rischi, obblighi normativi e strategie di approccio - Aiea

Il governo degli 

accessi logici: rischi, 

obblighi normativi e 

strategie di approccio 

Roma, 25 Marzo 2013

Agenda 

■ Situazione di partenza: rischi e obblighi 

normativi 

■ I progetti “IAM”: risultati e questioni irrisolte 

■ Un nuovo approccio: il governo degli accessi 

■ Il Framework KPMG: 4 aree di intervento 

© 2013 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG 

International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati. 

1

Situazione di partenza: rischi e obblighi normativi 

■ Le richieste di abilitazioni di accesso sono effettuate in maniera “destrutturata” (in forma 

testuale tramite mail, form custom, sistemi di ticketing, ecc.), non tracciata e vengono evase 

“clonando” autorizzazioni di altri utenti. Molto spesso viene indicato, nella richiesta, l’“utente 

di riferimento” da cui copiare le abilitazioni 

■ Le abilitazioni di accesso aumentano sempre al variare degli incarichi delle persone 

Diritti di accesso “eccessivi” rispetto agli effettivi compiti aziendali 



2


■ Di solito, non esiste una visione unica delle identità e delle autorizzazioni rilasciate (“chi” 

fa “cosa”) 

■ Molto spesso non esiste un processo di verifica periodica delle abilitazioni anche perché i 

profili presenti sui sistemi non sono conosciuti e/o non parlanti e la verifica sarebbe 

difficilmente attuabile da un responsabile gerarchico (utente finale) 

■ Non esiste, di solito, un modello di riferimento di “regole di accesso” condivise (es.: 

mansioni, attività di business) e nemmeno un catalogo delle applicazioni e dei profili 

espresso in termini funzionali e ben documentato 

Non si può governare ciò che non si conosce! 



3


I Rischi sono evidenti: 

Tutti gli utenti hanno autorizzazioni “eccessive” rispetto alle proprie 

mansioni 

Rischio di frodi e 

violazioni 



Rischio di 

Compliance 

4


E’ necessario quindi: 

■ Garantire che ciascun utente dei sistemi informativi disponga, in ogni momento, di tutte e 

solo le abilitazioni di accesso necessarie a svolgere il proprio lavoro, riducendo il rischio 

di utilizzo illecito delle applicazioni informatiche 

■ Rendere tracciabili le richieste di accesso in termini di chi e quando ha effettuato la richiesta, 

cosa è stato chiesto, chi ha approvato 

■ Rendere facilmente disponibili/visibili le abilitazioni assegnate sull’intero parco applicativo 



5

I progetti “IAM”: risultati e questioni irrisolte 

I progetti “IAM”, nati spesso sotto la spinta dei vendor software, con l’unico coinvolgimento 

dell’IT e con motivazioni tecnologiche e di ottimizzazione, erano così caratterizzati: 

■ Realizzazione di connettori verso i vari sistemi target 

■ La “promessa” di avere una visione centralizzata delle autorizzazioni rilasciate è stata 

disattesa per la difficoltà (ed il costo) di raggiungere tutti i sistemi target 

■ Poca attenzione ai processi ed alle responsabilità e, di conseguenza, assenza di un vero 

tracciamento delle richieste/autorizzazioni di abilitazioni 

■ Assenza di un modello di regole di accessi (basato, ad es., su mansioni e/o attività di 

business) condiviso con gli utenti di business 

E quali sono stati i risultati percepiti dalle varie funzioni aziendali? ... 



6

Survey europea 

KPMG-IAM 

(2008-2009) 

Obiettivi e partecipanti

Partecipanti 

235 partecipanti da organizzazioni di 21 

paesi europei 

Ampia rappresentanza di partecipanti, dai 

CIO ai Security Officers e Responsabili 

dell’Internal Audit 

Partecipanti da organizzazioni di differenti 

dimensioni e settori merceologici 



8

Stato attuale progetti IAM 

■ Tutti i partecipanti hanno iniziato uno o più progetti IAM negli ultimi 3 anni 

■ Due terzi circa dei partecipanti hanno un budget IAM “dedicato” 

■ Il settore finanziario dispone dei budget (e della sensibilità) più alti 



9

Soddisfazione ottenuta dai progetti IAM 

La metà dei progetti realizzati non ha ottenuto i risultati attesi 

C’è un evidente gap tra aspettative (spesso poco chiare) e risultati ottenuti 

La maggior parte delle organizzazioni non conosce i benefici di un progetto IAM 

Satisfaction with project outcome 

4% 

11% 

18% Very satisfied 

27% 

39% 

Somehow satisfied 

Neither satisfied nor dissatisfied 

Somehow dissatisfied 

Very dissatisfied 

Una strategia chiara e degli obiettivi condivisi sono necessari 

per il successo di un progetto IAM 



10

Cause di fallimento dei progetti IAM 

La sfida più grossa in un progetto IAM di successo non è costituita da fatti tecnologici 

