IDENTITY & ACCESS GOVERNANCE - White Paper Come raggiungere e mantenere la conformità alle normative Italiane con un sistema di Identity and ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
White Paper IDENTITY & ACCESS GOVERNANCE Come raggiungere e mantenere la conformità alle normative Italiane con un sistema di Identity and Access Governance Leggi, normative e impatti tecnologici: la interpretazione di Net Studio
Introduzione
Il contesto normativo italiano è diventato negli ultimi anni sempre più
complesso e articolato. I requisiti normativi a cui le aziende devono ri-
spondere sono aumentati a seguito dell’entrata in vigore di nuove leggi
quali la Legge sulla “Tutela del Risparmio e Corporate Governan-
ce” (D.Lgs 262/05), il decreto sui c.d. “reati informatici” (art. 24 bis del
D.Lgs 231/01), ecc. In un tale scenario le aziende hanno incontrato nu-
merose difficoltà a districarsi fra i diversi requisiti, anche perché ormai
White Paper essi abbracciano tutte le funzioni aziendali: dal finance, al business, alle
risorse umane fino all’IT. Proprio l’IT sta acquisendo una sempre mag-
giore importanza e attenzione da un punto di vista normativo per via de-
gli elevati rischi connessi a tale funzione e della loro pervasività nei pro-
cessi aziendali. La compliance IT sta diventando un vero elemento chia-
ve nel processo generale di conformità aziendale e deve essere pertanto
approcciata con strumenti e tecniche adeguate.
Uno degli errori che le aziende poco accorte commettono è quello di
considerare la compliance come un mero costo di adeguamento. Se ben
gestita, rappresenta invece un’opportunità per l’azienda di creare valore
aggiunto. Da un punto di vista IT, ad esempio, l’essere conformi alle nor-
mative di riferimento porta una serie di benefici per l’azienda che spazia-
no dal risk management, alla sicurezza delle informazioni sino alla sem-
plificazione per l'utente finale nell'utilizzo delle applicazioni informatiche.
Ancora una volta però tutto dipende in larga parte dall’approccio adottato
e dall’efficacia ed efficienza degli strumenti e delle misure che vengono
utilizzate per adempiere ai vincoli normativi.
Il presente documento evidenzia come l’uso di certe tecnologie rap-
presentino la soluzione che consente alle aziende di adeguarsi alle di-
verse normative in modo semplice ed efficiente. Il requisito fondamenta-
le è che queste vengano applicate da chi combina le competenze sulle
normative a quelle sulle tecnologie più variegate sulle quali si basano le
informazioni, oggi contenute in massima parte dal supporto informatico.
A quali normative è importante fare attenzione?
La tecnologia consente oggi di implementare i controlli richiesti dalla
maggior parte delle normative di riferimento nel contesto italiano e di
facilitare di conseguenza il raggiungimento dei requisiti di conformità.
Per comprendere appieno i benefici e le potenzialità delle soluzioni tec-
nologiche più avanzate può essere utile analizzare in dettaglio qualche
esempio.
White Paper
D.Leg 231/01
Con l’inserimento dell’art. 24 bis all’interno del D.Lgs. 231/01, il perime-
tro dei reati presupposto della responsabilità amministrativa è stato
esteso in via generale ai reati informatici. L‘azienda non può più discol-
parsi con l’attestazione della propria ignoranza di tali comportamenti: la
criminalità informatica, laddove commessa a vantaggio o nell'interesse
dell'organizzazione, diventa perseguibile anche come criminalità d'im-
presa. Di fronte al mutato scenario normativo, l’azienda deve monitora-
re l’intero flusso comunicativo e informativo di tutta la struttura azienda-
le, tenendo conto delle informazioni e dei documenti, sia in fase di in-
gresso che di uscita. L’azienda deve quindi studiare strategie preventive
e predisporre idonee misure di sicurezza e di controllo che siano:
idonee ad impedire la commissione di reati informatici al suo interno;
in grado di escludere la responsabilità dell’azienda nelle ipotesi in cui le
misure adottate non siano state in grado di evitare la commissione dei
reati (occorre dimostrare che si è fatto tutto ciò che era possibile per im-
pedire la commissione di un reato informatico nel contesto aziendale).
D.Leg 262/05
Il D.Lgs 262/05, la cosiddetta Legge sulla Tutela del Risparmio e Corpo-
rate Governance, richiede, fra le altre, la predisposizione di “adeguate
procedure amministrative e contabili per la formazione del bilancio d’e-
sercizio”. Non si può quindi prescindere dalla definizione di un sistema
dicontrollo interno per assicurare l’affidabilità del processo di redazione
del bilancio di esercizio.
