione, le proprietà e alcune applicazioni delle metriche di sicurezza. In questo capitolo vediamo un caso specifico di metriche di sicurezza nel controllo degli accessi. In informatica, la gestione delle identità descrive la gestione delle singole identità digitali, la loro autenticazione, autorizzazione e i privilegi all interno o all esterno del sistema e delle imprese. In questo capitolo presentiamo il caso di studio nel settore della gestione delle identità e degli accessi come esempio significativo per illustrare come l approccio basato sulla modellazione e simulazione può essere usato per fornire un idea precisa di come i processi di sicurezza esistenti stanno proteggendo l organizzazione e per rispondere alle domande what-if, come ad esempio esplorare gli effetti di un cambiamento nella politica di sicurezza o un investimento in una nuova tecnologia per la sicurezza. Le soluzioni di Identity and Access Management (IAM) per le imprese hanno impatto su molteplici aspetti del loro stack IT e coinvolgono l autenticazione, la gestione del singolo accesso, l autorizzazione, il controllo, la conformità e la garanzia, il provisioning, la memorizzazione dei dati, etc. Ai fini di questo caso di studio, ci concentreremo su soluzioni di provisioning account utente. Queste soluzioni sono utilizzate dalle imprese per affrontare la gestione del ciclo di vita delle identità degli utenti e degli account sulle risorse protette. Un processo di provisioning errato o non buono potrebbe dare più diritti necessari agli utenti o impedire loro di accedere alle legittime risorse. L approccio basato sulla modellazione è particolarmente adatto per esplorare le implicazioni dell adozione e implementazione di nuove soluzioni e processi (in questo caso il processo di provisioning utente), in quanto permette la sperimentazione di varie ipotesi e parametri. Questo approccio è stato applicato per studiare le implicazioni nel muoversi gradualmente verso 9

10 una maggiore automazione del processo di provisioning account per le molte applicazioni in un organizzazione. Per soddisfare le diverse esigenze degli stakeholder, alcuni ricercatori hanno individuato una serie di metriche che possono essere raccolte durante le simulazioni. I risultati per le metriche selezionate possono quindi essere utilizzati da diversi stakeholder per testare le proprie intuizioni, condividerle con gli altri in modo coerente e costante, e insieme indagare le conseguenze di un particolare investimento o cambiamento politico nel processo di provision account. Le tradizionali metriche di basso livello includono: il numero degli account utente mal configurati e il numero di quelli configurati correttamente; il numero di account sospesi (di persone che hanno lasciato l unità di business o l organizzazione); il tempo (ritardi) complessivo di approvazione per le richieste di provisioning; il tempo (ritardi) di configurazione/distribuzione globale; il numero delle richieste di configurazione/distribuzione e di approvazione perse; il numero di processi di approvazione disabilitati. Queste metriche possono essere monitorate direttamente dai sistemi IAM implementati, ma spesso sono utili solo ad alcuni stakeholder (ad esempio amministratori di sicurezza e esperti del settore). Per far fronte alle esigenze di tutti gli stakeholder coinvolti nella valutazione del nuovo processo di provisioning account, c è bisogno di un insieme di metriche più ampio. Pertanto, effettuando colloqui e convalidandoli con esperti del settore, i ricercatori hanno identificato un insieme più completo di metriche di alto livello elencate di seguito (classificate dagli stakeholder interessati): Stakeholder: responsabile della sicurezza/conformità Accuratezza dell accesso: il numero di account utente configurati correttamente contro il numero totale di account creati, compresi gli account mal configurati e gli account sospesi; 10