La causa principale del fallimento dei progetti è il mancato coinvolgimento del Business 

100% 

90% 

80% 

70% 

60% 

50% 

40% 

30% 

20% 

10% 

0% 

Budget Business not 

ready 

Causes for project failures 

No solution for 

actual problem 



Integration with 

existing IT 

Other 

11

Stato attuale progetti IAM 

Il 58% dei partecipanti è convinta della necessità di un approccio IAM a livello di “executive 

board” 

Nei progetti attuali la responsabilità è prevalentemente dell’IT 

Un fattore chiave per un progetto IAM di successo risiede nel giusto 

coinvolgimento di tutti gli attori necessari 



12

Drivers & benefici attesi 

I drivers (ed i benefici attesi) più importanti sono Compliance e gestione del rischio, 

specialmente nel settore finanziario 

100% 

90% 

80% 

70% 

60% 

50% 

40% 

30% 

20% 

10% 

0% 

Regulatory 

compliance 

Expected significant benefits 

Process 

improvements 

Cost 

containment 

Il contenimento dei costi è considerato un driver poco importante 

Migliorare la Compliance e ridurre il rischio di frodi/violazioni sono i principali obiettivi 



Risk 

management 

Competitive 

13

Gartner 

Earl Perkins - Improving IAM Value Through Identity and Access Intelligence Gartner Identity & Access 

Management Summit – 3/2011 



14

Un nuovo approccio: il governo degli accessi 

Necessario un nuovo approccio: 

■ Definizione di un modello di profilazione orientato al Business e basato su “mestieri” o 

“attività di business” o, nel caso più semplice, su un Catalogo di applicazioni/profili 

espresso in termini funzionali e non tecnici 

■ Coinvolgimento di tutte le funzioni aziendali interessate 

■ Raggiungere tutte le applicazioni critiche superando la difficoltà di realizzazione di 

connettori 

In sostanza, il passo da fare è quello di avvicinare la sicurezza 

al (linguaggio del) business 



15

Un nuovo approccio: il governo degli accessi 

■ Unico punto di emissione richieste 

■ Applicazioni “pubblicate” in 

modalità “business” (“attività, 

mestieri e non profili tecnici”) 

■ Visione complessiva delle 

autorizzazioni richieste e rilasciate 

(Reporting Unificato) 

■ Sincronizzazione tra abilitazioni 

richieste e sistemi target 

Fonti 

autoritative 

(HR, altre) 

Provisioning 

effettuato con 

gli attuali 

strumenti 

Gestione Unificata Richieste 

Accessi Logici 

(Single Point Of Control) 

DB centralizzato identità, 

autorizzazioni e richieste 

Sincronizzazione 

IAG-Sistemi Target 



Sistemi 

Target 

Reporting 

Unificato 

? 

16

Il framework KPMG: 4 aree di intervento 

2 

3 

Processi di gestione degli accessi logici, 

implementazione workflow e sincronizzazione 

identità con fonti autoritative 

HR 

Utenti 

Interni 

Fonti 

autoritative 

Provisioning 


gli attuali 

strumenti 

Utenti 

Esterni 

DB 

centralizzato 

identità ed 

autorizzazioni 

Workflow/Delega 

Gestione 

unificata 

richieste 

Sistemi 

Target 



1 

Modello di profilazione 

e processi di gestione 

del modello 

4 

Catalogo 

Applicazioni 

e/o Business 

Activities 

Reporting 

Reporting 

e Auditing 

17

1 Modello di profilazione 

2 

3 




HR 

Utenti 

Interni 

Fonti 

autoritative 

Provisioning 


gli attuali 

strumenti 

Utenti 

Esterni 

DB 

centralizzato 

identità ed 



Gestione 

unificata 

richieste 

Sistemi 

Target 



1 



del modello 

4 

Catalogo 

Applicazioni 

e/o Business 

Activities 

Reporting 

Reporting 


18


Unità Organizzativa 

Funzione 

Tipologia Utente 

Business Activities 

e/o “mestieri 

Mobile Number 

Portability 

(MNP) 

COP 

Dipendenti Outsourcer 

■ Operatore MNP 

(INHOUSE) 

■ Operatore CUP BU 

■ Operatore CUP CO 

■ Supervisor CUP 



■ Operatore MNP Front End 

(Outsourcer) 

■ Operatore MNP Back Office (Outsourcer) 

