WHITE PAPER Gestione del cambiamento e della complessità con Identity and Access Governance L unica costante della vita è il cambiamento. Questo detto non è mai stato più vero, con le aziende che, per gestire i loro sistemi, devono affrontare complessità sempre maggiori e diverse. L ambiente Identity and Access Governance (IAG) è in prima linea nella battaglia per rispondere con efficacia al cambiamento costante. In che modo cambiamento e complessità vi stanno portando a riconsiderare il vostro approccio a identità, sicurezza e governance? Disponete degli strumenti necessari per affrontare queste sfide? Avete i processi in atto per accompagnare la vostra organizzazione in questo mondo in rapida evoluzione? Per pianificare il futuro, dovete prendere in considerazione diverse aree. A un primo sguardo, le soluzioni di IAG sembrano solo un ulteriore aggravio dovuto alla pressione sempre maggiore di leggi e problemi di conformità, ma se usate nel modo giusto possono diventare il catalizzatore ideale per vincere le sfide di un futuro complesso e altamente variabile come quello che ci aspetta. La conformità normativa va ormai considerata un iniziativa aziendale di primaria importanza per affrontare il continuo aumento della complessità e dell ambito di applicazione del panorama normativo. In più, con il diffondersi di cyber attacchi e minacce interne, le organizzazioni devono trovare un approccio più efficace, sostenibile e scalabile per raggiungere gli obiettivi di conformità in un ambiente di assoluta sicurezza. In questo white paper verranno esaminate alcune delle sfide che le organizzazioni moderne devono affrontare per sviluppare e adottare un programma di conformità in grado di risolvere le esigenze di oggi e soddisfare i nuovi requisiti del futuro.
WHITE PAPER Indice Introduzione... 1 Come gestire il cambiamento... 1 Definizioni... 1 Gestione delle identità... 1 Governance degli accessi... 2 Identity and Access Governance (IAG)... 2 Obiettivi di sicurezza e identità... 2 Fattori esterni di cambiamento e complessità... 2 Attacchi e violazioni della sicurezza... 2... 3 Cloud computing... 3... 3 Le soluzioni mobili... 4... 4 Limiti di budget... 4... 4 Cambiamento, complessità e IAG... 4 Informazioni su NetIQ... 5
Introduzione La Identity and Access Governance (IAG) è ormai una componente vitale di tutte le organizzazioni che devono far fronte alla sorveglianza da parte del settore e dell amministrazione pubblica, oltre che ai controlli interni. I fattori trainanti delle esigenze IAG sono quasi sempre esterni all azienda. I responsabili aziendali e IT devono essere in grado di rispondere alle pressioni del cambiamento e della complessità che oggi si manifestano nell ambiente aziendale, nelle preoccupazioni relative alla sicurezza, nel progresso tecnologico e nell aumento di leggi e problemi di conformità. Ma mentre esigenze e pressioni aumentano, i budget diminuiscono. In questo scenario, la gestione del cambiamento e della complessità attraverso la governance rappresenta un ottima opportunità, se correttamente applicata. La chiave di tutto sta nel disporre degli strumenti adeguati avendo approntato, al contempo, i processi necessari per soddisfare ogni nuova esigenza. Come gestire il cambiamento Per gestire il cambiamento è fondamentale comprenderlo. Il cambiamento non è un evento circostanziato, ma un processo costante. Ogni volta che si manifesta un esigenza di cambiamento, la nostra tendenza è resisterle il più a lungo possibile. Alla fine, però, il cambiamento arriva. Esattamente quando ormai è talmente chiaro da non poter essere ulteriormente procrastinato ed è necessario radunare tutte le forze per portare avanti una grande offensiva. Il cambiamento arriva puntuale e l azienda si rilassa in una rassicurante routine. Ma il cambiamento è costante e, pertanto, non tarderà a ripresentarsi come urgenza. L inerzia necessaria per spingere l organizzazione in avanti, nei nuovi ambienti che si vanno delineando, è difficile e costosa, e ogni volta che si rende necessario un cambiamento, il problema si ripresenta. Non appena un cambiamento esaurisce