11 Accuratezza dell approvazione: il numero di attività di provisioning approvate contro le attività complessive di provisioning, comprese quelle non autorizzate. Stakeholder: proprietario dell applicazione (Business) Costo della produttività : sono i costi, in termini di perdita di produttività per i dipendenti, dovuti ai ritardi durante le fasi di approvazione e di configurazione/distribuzione del processo di provisioning. Stakeholder :Operazioni IT ( IT Budget Holder) Costo di Provisioning IAM: il costo della distribuzione di soluzioni automatizzate di provisioning IAM per un periodo di tempo determinato (costi fissi e variabili); Sforzo di Provisioning: il numero effettivo di operazioni di provisioning effettuate dall organizzazione in un periodo di tempo specifico, che dà un idea dello sforzo e del carico di lavoro coinvolti. L approccio di modellazione si basa su modelli matematici e simulazioni correlate. Nel caso di studio di provisioning IAM, modelliamo espressamente la differenza tra provisioning IAM ad-hoc e centralizzato ed esploriamo l impatto delle scelte sulle politiche esistenti e/o per modellare nuove politiche. Cerchiamo di illustrare questo attraverso l impatto sulle misure e metriche introdotte. Il modello si concentra esplicitamente sulla rappresentazione dei processi di provisioning IAM, considerando i vari passaggi necessari nelle fasi di approvazione e di implementazione/configurazione. Il modello ha catturato stocasticamente vari eventi esterni (ad esempio come un utente aggiunge, lascia o cambia il proprio ruolo). In risposta ad ogni evento, è stato identificato un insieme rilevante di applicazioni (per mezzo di distribuzioni di probabilità) in 11

12 cui gli account utente devono essere provisioned/deprovisioned in base al ruolo e al profilo dell utente. Per ogni applicazione considerata, sia gestita a livello centrale che gestita ad-hoc, i relativi passi di provisioning/de-provisioning IAM sono modellati con varie misure. In particolare ogni tipo di attività di provisioning, che coinvolge un utente e una o più applicazioni/servizi, è esplicitamente modellato come un processo. Eventi esterni, come l arrivo di un nuovo utente, sono modellate stocasticamente, cioè con opportune distribuzioni di probabilità. Intuitivamente, più i processi di provisioning IAM sono centralizzati, automatizzati e gestiti sotto politiche comuni, più i loro comportamenti sono simili, in contrapposizione ai processi ad hoc. Tuttavia, quando viene introdotta una maggiore centralizzazione e automazione, l impatto dei costi IAM (diritti di licenza) e dei guasti è maggiore. Il modello tiene traccia di una serie di misure cumulative tra cui: numero di richieste di approvazione; numero di richieste di approvazione perse; numero di processi di approvazione bypassati; tempi di approvazione; tempi di implementazione; numero di account utenti configurati correttamente; numero di account utente legittimi, negati; numero di account utenti errati (che non dovrebbero esistere - account utente sospesi). Sulla base delle metriche di basso livello, come parte del modello, calcoliamo anche le metriche di alto livello individuate in precedenza. Questo modello può essere eseguito da diversi stakeholder (decisori ed esperti di dominio) per svolgere direttamente esperimenti what-if, agendo su leve disponibili e cambiando i parametri del modello. Gli stakeholder possono concentrarsi su metriche di basso livello o metriche di alto livello, a seconda del livello desiderato di astrazione per cui lavorano, confrontano i risultati attraverso più esperimenti what-if e, se necessario, approfondiscono i dettagli (ad esempio fino al livello delle funzioni di densità di probabilità di misure/metriche di output). In questo modo gli stakeholder, per migliorare la loro comprensione degli aspetti generali coinvolti in uno scenario specifico, 12

13 mappano i risultati previsti alle politiche attuali e le confrontano con le loro intuizioni; ciò gli fornisce ulteriori elementi di prova per sostenere le loro opinioni e posizioni. I decisori operanti nell ambito IAM hanno bisogno di prendere decisioni di investimento IT consapevoli in un mondo complesso, in continuo cambiamento. Vorrebbero avere capacità di supporto alle decisioni per facilitare il loro lavoro. Per riuscire a fornire queste capacità, deve essere capita l economia che è alla base delle decisioni strategiche di investimento IT. Partiamo dal presupposto che ci dovrebbe essere un quadro economico all interno del quale il valore dei diversi esiti di investimento può essere esplorato e discusso. Ciò comporta all identificazione dei principali risultati strategici e di business per fornire e determinare i punti di vista intuitivi dei diversi stakeholder di questi trade-off e delle loro preferenze per i risultati complessivi. All interno di un organizzazione, i vari decisori strategici di solito hanno priorità diverse; è importante identificare le preferenze dell intera organizzazione (o decisori ) per raggiungere questi obiettivi. Idealmente l obiettivo sarebbe quello di incapsulare queste preferenze in una formale funzione di utilità dell azienda e/o dei decisori, in modo che possa essere applicato a ogni risultato un valore comparativo. Nel contesto dell economia IAM, una o più funzioni di utilità possono essere identificate per i decisori strategici coinvolti e/o per l organizzazione. 13

