IDENTITY MANAGEMENT AND GOVERNANCE

Transcript

1 IDENTITY MANAGEMENT AND GOVERNANCE

2 Il tema della gestione del ciclo di vita delle utenze definite sui sistemi IT e delle autorizzazioni assegnate a tali account, è cruciale nella gestione della sicurezza di un Sistema Informativo complesso ed eterogeneo e rappresenta una delle sfide più importanti per i responsabili della sicurezza del Sistema Informativo aziendale.

3 I responsabili della sicurezza aziendale devono necessariamente soffermarsi su una serie di quesiti di non facile gestione e, la capacità di fornire risposte tempestive ed affidabili, rappresenta un asset cruciale che le organizzazioni complesse non possono permettersi di trascurare, per non mettere a rischio la compliance a normative e regolamenti, ma anche per non mettere a rischio la sicurezza del sistema IT e del patrimonio informativo aziendale.

4 A quali informazioni/sistemi ha accesso un determinato utente? Chi ha accesso alle informazioni presenti in un determinato archivio o gestite da un determinato sistema? Chi ha autorizzato un determinato utente ad accedere ad un certo sistema? Siamo sicuri che gli utenti del sistema informativo abbiano tutte e sole le autorizzazioni necessarie per lo svolgimento dei loro compiti istituzionali? Siamo sicuri che le autorizzazioni assegnate agli utenti del sistema informativo rispettino le linee guida sulla sicurezza interne e le normative vigenti? Qual è il processo di con cui vengono assegnate credenziali ed autorizzazioni ai nuovi dipendenti dell azienda? E per i consulenti esterni? E per i fornitori? Per i partner con cui condividiamo alcune informazioni o servizi? Qual è il processo con cui vengono modificate le autorizzazioni degli utenti che cambiano sede o ruolo aziendale? E quando cessano la collaborazione con l azienda cosa succede? Quanto tempo viene impegnato nella gestione del ciclo di vita delle credenziali e delle autorizzazioni assegnate agli utenti? Abbiamo definito criteri di assegnazione delle autorizzazioni basate sulla funzione aziendale degli utenti? Viene posta maggiore attenzione nella assegnazione di autorizzazioni riguardanti le risorse più critiche del sistema informativo? Quali sono le risorse più critiche?

5 ? CIO / CISO A supporto di queste problematiche, sono stati sviluppate intere suite di prodotti IT che indirizzano correttamente le tematiche della governance della sicurezza IT e dei processi di gestione: sistemi di Identity and Access Management (IAM), Identity and Access Governance (IAG), Identity Federation (IF), che vanno ad integrarsi con tecnologie di autenticazione e di autenticazione forte (strong authentication).

6 NSR ha sviluppato un centro di competenza sulle seguenti tematiche specifiche: identity governance: realizzazione di un sistema IT per supportare ed automatizzare i processi e le politiche di governance delle credenziali e delle autorizzazioni IT; identity management: realizzazione di processi di provisioning per la gestione delle credenziali e delle autorizzazioni degli utenti su diversi sistemi di controllo degli accessi, basati su tecnologie eterogenee (Microsoft Active Directory, IBM RACF, LDAP, RADIUS, sistemi proprietari, ecc.); access management, single sign-on, strong authentication: implementazione di sistemi di controllo degli accessi ad applicazioni web based, per l autenticazione e l autorizzazione degli utenti; i sistemi di access management possono essere configurati per garantire il single sign-on con altri sistemi di autenticazione (es.: Microsoft Active Directory); possono essere estesi implementando meccanismi di autenticazione forte, basati su OTP, certificati digitali, ecc. identity federation, SPID: implementazione di sistemi per la realizzazione di contesti di identity federation (IdP, identity provider o SP, service provider) basati su protocollo SAML; implementazione del servizio di autenticazione con SPID (Sistema Pubblico di Identità Digitale).

7 L ambito di competenza del team NSR riguarda sia la capacità di progettare servizi di identity and access management and governance ad alto livello, tenendo conto della complessità del contesto funzionale ed organizzativo, sia la capacità di implementazione, di integrazione e di configurazione di prodotti software di mercato o open source nell ambito di un sistema informativo complesso e basato su componenti eterogenee. In particolare le specifiche competenze tecniche del team di NSR sono focalizzate, tra gli altri, sui seguenti prodotti: Ambiti di competenza Oracle IAM Suite 11gR2; Sun Identity and Access Management; RSA VIA Identity and Access Governance suite; CA SiteMinder; ForgeRock OpenAM; Evolveum MidPoint.

8 Tra le numerose esperienze di NSR nell ambito dei progetti di Identity and Access Governance, possiamo citare le seguenti attività tra le più significative e recenti: INPS Istituto Nazionale Previdenza Sociale: sistema di identity management, access management e single sign-on, identity federation per il sistema informativo interno e l integrazione con il sistema informativo di altri enti; Roma Capitale: sistema di identity and access management per la gestione delle utenze interne e dei cittadini per l accesso ai servizi online offerti dal Portale Istituzionale del Comune di Roma. Sistema di identity federation per la realizzazione del servizio di autenticazione Esperienze e referenze basato su SPID per l accesso dei cittadini ai servizi on-line. MISE Ministero per lo Sviluppo Economico: sistema di Identity Management per la gestione delle utenze e delle autorizzazioni assegnate ai dipendenti del Ministero e ai consulenti interni abilitati ad operare sul sistema informativo.

9 Thank you! Public Use Via Portuense 2482 Edificio A Interno Fiumicino Roma Tel Fax [email protected]