il suo corso, ecco che all orizzonte ne appare un altro, che va affrontato per spingere l azienda a stare al passo con il settore. Per gestire con efficacia le complessità e i cambiamenti, le aziende devono capire che cambiare non significa semplicemente modificare un processo: il cambiamento È il processo. Il cambiamento va pianificato, cercato, adottato e integrato nel tessuto stesso della cultura aziendale. Per decretare il successo di un azienda che soddisfi e superi le aspettative del panorama economico di oggi, la mentalità giusta per gestire cambiamento e complessità non basta, ma sono necessari anche strumenti efficaci. I sistemi devono permettere ai responsabili aziendali e IT di visualizzare facilmente i sistemi complessi, monitorare le aree problematiche o a rischio e, infine, avviare le azioni richieste quando policy, procedure o requisiti si avvicinano alle soglie impostate per tali aree. Per quanto riguarda la vostra attività, in che modo cambiamento e complessità vi stanno spingendo a rivedere identità, sicurezza e governance? Questo documento analizzerà alcune delle principali aree problematiche e il contributo di IAG può offrire con alcune soluzioni efficaci. Definizioni Prima di approfondire quelli che spesso sono i fattori trainanti di cambiamento e complessità, è necessario chiarire alcune definizioni: Gestione delle identità I problemi relativi alla gestione delle identità sono tipici del comparto IT e riguardano il provisioning di hardware e software, ma anche la gestione delle identità delle persone che usano le risorse aziendali e quelle degli stessi dispositivi o risorse. L identità di una persona può includere i seguenti attributi: Chi? nome, sede, informazioni di contatto ecc. Ruoli qualifica, responsabilità ecc. Tipo di rapporto dipendente, consulente, fornitore ecc. Una volta stabilita l identità, è necessario passare a stabilire l ambito adeguato dell accesso di ogni persona, creando delle relazioni con le risorse. Tra queste: applicazioni, sistemi, dati, gruppi, infrastrutture fisiche e altre risorse aziendali. 1
Gestione degli accessi Avere una buona comprensione dell accesso è fondamentale per la governance e si tratta di un compito che spetta più ai responsabili aziendali che ai responsabili IT. Gli strumenti impiegati in quest area devono soddisfare le esigenze aziendali con interfacce pratiche e di facile uso che possano essere utilizzate anche dalle persone meno dotate dal punto di vista tecnico. Le problematiche di quest area includono: Chi dispone dell accesso? Che livello e che tipo di accesso? Chi ha fornito l accesso? L accesso è stato sottoposto a revisione ed è quello idoneo a ogni identità? L accesso è sicuro? È possibile monitorare le attività eseguite con l accesso? Qual è il rischio associato alla fornitura dell accesso? L ottenimento dell accesso è flessibile? È possibile fornire l accesso in ambienti sia fisici che cloud? È possibile assegnare accesso privilegiato e delegato? Come si ottiene l accesso? È possibile abilitare l apertura delle sessioni da qualsiasi dispositivo, da qualsiasi luogo, per tutti? L accesso può essere federato? Identity and Access Governance (IAG) La IAG è la convergenza di gestione delle identità e governance degli accessi. Per essere efficaci e soddisfare gli obiettivi complessivi dell azienda, le soluzioni di IAG devono integrare in modo trasparente entrambe queste discipline. Obiettivi di sicurezza e identità Le aziende che adottano soluzioni di IAG hanno alcuni obiettivi in comune. Tra questi: 1. Il controllo dei rischi e delle sfide del computing distribuito in più ambienti diversi, costituiti da hardware, sistemi operativi divergenti, cloud e dispositivi mobili. 2. Gli utenti devono disporre di un accesso idoneo e immediato ai servizi di computing necessari per il loro lavoro. 