14 4 Mappa tra i principali indici di rischio e i principali indici di performance Nel capitolo precedente abbiamo visto le metriche di rischio usate in un modello per il controllo degli accessi. In questo capitolo vedremo come il rischio si collega con i risultati del business; definiremo dunque gli indicatori chiave di rischio (KRI) e gli indicatori chiave di performance (KPI) e vedremo che relazione c è tra i due. In particolare vedremo come lo sviluppo di catene casuali è usato per legare rischio e risultati di business. Il rapporto tra gestione del rischio e performance dovrebbe essere concettualmente e intuitivamente ovvio. Un rischio non gestito correttamente può portare a fallimenti di imprese e a una scarsa performance aziendale. I benefici di numerose attività di gestione del rischio non sono chiare agli imprenditori che sono più a rischio e spesso non riescono a trarre vantaggio dalle informazioni disponibili dal rischio quando si prendono decisioni critiche di business. Ciò che serve è una più comune e profonda comprensione di come gli eventi del rischio influenzano le prestazioni del business. I manager aziendali non capiscono o non apprezzano il valore dell informazione del rischio o la loro relazione con il rischio; non capiscono che possiedono i rischi e credono che i rischi siano affrontati esternamente da un insieme di entità organizzative separate, chiamato risk management, che si occupa per loro di questioni relative al rischio. Mappare i pricipali indicatori di rischio (KRIs, key risk indicators) con i principali indicatori di performance (KPIs, key performance indicators) può fornire ai manager aziendali le informazioni di rischio di cui hanno bisogno per prendere decisioni migliori. Collegando le attività di gestione del rischio alle prestazioni di business, le aziende possono supportare meglio le decisioni, basate sul rischio, prese dai dirigenti aziendali. Anche se le metriche di performance finanziarie rimangono una misura 14

15 fondamentale del valore, esse rappresentano solo i risultati delle attività di business. Pertanto, esse sono indicatori di ritardo di performance, che significa che dicono solo quanto bene hai fatto, non quanto bene potrai fare in futuro. Le metriche non finanziarie sono i principali indicatori dei risultati finanziari. Vediamo in dettaglio cosa sono i KRI e i KPI e come si possono collegare. I KPI sono indicatori chiave di prestazioni - una misurazione di un attività di business desiderata o un evento che precede un risultato aziendale; qualcosa da gestire in favore. I KRI sono indicatori chiave di rischio - una misurazione di un attività di business o un evento che ha preceduto e influenzato negativamente il risultato desiderato; qualcosa da gestire contro. I KRI sono buoni se sono semplici e misurabili e questi indicatori hanno un impatto diretto su più KPI. La linea tra rischio IT e rischio di business sta scomparendo. La gestione del rischio operativo gioca sempre più un ruolo centrale nel processo decisionale aziendale. Una buona gestione del rischio informa meglio il processo decisionale aziendale e mappare i KRI nei KPI è un buon modo per relazionare la gestione del rischio con la performance aziendale. Mappare i KPI con i KRI serve per capire che relazioni ci sono tra questi indicatori e registrare quei rapporti in modo che possano essere utilizzati nella segnalazione e modellazione del rischio. La mappatura dovrebbe riflettere esplicitamente l impatto del KRI su un KPI. Lo sviluppo di catene causali semplici e complesse aiuterà a collegare meglio un organizzazione di IT o di gestione del rischio con i responsabili delle decisioni aziendali. Questa relazione misurabile tra gestione del rischio e performance aziendale è sfuggita alla maggior parte delle organizzazioni. Come risultato, i vantaggi di molte attività operative di gestione del rischio non sono chiare per gli imprenditori. Inoltre, spesso non riescono a sfruttare l informazione 15