Sarbanes Oxley Act, J-SOX, Basilea II, Solvency II
L’implementazione di un sistema di controllo IT con riferimento al pro-
cesso di financial reporting è uno dei requisiti chiave anche di altre nor-
mative estere a cui numerose realtà che operano in Italia devono però
aderire in quanto controllate di gruppi stranieri. Esempi in tal senso so-
no dati dal Sarbanes Oxley Act, per le società quotate in US, o la J-
SOX, per le società quotate in Giappone. Analogamente a quanto visto
per il D.Lgs 262/05, Identity and Access Governance di Novell può es-
sere lo strumento ideale per definire tutti i controlli necessari per assicu-
rare l’efficacia del processo di financial reporting. In ambito finanziario
con l’introduzione di Basilea II le tematiche del Risk Management, Cor-
porate Governance e Compliance hanno acquisito una sempre maggio-
re importanza. Le banche e gli intermediari finanziari cui la disciplina è
applicabile devono prestare particolare attenzione alla gestione dei ri-
schi che interessano le aree di business (rischi di credito, rischio di mer-
cato, rischio operativo, rischi tassi di interesse, ecc.).
Nell’ambito del complessivo sistema di gestione dei rischi che le ban-
che sono chiamate a definire, particolare rilevanza assume il governo
dei rischi operativi in virtù della loro pervasività su tutte le aree aziendali.
In particolare, è richiesta l’adozione di un adeguato framework di gestio-
ne dei rischi operativi che consenta di prevenire eventuali errori nell’o-
peratività generale.
Con riferimento al settore assicurativo Solvency II, analogamente a
quanto fatto da Basilea II per le banche, definisce un nuovo regime di
solvibilità che conferisce, rispetto al regime vigente, maggiore enfasi alla
White Paper qualità della gestione dei rischi e alla solidità del sistema di controllo in-
terno
D.Leg 196/03
Il D.Lgs 196/03 (Codice sulla Privacy) è forse la normativa in cui sono
presenti in modo più esplicito le misure di sicurezza tecniche e organiz-
zative per la protezione dei dati personali sensibili e giudiziari quali la
presenza di tecniche di autenticazione e autorizzazione, i vincoli sulla
password, ecc.
PCI DSS
Il PCI DSS (Payment Card Industry Data Security Standard ), lo stan-
dard promosso dai principali brand di carte di credito quali VISA, Ma-
stercard, American Express ecc., richiede alla aziende che trattano dati
di carte di credito l’esecuzione di una serie di procedure e controlli fina-
lizzati a proteggere i dati delle carte. Trattandosi, a differenza degli altri,
di uno standard con requisiti molto puntuali e stringenti è fondamentale
approcciare alla compliance con gli strumenti e i metodi adeguati altri-
menti si corre il rischio di avere un costo di conformità che aumenta
esponenzialmente con il passare del tempo.
Altre leggi d’interesse
Oltre a quelle appena descritte vi sono altre numerose normative o leggi
nelle quali la un sistema di Identity and Access Governance può essere
d’aiuto nel raggiungere la conformità. Ad esempio in ambito assicurativo
il Regolamento n.20 dell’ISVAP in materia di controlli interni, gestione
dei rischi e compliance oppure il Regolamento CONSOB per le società
quotate o ancora il Provvedimento di Banca d’Italia del 14.04.2005 che
regolamenta le attività di gestione del risparmio ecc.
Come ha origine il problema?
La tecnologia consente oggi di implementare i controlli richiesti dalla
maggior parte delle normative di riferimento nel contesto italiano e di faci-
litare di conseguenza il raggiungimento dei requisiti di conformità. Per
comprendere appieno i benefici e le potenzialità delle soluzioni tecnologi-
che più avanzate
può essere utile ana-
lizzare in dettaglio
White Paper qualche esempio.
Diciamolo chiara-
mente: l’informatica
ha supportato il de-
collo dell’economia
dalla seconda metà
del Novecento ai
giorni nostri. Purtut-
tavia ha introdotto
alcuni problemi nuo-
vi prima sconosciuti
come, ad esempio,
una dissimmetria tra chi progetta, realizza o governa lo strumento infor-
matico e chi ne è invece il reale utilizzatore.
Nella fattispecie ne deriva che coloro che gestiscono gli account con cui
gli utenti si autenticano ai sistemi per accedere alle informazioni di loro
pertinenza non sono, di norma, coloro che sono per loro mansione legitti-
mati a stabilire quali sono le informazioni a cui gli utenti possono o devo-
no non accedere.