3. Il computing deve essere sicuro e conforme a tutte le policy e alle leggi in materia, anche quando utilizzato sui dispositivi mobili. Fattori esterni di cambiamento e complessità Attacchi e violazioni della sicurezza Gli attacchi, sia interni che esterni, sono in aumento. Le violazioni della sicurezza sono ormai un problema di vastissime proporzioni per le aziende. L obiettivo di tutti i dipartimenti di marketing è ottenere un riscontro positivo dai media, ma se l azienda ha subito una violazione della sicurezza, perché possa continuare ad avere successo o addirittura a sopravvivere, è molto più importante che i media non ne parlino nemmeno. Niente è in grado di erodere la fiducia di consumatori e organismi regolatori quanto la violazione della sicurezza dei dati sensibili, indipendentemente dal modo in cui avviene--- una fuga di informazioni o il furto della proprietà intellettuale del cliente. Secondo Verizon, il 58% di tutte le violazioni viene perpetrato da organizzazioni criminali o da gruppi di attivisti spesso denominati hacktivisti. 1 L aspetto più deprimente è che la maggior parte dei cyber attacchi è prevedibile. In molti casi, l azienda colpita disponeva di tutte le informazioni per prevenire l attacco e avrebbe potuto impedirlo se avesse prestato la necessaria attenzione, avesse approntato le procedure di prevenzione e le avesse effettivamente applicate. La mera presenza di un firewall non basta davvero a contrastare gli attacchi. Secondo uno studio recente sulla sicurezza delle aziende spesso un azienda può imparare di più sulla sicurezza della sua rete analizzando non tanto il traffico che è stato rifiutato, quanto quello che è stato consentito. 2 Anche gli attacchi interni, da parte dei dipendenti dell azienda, stanno aumentando. 2
I crescenti rischi di violazione della sicurezza e di infiltrazione di dati falsificati o fraudolenti nei sistemi aziendali hanno portato alla nascita di numerose leggi e normative con un forte impatto sulle aziende. Eccone alcune: PCI DSS Sarbanes-Oxley NERC-CIP FISMA GLBA HIPAA BASEL III J-SOX Solvency ll Un sistema IAG robusto come NetIQ Access Governance Suite 6, associato a Identity Manager, offre i sistemi e i controlli che permettono ai responsabili aziendali di essere a conoscenza di tutti gli accessi e di sapere se tali accessi sono idonei. Usando un unico dashboard, è possibile accedere al profilo di ogni utente, o identity cube, per assicurarsi che tale utente sia definito con i ruoli e l accesso appropriati. Il cosiddetto entitlement creep, ovvero il fenomeno degli accessi ricevuti in passato che un dipendente si porta dietro anche dopo essere assegnato a un nuovo ruolo in cui tali accessi non sono più necessari, può essere evitato tramite una regolare certificazione. In questo modo si può stare sicuri che le persone dispongano solo dell accesso necessario per svolgere la loro attuale mansione. Un altra preoccupazione riguarda gli account orfani che devono essere eliminati. Devono essere implementati dei sistemi che rimuovano automaticamente tutti gli accessi alle risorse aziendali quando dipendenti, consulenti e fornitori cessano il loro rapporto con l azienda in questione. Queste e molte altre funzionalità di una robusta soluzione di IAG assicurano che l accesso sia limitato esclusivamente alle persone che ne hanno effettivamente bisogno. Monitorare ogni singolo blocco di dati è un compito scoraggiante. Misure efficaci per la classificazione dei rischi potenziali, la gestione e la mitigazione del rischio possono essere tutte gestite tramite IAG. Esistono dei sistemi per notificare ai responsabili aziendali le aree problematiche e permettere loro di controllare con efficacia gli eventi più importanti. Cloud computing Nel cloud stanno emergendo nuovi problemi. Il cloud può significare molte cose, ma secondo il National Institute of Standards and Technology (NIST) consiste nel consegnare il computing non come prodotto, ma come un servizio in cui risorse condivise, software e informazioni vengono forniti sui computer e sugli altri dispositivi come utenza (come l elettricità), attraverso una rete (solitamente Internet). 