■ Supervisor MNP Back Office (Outsourcer) 

■ Supervisor MNP Front End 

(Outsourcer) 

19


Business Activities Sistema Profilo Descrizione Profilo 

Operatore Base MNP 

(INHOUSE) 

Supervisor MNP 

(INHOUSE) 

ECC '0001 DCO/OT 

Advertising (PCS) 'RetentionMNP RETENTION MNP da CC 

ASAP 119 'COCS12 DCO/OT OPERATORE MNP 

CCRM '0022 TIM DCO/OT OPERATORE MNP 

CCRM-Web (PCS) 'TIM OPERATORE MNP OPERATORE MNP 

CRM-C - CONTIM COMMERCIALIZZAZIONE (PCS) 'C7 TIM OPERATORE 

DPPS 'M35 DCO/OT OPERATORI GOLD 

Entertainment - CREARE (PCS) 'MT.CO_OPERATORE_LOW MT.CO_OPERATORE_LOW 

IBIS CC - IBIS '0008 CO/MC-CS Operatore 

ISAP HOST - ISAP 'EQB CO/MC-CS OPERATORI 

MSP (PCS) 'TIMCT6!TIM CT.CO OPER MEDIUM TIM CT.CO OPER MEDIUM 

PEP (PCS) 'operco Operatore CO 

Portali Intranet Mobile - PORTALE TONICS (PCS) 'TIM_APPL_TONICS_PROFILO_OPER OC Territoriale Operatore 

SELFCARING-BMV (PCS) 'OperPlusCC Operatore Plus CC 

TIM-NT '0001 DIPENDENTI 

Advertising (PCS) 'RetentionMNP RETENTION MNP da CC 

MSP (PCS) 'TIMCT8!TIM CT.CO ASSISTENTE TIM CT.CO ASSISTENTE 

SELFCARING-BMV (PCS) 'OperPlusCC Operatore Plus CC 

SISTEMI GEOREFERENZIATI - SIT-CC '0011 DCO/OT SIT-CCRM 

CEM CO 'TIM_COP_OT_OPERATORE DCO/OT OPERATORE 

ECC '0001 DCO/OT 

ACCESSO REMOTO '0001 TIM DIPENDENTI (Template_Tim_Interno) 

CCRM '0021 TIM DCO/OT ASSISTENTE MNP 

CCRM-Web (PCS) 'TIM ASSISTENTE MNP ASSISTENTE MNP 

DPPS 'M35 DCO/OT OPERATORI GOLD 

DWH CCRM - DWH-CARING '0034 DCO_CS_VisCrePub 

GPRS '0001 TIM DIPENDENTI 

IBIS CC - IBIS '0008 CO/MC-CS Operatore 

INTERNET '0002 TIM 

ISAP HOST - ISAP 'EQB CO/MC-CS OPERATORI 

MSIA STORICO 'CBC CO/MC-CS & CO/CC-GC OPERATORE ORDINARIO - 

ALTRO 

MSP (PCS) 'TIMCT8!TIM CT.CO ASSISTENTE TIM CT.CO ASSISTENTE 

PEP (PCS) 'opercoplus Operatore CO Plus 

Portali Intranet Mobile - PORTALE TONICS (PCS) 'TIM_APPL_TONICS_PROFILO_OPER OC Territoriale Operatore 

SIACRTIM 'CBC CO/MC-CS & CO/CC-GC OPERATORE ORDINARIO - 

ALTRO 

TIM-NT '0001 DIPENDENTI 



20

2 Gestione identità ed autorizzazioni 

2 

3 




HR 

Utenti 

Interni 

Fonti 

autoritative 

Provisioning 


gli attuali 

strumenti 

Utenti 

Esterni 

DB 

centralizzato 

identità ed 



Gestione 

unificata 

richieste 

Sistemi 

Target 



1 



del modello 

4 

Catalogo 

Applicazioni 

e/o Business 

Activities 

Reporting 

Reporting 


21


Situazione attuale: 

richiesta non strutturata 

Utente 

Richiesta 1 

Richiesta 2 

Richiesta 3 

Come 

l’utente X 

Come 

l’utente Y 

Come 

l’utente Z 

Situazione con sistema IAG: 

richiesta guidata da “Bacheca IAG” 

Utente 

Richiesta 1 

Richiesta 2 

Richiesta 3 

Appl. 1 

Appl. 2 

Appl. 3 

Applicazione 

A 

Applicazione 

B 

Applicazione 

C 

Profilo di 

Business 1 


Business 2 


Business 3 

Responsabile 

Gerarchico 

Autorizzazione 














Owner Esercizio 

Abilitazione Profilo 

A1 


B2 


C1 


A1 


B2 


C1 

Provisioning 

automatico o 

manuale 

22


Situazione attuale: 

richiesta per copia 

Utente 

Richiesta 1 

Richiesta 2 

Richiesta 3 

Come 

l’utente X 

Come 

l’utente Y 

Come 

l’utente Z 

Situazione con sistema IAG: 

richiesta guidata da “Bacheca IAG” 

