Identità ed Accessi Logici un nuovo modello di governo

Transcript

1 Identità ed Accessi Logici un nuovo modello di governo Giacomo Parravicini Identity & Access Governance Area Manager

2 Accessi logici qual è lo scenario

3 Accessi Logici Contesto di riferimento Le organizzazioni che si occupano di governo degli accessi devono costantemente verificare di essere in grado di poter dare risposta alle seguenti domande: Stò adeguatamente tutelando l accesso alle informazioni ed i dati sensibili? Sono in grado di rilevare e prevenire accessi non autorizzati alle informazioni? Sono in grado d identificare il rischio legato a determinati accessi e/o determinati utenti; Sono in grado di certificare gli accessi e garantire a riguardo dell effettività delle revoche? Posso provare la conformità alle normative? Corporate Governance IT Governance Access Governance 3

4 Accessi Logici Contesto di riferimento Non aderenza al principio del «Minimo Privilegio»; Assegnazione Accessi eseguite con procedure incoerenti «copia account»; Accumulo di privilegi; Assenza di un repository centralizzato; Mancanza di un modello «Concettuale» di riferimento; Revisioni periodiche difficoltose. 4

5 Accessi Logici Contesto di riferimento I Rischi sono evidenti: Rischio di frodi e violazioni Rischio di non Compliance (231, Privacy, 262 ecc.) 5

6 Accessi Logici Contesto di riferimento ~ $2 Billion Loss ~ $7 Billion Loss 6

7 Regolamenti, Normative, Conformità Contesto di riferimento La Conformità alle normative è un fattore che influenza, già adesso, la quotidianità di ogni azienza. Decine di norme governative o di settore si occupano della sicurezza e della tutela delle informazioni e costringono le aziende ad effettuare numerosi controlli spesso anche ridondanti. Internal Audit Board of Directors Oversight Groups 7

8 Regolamenti, Normative, Conformità Le organizzazioni ripensano al modello di governo degli accessi Regolamenti, normative e Conformità troppi processi manuali (revisioni/richieste accessi) troppe aspetti lasciati irrisolti da sistemi IAM Business e Sistemi più complessi che nel passato Cloud Applicazioni fuori dal controllo IT I budget si sono ridotti, le violazioni no Fare di più e meglio con meno risorse 8

9 Regolamenti, Normative, Conformità Processi manuali Cosa fà generalmente il responsabile del processo di revisione degli accessi e delle autorizzazioni in uno scenario tipico per compiere il proprio lavoro: Organizzazione di 1000 utenti; 26 applicazioni; Processo di revisione è semestrale. 9

10 Regolamenti, Normative, Conformità 1 - Aggregazione manuale di accessi ed autorizzazioni 10

11 Regolamenti, Normative, Conformità 2 - Bonificare e correlare le informazioni 11

12 Regolamenti, Normative, Conformità 3 - Distribuire a Manager ed App. owner i report per la revisione 12

13 Regolamenti, Normative, Conformità 4 - Aspettare, inseguire, riassegnare, ascoltare scuse, scalare... 13

14 Regolamenti, Normative, Conformità 5 - Compilare le richieste di revoca dai report ricevuti 14

15 Regolamenti, Normative, Conformità 6 - Distribuire le richieste di revoche 15

16 Regolamenti, Normative, Conformità 7 - Presentare per la firma i risultati al business 16

17 Regolamenti, Normative, Conformità le questioni irrisolte dai sistemi IAM Copertura limitata dei sistemi integrati ( 80% budget speso per lo sviluppo dei connettori ); Gestione della Separation of Duties, e più in generale mancanza di una visione su base del rischio ; Un front-end comprensibile per il business, con reportistica automatica; Potere comparare i permessi posseduti realmente dagli utenti rispetto allo scenario desiderato ( riconciliazione ); Avere una visione storica su identità, ruoli e permessi; Potete avere strumenti di modellazione dei Ruoli (mining), di ricertificazione, etc 17

18 Regolamenti, Normative, Conformità in conclusione... Molte organizzazioni hanno speso e stanno spendendo molti soldi sul tema della Conformità senza avere adeguati ritorni. Non sono ancora riuscite ad indirizzare adeguatamente il tema dei rischi legati al proprio business con adeguate iniziative di tutela della conformità e del governo degli accessi. 18