3 Dal momento che le applicazioni software vengono fornite secondo il modello SaaS (Software as a Service), tenere al sicuro i dati aziendali sta diventando sempre più difficile. Come vengono tenuti al sicuro i dati nel cloud? In che modo le aziende si assicurano che i materiali sensibili non vengano acceduti da persone prive della necessaria autorizzazione o autenticazione? Una soluzione di IAG efficace monitora l accesso a tutte le risorse aziendali, incluse quelle presenti nel cloud. Le risorse nel cloud possono essere lontano dagli occhi, ma non per questo devono essere lontano dal cuore. Il cloud offre a un azienda un incredibile scalabilità, in quanto le permette di utilizzare risorse aggiuntive se ne ha bisogno, con un tipo di accesso che però prevede il pagamento di tariffe aggiuntive da parte del cliente. Una soluzione di IAG non solo monitora l accesso e l uso delle risorse basate su cloud ma assicura anche che le risorse usate siano effettivamente solo quelle richieste, mantenendo al minimo le tariffe per l uso e aiutando l azienda a tenere sotto controllo i costi. 1 Verizon data breach report 2011: Attackers refining their targets. Searchsecurity.techtarget.com Robert Westervelt, News Director Pubblicato: 19 aprile 2011. 2 Firewall logging: Telling valid traffic from network allows threats. Searchsecurity.techtarget.com Anand Sastry, Collaboratore, novembre 2010. 3 Sito Web del National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-145/sp800-145.pdf 3
Le soluzioni mobili Accesso da qualsiasi luogo, con qualsiasi dispositivo. Con l avvento di computer portatili, smartphone e tablet, agli utenti non basta più accedere alle risorse aziendali dall interno dei confini dei loro uffici o delle loro postazioni di lavoro. Ciò che vogliono è accedere ai dati in qualsiasi momento, anche quando sono in viaggio. Fornire un accesso sicuro può essere difficile, soprattutto se i dati devono essere portati offline. Un azienda dovrebbe permetterlo? E se lo fa, continua ad agire nel rispetto della conformità? Cosa può succedere se un team decide di aggirare il sistema per ottenere ciò di cui ha bisogno senza rispettare la conformità? La IAG è in grado di definire i parametri per l accesso sulla base di diversi fattori. Ad esempio, oltre al ruolo e alla funzione, anche sulla base del dispositivo usato. Per i dati meno sensibili potrebbe essere autorizzato l accesso da una serie più ampia di mezzi mentre i materiali più instabili potrebbero essere controllati per garantire la conformità. Laddove gli utenti dovessero aver bisogno dell accesso mobile, questo potrebbe essere concesso controllando la sicurezza delle password a livello di IAG con una tecnologia innovativa e facendo in modo che perfino le persone non autorizzate venute a conoscenza di una password non possano ottenere l accesso utilizzando quest ultima successivamente da un loro dispositivo. Le sfide del computing mobile sono molte e le tecnologie IAG possono essere una soluzione sicura per vincerle. Limiti di budget Se da un lato i budget diminuiscono, dall altro le richieste aumentano. Lo scenario economico di oggi è caratterizzato da un continuo restringimento dei budget e dalla continua crescita dell esigenza di sicurezza e gestione delle identità. E più gli utenti di computer diventano abili nell uso della tecnologia, più le loro esigenze aumentano, mentre la velocità di consegna e accesso diventa un problema sempre più spinoso. Un manager che assume un nuovo dipendente, ad esempio, non è più disposto a richiedere all help desk l accesso per tale dipendente e ad aspettare che arrivi. Allo stesso tempo, è necessario modificare rapidamente l accesso dei membri dei team quando i progetti si chiudono e se ne aprono altri. Identità e sicurezza devono essere gestite alla stessa velocità del business, anche se questo significa aggravare il peso sulle spalle dello staff IT che deve tenere aggiornati i sistemi. I sistemi IAG sono indispensabili per un provisioning efficace e per la gestione dell accesso alle risorse aziendali. Molti processi sono routinari e con la giusta automazione le aziende possono eliminare le attività ripetitive che richiedono tempo e impegno allo staff IT. Ad esempio, il processo per configurare i neoassunti può essere determinato dal ruolo dei nuovi dipendenti. Una volta approntati i sistemi, il personale addetto alle