Per un'azienda, è importante fornire ai nuovi dipendenti l'accesso IT, rendendo più veloce e pulita la "cancellazione" digitale quando qualcuno si licenzia e stando sempre al passo con i cambiamenti dei diritti di accesso.
Ma l'identity e l'access management (IAM) possono rappresentare un lavoro a
tempo pieno per i professionisti della sicurezza?
Secondo Robert
Whiteley, analista di Forrester Research, la domanda degli utenti di tool per
la gestione dell'identità e degli accessi è molto alta e questo ha fatto
nascere una pletora di nuovi prodotti proposti a prezzi competitivi.
L'incerta situazione economica ha favorito la crescita di tale domanda, ha
sostenuto l'analista Andras Cser, esperto di IAM e di provisioning degli account
utente presso la società di consulenza Forrester. I dipendenti più “nervosi”
sono tentati di estrarre, rubare o distruggere dati critici, ha scritto Cser in
una recente relazione.
Inoltre, con l'aumentare dei licenziamenti, sempre più aziende si rivolgono a
lavoratori temporanei e al software as a service (SaaS) per la manutenzione e
il supporto di applicazioni. Entrambe le tattiche fanno risparmiare denaro, ma possono
portare un aumento dei rischi. Se da una parte i lavoratori temporanei hanno
meno probabilità di fare un uso improprio dei dati, dall'altra, avverte Cser, “il provisioning, la modifica e la cancellazione
di utenti nella applicazioni SaaS avviene spesso manualmente, comportando ritardi
ed errori” e aumentando il rischio di violazioni delle informazioni.
In realtà, nella fase di recessione il danno potenziale (in notorietà e monetario)
causato da una violazione dei dati ha contribuito a far crescere i budget destinati
alla sicurezza.
In un suo report, Forrester ha evidenziato che la sicurezza ha aumentato
il suo peso percentuale nella spesa IT nel 2008 e prevede che tale percentuale
incrementerà ulteriormente nel 2009. Inoltre, Forrester ha inoltre detto che
molte grandi organizzazioni di sicurezza IT stanno creando report, sia direttamente
sia tramite terze parti, relativi a servizi al di fuori della stessa IT, con lo
scopo di elevare l'attenzione per la sicurezza all'interno di tutte le attività
aziendali.
Gestire gli account in una società in
crescita
Per diverse aziende, la necessità di automatizzare l'identity
management è stata determinata non solo da un elevato turnover, ma anche dalla
rapida crescita. Per esempio, la società americana Brookdale, quotata in borsa e tra i più grandi fornitori di servizi per
anziani degli Stati Uniti, attraverso tre grandi acquisizioni è
passata dal fatturato di circa 300 milioni di dollari registrato nel 2005 ai quasi
3 miliardi di dollari del 2008. Il suo budget IT ammonta però solo a un modesto
1,1% delle revenue.
L'IT si può dover trovare a gestire anche 50 transazioni al giorno
correlate all'IAM, in cui ogni richiesta necessita di prestare attenzione a
molteplici applicazioni e sistemi. Per essere completate, se vengono eseguite manualmente
tali transazioni possono anche richiedere giorni.
“Avere un nuovo assunto che deve
aspettare tre, quattro e, in alcuni casi, anche cinque giorni per accedere al
sistema e iniziare a fare il suo lavoro non è certo un ottimo servizio”, ha
sottolineato Scott Ranson, CIO della società.
Dopo l'implementazione della soluzione IAM di Courion, i tempi di gestione delle
richieste IAM sono scesi a meno di 24 ore per le applicazioni più critiche, ha precisato
Ranson. Il software notifica
di notte le nuove assunzioni e quindi effettua il provisioning. Le cessazioni
avvengono immediatamente.
Avere il consenso degli uomini di
business con lo IAM
I punto cruciale per ottenere tutti questi vantaggi? “Bisogna
affrontare un'enorme mole di lavoro al fine di avere le giuste regole per poter
iniziare la programmazione”, ha detto Ranson.
Infatti, quando gli è stato chiesto quanto è stato difficile ottenere il
prodotto Courion installato e funzionante, Ranson lo ha paragonato a un
telecomando universale: “Se sai cosa stai
facendo, non è difficile. Se non sai cosa stai facendo, è quasi impossibile”.
Un ingrediente fondamentale è avere l'approvazione del business, ha
sottolineato Ranson. Questo tipo di implementazione ha richiesto uno sforzo di
gruppo, perché ha obbligato il team di sicurezza, i responsabili dei processi
di business e la Courion
a sedersi tutti assieme attorno a un tavolo a mappare tutti i ruoli e le
autorizzazioni per le circa 700 posizioni impiegatizie di Brookdale. E solamente questa
attività ha richiesto sei mesi di lavoro.