Utente 

Richiesta 1 

Richiesta 2 

Richiesta 3 

Applicazione 

A 

Applicazione 

B 

Applicazione 

C 

Business 

Activity 1 

Business 

Activity 2 

Business 

Activity 3 

Responsabile 

Gerarchico 















Owner Esercizio 


A1 


B2 


C1 


A1 


B2 


C1 

Provisioning 

automatico o 

manuale 

23

3 Estrazione dati da sistemi e riconciliazione con identità 

2 

3 




HR 

Utenti 

Interni 

Fonti 

autoritative 

Provisioning 


gli attuali 

strumenti 

Utenti 

Esterni 

DB 

centralizzato 

identità ed 



Gestione 

unificata 

richieste 

Sistemi 

Target 



1 



del modello 

4 

Catalogo 

Applicazioni 

e/o Business 

Activities 

Reporting 

Reporting 


24

3 Estrazione dati da sistemi e riconciliazione con identità 

■ Non più connettori in scrittura verso le applicazioni aziendali ma estrazioni periodiche degli 

account/profili dai sistemi e “aggancio” con i dati delle identità. Il prodotto di governo degli 

accessi dovrà essere in grado di “ricompattare” le abilitazioni estratte nelle “Business 

Activities” e/o “mestieri” definiti ed assegnati. 

■ La possibilità di “limitarsi” ad importare i diritti di accesso nel sistema IAG riduce molto i tempi 

di progetto e rende disponibile una “visione centralizzata” delle abilitazioni in un tempo 

“sostenibile”. 



25

4 Reporting e Auditing 

2 

3 




HR 

Utenti 

Interni 

Fonti 

autoritative 

Provisioning 


gli attuali 

strumenti 

Utenti 

Esterni 

DB 

centralizzato 

identità ed 



Gestione 

unificata 

richieste 

Sistemi 

Target 



1 



del modello 

4 

Catalogo 

Applicazioni 

e/o Business 

Activities 

Reporting 

Reporting 


26


E’ l’insieme delle attività automatiche e manuali volte a verificare la correttezza delle 

abilitazioni rilasciate 

■ Verifica periodica delle regole di profilazione in base al modello delle mansioni e/o delle 

attività di business definite 

■ Verifica periodica delle abilitazioni assegnate “a livello concettuale” delle BA e/o a livello 

di singole abilitazioni 



27


Revisione periodica delle utenze (esempio) 

Report con singoli profili 

Report Account/Profilo/Applicazione x Utente 

Nome Cognome Account Profilo Applicazione 

Mario Rossi Mrossi Profilo A Applicazione 1 

Mario Rossi Mrossi Profilo B Applicazione 2 

Mario Rossi Mario.Rossi Profilo C Applicazione 3 

Mario Rossi Mrossi Profilo D Applicazione 4 

Carlo Bianchi CBianchi Profilo A Applicazione 1 

Carlo Bianchi CBianchi Profilo C Applicazione 2 

Carlo Bianchi Carlo.B Profllo Z Applicazione 3 

Carlo Bianchi C.Bianchi Profilo Y Applicazione N 

… … … … … 



Ruolo 1 

Ruolo 2 

Report con aggregazioni di 

profili (Business Activities e/o 

mestieri) 

Report Identità/BA 

Identità BA 

Mario Rossi 

Help desk 

ATM 

Carlo Bianchi Supervisor 

… … 

+ 

Abilitazioni “ad personam” 

Account Profilo Applicazione 

C.Bianchi Profilo Y Applicazione N 

… … … 

28

Grazie 

Contatti 

Saverio Celano 

Senior Manager, Information Risk Management 

KPMG Advisory S.p.A. 

M: +39 340 9049639 

E: scelano@kpmg.it 

www.kpmg.it

© 2013 KPMG Advisory S.p.A. è una società per 

azioni di diritto italiano e fa parte del network KPMG di 

entità indipendenti affiliate a KPMG International 

Cooperative ("KPMG International"), entità di diritto 

svizzero. Tutti i diritti riservati. 

Denominazione e logo KPMG e "cutting through 

complexity" sono marchi e segni distintivi di KPMG 

International.

rischi, obblighi normativi e strategie di approccio - Aiea

Create successful ePaper yourself

Delete template?

Save as template?