risorse umane può impostare i profili dei nuovi dipendenti con l accesso più idoneo alle mansioni che dovranno svolgere. Quando un dipendente abbandona l azienda, lo stesso personale può avviare il processo di gestione automatizzata dell accesso per eliminare l account rimasto orfano. Non è necessario che lo staff IT o i responsabili aziendali siano coinvolti in questa funzione ripetitiva. Anche i processi semplici quali l autenticazione o la modifica delle password possono essere facilmente gestiti da una soluzione di IAG. Se poi le complessità aumentano, un sistema IAG permette di identificare e mitigare i rischi per la sicurezza. Sostituendo l approccio reattivo con un approccio proattivo alla gestione del rischio, le aziende possono concentrare le loro iniziative di sicurezza sulle aree e sul personale con caratteristiche di maggiore criticità. Con budget sempre più esigui, spesso è necessario prestare un attenzione particolare alle aree problematiche mentre i protocolli di sistema si occupano di garantire in modo efficace la conformità. Cambiamento, complessità e IAG La capacità di gestire il cambiamento e la complessità sta diventando un fattore sempre più importante. Una efficace soluzione di IAG è parte integrante della strategia per il raggiungimento di questo obiettivo. La IAG fornisce sistemi automatizzati di facile uso che favoriscono il raggiungimento degli obiettivi aziendali nell ambito di un ambiente sicuro. La IAG non si limita a rendere le aziende conformi e a garantire questa conformità, ma fa molto di più. In uno scenario economico complesso e variabile come quello di oggi, è indispensabile proteggere le risorse più preziose dell azienda, incluse la proprietà intellettuale, i dati sensibili e, cosa ancora più importante, la fiducia dei suoi clienti. 4
Informazioni su NetIQ NetIQ è un produttore mondiale di software per aziende, costantemente impegnato nella realizzazione di soluzioni che favoriscono il successo dei clienti. Clienti e partner scelgono NetIQ per gestire a costi contenuti le sfide legate alla protezione dei dati e la complessità di applicazioni aziendali dinamiche e altamente distribuite. Il nostro portafoglio include soluzioni scalabili e automatizzate per identità, sicurezza e governance e per la gestione delle operazioni IT con cui le aziende possono fornire, misurare e gestire servizi di computing in ambienti fisici, virtuali e di cloud computing in tutta sicurezza. Queste soluzioni e il nostro approccio pratico e centrato sul cliente per risolvere le incessanti sfide dell IT permettono alle aziende di ridurre i costi, la complessità e il rischio. Per saperne di più sulle nostre soluzioni software acclamate dal settore, visitate www.netiq.com. Questo documento può contenere inesattezze tecniche o errori tipografici. Le informazioni ivi contenute vengono modificate periodicamente. Le modifiche possono essere incorporate nelle nuove versioni del documento. NetIQ Corporation si riserva il diritto di apportare in qualsiasi momento miglioramenti o modifiche al software descritto in questo documento. Copyright 2012 NetIQ Corporation e affiliate. Tutti i diritti riservati. 562-IT1005-001 DS 07/12 ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, il logo del cubo, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, il logo NetIQ, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt e Vivinet sono marchi o marchi registrati di NetIQ Corporation o le sue affiliate negli Stati Uniti. Tutti gli altri nomi di aziende e prodotti citati nel documento vengono utilizzati esclusivamente a scopo identificativo e possono essere marchi o marchi registrati delle rispettive aziende. Italy - Milan Via Varese, 6/A 20037 Paderno Dugnano (MI) Tel: +39 (0) 2 99 06 02 01 Fax: +39 (0) 2 9904 4784 info@netiq.com www.netiq.com http://community.netiq.com Italy - Rome Via Tirone 11 00146 Rome Italy Tel: +39 06 45 213 421 Fax: +39 06 45 213 301 Email : contact-it@netiq.com Per un elenco completo dei nostri uffici in Nord America, Europa, Medioriente, Africa, Asia-Pacifico e America Latina, visitate www.netiq.com/contacts. Seguiteci: 5