16 del rischio che è disponibile quando si prendono decisioni di business critiche. Per affrontare questi problemi, le imprese dovrebbero sviluppare indicatori di prestazioni chiave (KPI) credibili e discreti, e gli sforzi di gestione del rischio dovrebbero produrre indicatori di rischio (KRI) credibili e discreti che impattino direttamente tali indicatori KPI. È necessaria una comprensione più profonda e comune di come eventi di rischio influenzano le prestazioni di business. I KRI, come abbiamo già detto, sono indicatori anticipatori che le prestazioni di business sono a rischio. Una catena causale (casual chain) documenta la confluenza di attività ed eventi che producono un risultato di business. Una catena casuale è una sequenza di eventi che portano ad un effetto finale dove ogni anello della catena determina il successore. Prima queste attività e eventi si verificano nella catena, più sono principali a indicare i risultati di business. Le organizzazioni possono agire su questi indicatori principali per gestire l impatto sui risultati successivi. Queste catene causali possono essere usate per spiegare l influenza degli eventi e delle attività precedenti sui risultati successivi in modo che i dirigenti possano prendere migliori decisioni di business. Per aiutare a ottenere una comprensione di come usare le catene causali per identificare i KRI, dobbiamo fare una distinzione tra catene semplici e quelle complesse: Una catena semplice è un unico insieme lineare di attività ed eventi che hanno una relazione causale con i risultati del business desiderati. Catene semplici sono usate come punto di partenza per la definizione di relazioni causali. Esse sono prototipi utilizzati per scopi didattici e non sono destinate a spiegare completamente le relazioni causali. Le catene complesse sono una combinazione di catene causali che documentano la comprensione della gestione dei rapporti causali che producono risultati di business. Uno scarso patching è uno dei vari indicatori anticipatori di potenziali errori di applicazione e di inattività. Una misura di errori di applicazione è 16

17 un indicatore anticipatore della performance dei processi di business, come ad esempio quelle effettuate in una catena di fornitura. Una misura di problemi relativi alla catena di fornitura è un indicatore anticipatore di impatti negativi sui risultati di business desiderati, come la redditività. Questo semplice esempio riguarda qualcosa di molto tecnico e spesso sottovalutato dai dirigenti aziendali (patching) per la redditività. Alcuni imprenditori avranno familiarità con i diagrammi fishbone di Ishikawa. Questi diagrammi, noti anche come diagrammi causa-effetto, sono utilizzati in programmi di miglioramento della qualità per identificare i fattori che influenzano negativamente la qualità e i risultati desiderati. I fattori sono raggruppati per categoria lungo una spina che rappresenta un risultato desiderato. Frecce più piccole collegano effetti alle cause principali, che forniscono visibilità e comprensione sui potenziali problemi precedenti. Questo stesso concetto può essere utilizzato per collegare gli indicatori che portano a risultati di business desiderati. Nel loro insieme, la spina, i rami e le frecce formano catene che documentano l esplicita comprensione di un organizzazione dei rapporti di causa ed effetto che si traducono in risultati di business. Ogni impresa ha una lista di risultati desiderati misurabili. Nel settore privato, questi risultati misurabili si trovano nei bilanci che includono tali risultati come ricavo e utile netto. Nel settore pubblico, i risultati dello stato finale desiderato si trovano nel mandato della missione o nella legislazione/normativa che ha creato l agenzia o il dipartimento. I KPI sono sviluppati da questi risultati attesi misurabili, individuando le attività (processi) e gli eventi che precedono i risultati. Gli indicatori anticipatori o prospettici sono i KPI più efficaci perchè si può intervenire prima che si verifichino i risultati desiderati. Esistono opportunità per i CIO e i professionisti della gestione del rischio di agire come facilitatori nello sviluppo di KPI, KRI e catene causali per contribuire a migliorare il processo decisionale. Per le imprese che generano indicatori prospettici sono a disposizione vantaggi finanziari significativi. 17