Viceversa, i responsabili del Business di ciascuna organizzazione, ovvero
coloro che avrebbero titolo a stabilire che cosa le proprie persone posso-
no o devono accedere, non hanno le competenze tecniche necessarie
per definirlo sugli strumenti IT
Ecco allora come diventa facile perdere il governo di ciò che viene richie-
sto da ciascuna delle normative elencate ai punti precedenti, ovvero di-
mostrare che si ha il controllo di “chi può accedere a quali informazioni” o
“operare solo su ciò che è pertinente alla propria mansione”:
L’indirizzo della soluzione: l’Identity and Access Go-
vernance
Il problema viene comprensibilmente amplificato dal moltiplicarsi dei fat-
tori:
Nella prima decade del nuovo millennio si è comunemente creduto che le
White Paper soluzioni di Identity
and Access Manage-
ment fossero il mi-
glior strumento a di-
sposizione dei Chief
Security Office ma,
come abbiamo dovu-
to rilevare dalla no-
stra decennale espe-
rienza di realizzatori
di progetti IAM e co-
me afferma anche
Gartner
Identity Management
è infatti stato conce-
pito come un SW di
sincronizzazione di dati utente: tanto utile per gli uomini dell’IT che si ve-
dono la vita facilitata nella creazione, rimozione o movimentazione degli
account, ma che poco valore aggiunto porta ai Chief Security Officer.
E’ solo in anni recenti che sono quindi state sviluppate applicazioni pro-
babilmente nate come
personalizzazioni di
qualche Identity Ma-
nagement che affron-
tano il problema dal
punto di vista dei temi
di Security ed hanno
preso il nome di Ac-
cess Governance.
I SW di Identity and
Access Governance
NON si preoccupano
di creare o cancellare
utenze ma di sapere,
raccogliendo le infor-
mazioni da ciascun applicazione, quali sono le abilitazioni degli utenti e di
trasformare gli entitlement “tecnici” in un linguaggio di Business compren-
sibile al Management.
I SW di Identity and Access Governance NON si preoccupano di creare o
cancellare utenze ma di sapere, raccogliendo le informazioni da ciascun
applicazione, quali sono le abilitazioni degli utenti e di trasformare gli en-
titlement “tecnici” in un linguaggio di Business comprensibile al Manage-
ment.
Un progetto di “Access Governance” si articola tipicamente in 4 fasi:
White Paper
Fase I - Visibilità
Assessment delle applicazioni e abilitazioni, onde avere visibilità
sugli accessi (“chi può fare cosa”);
Implementazione di regolari processi di ricertificazione, e monito-
raggio dei processi;
Fase II - Pulizia e Controllo
Implementazione di regolari processi di ricertificazione, e monito-
raggio dei processi;
Implementazione dei processi di change relativi alla richiesta di
abilitazioni aggiuntive;
Implementazione dei controlli e dei meccanismi di revoca degli
accessi inappropriati;
Fase III - Facilitazione del Processo
Implementazione di un modello a ruoli per la semplificazione del-
la leggibilità degli accessi e del modello autorizzativo;
Fase IV - Gestione richieste
Gestione del rischio, definizione delle regole SOD, dei processi di
controllo automatico e delle logiche di mitigazione.
Potrebbe non essere necessario che un progetto si spinga fino al termine
delle 4 fasi. Durante la valutazione iniziale di progetto, avvalendosi di fra-
mework metodologici standard, verrà identificato il grado di maturità “as-
is” del “modello di Governance” del Cliente, e valutato il grado di maturità
“to-be” in modo da tracciare la roadmap più appropriata per il suo rag-
giungimento.
White Paper
Il sistema di Identity and Access Governance” sarà in grado di:
Fornire visibilità su chi può fare cosa nelle varie applica-
zioni in termini di: utenze, account, applicazioni e autoriz-
zazioni (attraverso l’acquisizione schedulata dei dati dai
vari sistemi);
Produrre reportistica (as-is e storica) sulle abilitazioni e le
loro variazioni;
Offrire uno strumento per gestire il processo di assegna-
zione e revoca delle aurorizzazioni;
Eseguire il discovery dei ruoli sulla base delle autorizza-
zioni presenti (Role Mining);
Definire delle matrici di rischio e fornire l’impatto di asse-
gnazioni in conflitto con tale matrice;
Innescare meccanismi automatici di change-request a
fronte di eventi su: utenti, account e applicazioni.
esempio Report di Accounts OrphanedContatti Per ulteriori informazioni sul come Net Studio può aiutarvi a risolvere le vostre problematiche di Identity and Access Governance Tel.: +39 0574 514180 E-mail: info@netstudio.it
Puoi anche leggere