19 Accessi logici cosa fare ( Le 3 regole di governo)

20 Un modello nuovo di Governo Prima Regola Occorre creare sensibilità aziendale e coinvolgere il Business La corretta strategia che risponda ad esigenze di conformità prevede processi continui e non eventi singoli innescati per rispondere escusivamente agli auditor; Gestire il rischio significa infondere, prima di tutto, una cultura aziendale che crei consapevolezza su cosa c è dientro al «Check the box» della conformità; 20

21 Un modello nuovo di Governo Seconda Regola Nascondere le tecnologie sottostanti (applicazioni, profili tecnici); Elevare ad un livello più concettuale (attività di business, mansioni. ecc.) l intera questione della gestione e del governo degli accessi. 21

22 Un modello nuovo di Governo Terza regola Adottare soluzioni tecnologiche adeguate Una corretta strategia richiede un adeguata soluzione tecnologica che supporti efficacemente le iniziative di conformità progettate; Il modello progettato è «merce deperibile» perchè le aziende e applicazioni cambiano in continuazione. Occorre quindi che i processi di gestione del modello siano definiti e che sia presente la tecnologia con cui descriverlo e gestirlo. 22

23 Un modello nuovo di Governo requisiti funzionali Bisogna quindi: Creare un modello concettuale di abilitazioni standard basato su attività di business o mansioni. Quindi, avvicinare la sicurezza al «linguaggio del business». Esprimere richieste di accesso in maniera funzionale, non tecnica, all interno delle possibilità (attività di business, mansioni ecc.) offerte dal modello definito. Rendere veloce la visibilità centralizzata delle abilitazioni di tutti gli utenti su tutte le applicazioni senza lo sviluppo laborioso di connettori. Rendere possibile un analisi delle richieste effettuate anche in termini di contenuti delle richieste stesse (profili o mansioni). Rendere possibile un effettiva certificazione periodica delle utenze, proprio perchè basata su un modello di mansioni/attività di business concordato e comprensibile. 23

24 Un modello nuovo di Governo Process modeling Richieste di accesso Revisione Accessi Detective Control Acquisizione Account, Autorizzazioni Identità. Correlazione Provisioning automatico Account Autorizzioni Assunzione,Cessazione, Cambio mansione Role Modeling Entitlement translation Role Design Role Mining Risk Modeling Risk Policy SoD/SA Out of Role Out of Band Orphaned / Service accounts Preventive Control SoD/SA Notifiche / Report Assegnazione Controlli mitiganti Revisioni Cleansing SoD Policy Out of Role Richieste di accesso Integrazione Modellazione Controlli Contromisure 24

25 Un modello nuovo di Governo Acquisizione Account, Autorizzazioni Identità. Correlazione Provisioning automatico Account Autorizzioni Cleansing Integrazione 25

26 Un modello nuovo di Governo Process modeling Richieste di accesso Revisione Accessi Assunzione,Cessazione, Cambio mansione Role Modeling Entitlement translation Role Design Role Mining Risk Modeling Risk Policy SoD Policy Modellazione 26

27 Un modello nuovo di Governo Detective Control SoD/SA Out of Role Out of Band Orphaned / Service accounts Preventive Control SoD/SA Out of Role SoD/SA Detect/Prevent SoD/SA relativo ad utenti Detect/Prevent SoD/SA relativo a ruoli applicativi Out of Role Detect/Prevent diversità di profilazione tra utenti che hanno lo stesso job title Accounts clearing Detect account di servizio Detect account orfani Detect account dormienti Out of band changes Detect Out-of-band non da processo di modifiche alle assegnazioni dei privilegi ad utenti Detect Out-of-band non da processo di modifiche alle assegnazioni dei privilegi ai ruoli review or approval Controlli 27

28 Un modello nuovo di Governo Notifiche / Report Assegnazione Controlli mitiganti Revisioni Richieste di accesso Contromisure 28

29 Accessi logici come fare

30 Un modello nuovo di Governo Process modeling 5 Richieste di accesso Acquisizione Account, Autorizzazioni Identità. Correlazione Provisioning automatico Account Autorizzioni Cleansing 1 8 1a Revisione Accessi Assunzione,Cessazione, Cambio mansione Role Modeling Entitlement translation Role Design Role Mining Risk Modeling Risk Policy 4 7 Detective Control SoD/SA Out of Role Out of Band Orphaned / Service accounts Preventive Control SoD/SA 6 2 Notifiche / Report Assegnazione Controlli mitiganti Revisioni autorizzazioni Revisioni account 3 SoD Policy Out of Role Richieste di accesso Integrazione Modellazione Controlli Contromisure 30

31 Domande? Thank you. 31

32