18 I KRI complementano i KPI, fornendo una prospettiva che è necessaria per comprendere le relazioni causali da cui possono essere identificati i principali indicatori. La prospettiva fornita dai KRI accelera il processo di identificazione dei KPI accettabili controbilanciando gli obiettivi ambiziosi che guidano l identificazione dei KPI con la conoscenza degli eventi indesiderati e incontrollabili che impediscono il raggiungimento di questi obiettivi. I KRI non misurano gli eventi indesiderati e incontrollabili, come la probabilità di un terremoto. Piuttosto, i KRI misurano le attività (o processi) eseguite dall impresa per attenuare la perdita di un evento indesiderabile e incontrollabile, come procedure di recupero di emergenze. L identificazione di eventi indesiderabili e incontrollabili offre una prospettiva più robusta ed equilibrata sulle relazioni causali. Questa prospettiva equilibrata velocizza l approvazione dei KPI e completa la comprensione della gestione degli indicatori prospettici che portano a risultati di business desiderati. La maturità del programma di gestione del rischio IT di un impresa è un indicatore chiave dell efficacia e dell efficienza della sua posizione di rischio complessivo. Migliorare la maturità della gestione del rischio è fondamentale per migliorare l allineamento costo-efficacia e business delle attività di rischio dell impresa; ma questi miglioramenti richiedono azioni diverse a seconda del livello di maturità attuale del programma di gestione del rischio. In mancanza di una comprensione realistica e azionabile dello stato attuale del proprio programma di gestione del rischio IT, l impresa non è in grado di identificare i rischi di business critici ai suoi processi e operazioni, identificare e colmare le lacune nei suoi controlli del rischio, migliorare la maturità del programma e giustificare i costi non trascurabili di gestione del rischio IT. La gestione delle identità e dei diritti degli utenti è diventata sempre più complessa considerando che i sistemi, le applicazioni e i programmi di accesso endpoint si moltiplicano e le imprese consentono ai dipendenti, fornitori, partner, fornitori e clienti un maggiore accesso ai propri sistemi e dati. Allo 18

19 stesso tempo, le imprese devono affrontare una crescente pressione a garantire che gestiscano le identità degli utenti e l accesso in conformità alla nuova legislazione e normativa - e siano in grado di dimostrare che lo stanno facendo. Molte grandi imprese hanno cercato di ridurre questa complessità e di affrontare le questioni di conformità attraverso una varietà di progetti di tecnologia. Questi progetti sono spesso sconnessi e mal allineati, e l impresa si trova alle prese con un altro strato di complessità senza realizzare alcun valore di business chiaro. 19

20 5 Conclusioni L Identity Analytics è una tematica di ricerca non ancora ampiamente esplorata, aperta all innovazione e ai contributi. Abbiamo visto che l opportunità di ricerca principale consiste nel concentrarsi sulla prospettiva dei decisori (piuttosto che sul solito punto di vista IT), fornendo strumenti di supporto alle decisioni e soluzioni che consentano loro di esplorare e prevedere l impatto e le conseguenze delle loro decisioni, tenendo conto di tutti gli aspetti sui fattori che sono rilevanti per loro, come costi, rischi per la sicurezza e perdite finanziarie. Ci siamo occupati di analizzare approcci innovativi all identity analytics, cioè gli strumenti che aiutano il CISO e altri decisori della sicurezza a esplorare rigorosamente le conseguenze delle scelte delle loro politiche di sicurezza e che spiegano ai dirigenti delle imprese le motivazioni per investire in una soluzione di accesso o identità consigliata. Per mostrare ciò, abbiamo cominciato definendo il concetto di metrica di sicurezza, abbiamo visto le sue proprietà e alcune applicazioni; in seguito abbiamo studiato un caso specifico di metriche di sicurezza nel controllo degli accessi; in particolare abbiamo analizzato le metriche usate in un modello di provisioning utente del sistema di Identity and Access Management (IAM); infine abbiamo mostrato come una buona gestione del rischio informa meglio il processo decisionale aziendale; per dimostrare ciò abbiamo definito gli indicatori chiave di rischio (KRI) e gli indicatori chiave di performance (KPI) e abbiamo mostrato come collegare i due indici. Tutto ciò suggerisce che l Identity Analytics é un settore promettente che porterà le attuali tendenze aziendali nel settore strategico/esecutivo decisionale da un approccio guidato dalla conformità ad un approccio guidato dal rischio. 20