rischi, obblighi normativi e strategie di approccio - Aiea
rischi, obblighi normativi e strategie di approccio - Aiea
rischi, obblighi normativi e strategie di approccio - Aiea
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Il governo degli<br />
accessi logici: <strong>rischi</strong>,<br />
<strong>obblighi</strong> <strong>normativi</strong> e<br />
<strong>strategie</strong> <strong>di</strong> <strong>approccio</strong><br />
Roma, 25 Marzo 2013
Agenda<br />
■ Situazione <strong>di</strong> partenza: <strong>rischi</strong> e <strong>obblighi</strong><br />
<strong>normativi</strong><br />
■ I progetti “IAM”: risultati e questioni irrisolte<br />
■ Un nuovo <strong>approccio</strong>: il governo degli accessi<br />
■ Il Framework KPMG: 4 aree <strong>di</strong> intervento<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
1
Situazione <strong>di</strong> partenza: <strong>rischi</strong> e <strong>obblighi</strong> <strong>normativi</strong><br />
■ Le richieste <strong>di</strong> abilitazioni <strong>di</strong> accesso sono effettuate in maniera “destrutturata” (in forma<br />
testuale tramite mail, form custom, sistemi <strong>di</strong> ticketing, ecc.), non tracciata e vengono evase<br />
“clonando” autorizzazioni <strong>di</strong> altri utenti. Molto spesso viene in<strong>di</strong>cato, nella richiesta, l’“utente<br />
<strong>di</strong> riferimento” da cui copiare le abilitazioni<br />
■ Le abilitazioni <strong>di</strong> accesso aumentano sempre al variare degli incarichi delle persone<br />
Diritti <strong>di</strong> accesso “eccessivi” rispetto agli effettivi compiti aziendali<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
2
Situazione <strong>di</strong> partenza: <strong>rischi</strong> e <strong>obblighi</strong> <strong>normativi</strong><br />
■ Di solito, non esiste una visione unica delle identità e delle autorizzazioni rilasciate (“chi”<br />
fa “cosa”)<br />
■ Molto spesso non esiste un processo <strong>di</strong> verifica perio<strong>di</strong>ca delle abilitazioni anche perché i<br />
profili presenti sui sistemi non sono conosciuti e/o non parlanti e la verifica sarebbe<br />
<strong>di</strong>fficilmente attuabile da un responsabile gerarchico (utente finale)<br />
■ Non esiste, <strong>di</strong> solito, un modello <strong>di</strong> riferimento <strong>di</strong> “regole <strong>di</strong> accesso” con<strong>di</strong>vise (es.:<br />
mansioni, attività <strong>di</strong> business) e nemmeno un catalogo delle applicazioni e dei profili<br />
espresso in termini funzionali e ben documentato<br />
Non si può governare ciò che non si conosce!<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
3
Situazione <strong>di</strong> partenza: <strong>rischi</strong> e <strong>obblighi</strong> <strong>normativi</strong><br />
I Rischi sono evidenti:<br />
Tutti gli utenti hanno autorizzazioni “eccessive” rispetto alle proprie<br />
mansioni<br />
Rischio <strong>di</strong> fro<strong>di</strong> e<br />
violazioni<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
Rischio <strong>di</strong><br />
Compliance<br />
4
Situazione <strong>di</strong> partenza: <strong>rischi</strong> e <strong>obblighi</strong> <strong>normativi</strong><br />
E’ necessario quin<strong>di</strong>:<br />
■ Garantire che ciascun utente dei sistemi informativi <strong>di</strong>sponga, in ogni momento, <strong>di</strong> tutte e<br />
solo le abilitazioni <strong>di</strong> accesso necessarie a svolgere il proprio lavoro, riducendo il <strong>rischi</strong>o<br />
<strong>di</strong> utilizzo illecito delle applicazioni informatiche<br />
■ Rendere tracciabili le richieste <strong>di</strong> accesso in termini <strong>di</strong> chi e quando ha effettuato la richiesta,<br />
cosa è stato chiesto, chi ha approvato<br />
■ Rendere facilmente <strong>di</strong>sponibili/visibili le abilitazioni assegnate sull’intero parco applicativo<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
5
I progetti “IAM”: risultati e questioni irrisolte<br />
I progetti “IAM”, nati spesso sotto la spinta dei vendor software, con l’unico coinvolgimento<br />
dell’IT e con motivazioni tecnologiche e <strong>di</strong> ottimizzazione, erano così caratterizzati:<br />
■ Realizzazione <strong>di</strong> connettori verso i vari sistemi target<br />
■ La “promessa” <strong>di</strong> avere una visione centralizzata delle autorizzazioni rilasciate è stata<br />
<strong>di</strong>sattesa per la <strong>di</strong>fficoltà (ed il costo) <strong>di</strong> raggiungere tutti i sistemi target<br />
■ Poca attenzione ai processi ed alle responsabilità e, <strong>di</strong> conseguenza, assenza <strong>di</strong> un vero<br />
tracciamento delle richieste/autorizzazioni <strong>di</strong> abilitazioni<br />
■ Assenza <strong>di</strong> un modello <strong>di</strong> regole <strong>di</strong> accessi (basato, ad es., su mansioni e/o attività <strong>di</strong><br />
business) con<strong>di</strong>viso con gli utenti <strong>di</strong> business<br />
E quali sono stati i risultati percepiti dalle varie funzioni aziendali? ...<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
6
Survey europea<br />
KPMG-IAM<br />
(2008-2009)<br />
Obiettivi e partecipanti
Partecipanti<br />
235 partecipanti da organizzazioni <strong>di</strong> 21<br />
paesi europei<br />
Ampia rappresentanza <strong>di</strong> partecipanti, dai<br />
CIO ai Security Officers e Responsabili<br />
dell’Internal Au<strong>di</strong>t<br />
Partecipanti da organizzazioni <strong>di</strong> <strong>di</strong>fferenti<br />
<strong>di</strong>mensioni e settori merceologici<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
8
Stato attuale progetti IAM<br />
■ Tutti i partecipanti hanno iniziato uno o più progetti IAM negli ultimi 3 anni<br />
■ Due terzi circa dei partecipanti hanno un budget IAM “de<strong>di</strong>cato”<br />
■ Il settore finanziario <strong>di</strong>spone dei budget (e della sensibilità) più alti<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
9
Sod<strong>di</strong>sfazione ottenuta dai progetti IAM<br />
La metà dei progetti realizzati non ha ottenuto i risultati attesi<br />
C’è un evidente gap tra aspettative (spesso poco chiare) e risultati ottenuti<br />
La maggior parte delle organizzazioni non conosce i benefici <strong>di</strong> un progetto IAM<br />
Satisfaction with project outcome<br />
4%<br />
11%<br />
18% Very satisfied<br />
27%<br />
39%<br />
Somehow satisfied<br />
Neither satisfied nor <strong>di</strong>ssatisfied<br />
Somehow <strong>di</strong>ssatisfied<br />
Very <strong>di</strong>ssatisfied<br />
Una strategia chiara e degli obiettivi con<strong>di</strong>visi sono necessari<br />
per il successo <strong>di</strong> un progetto IAM<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
10
Cause <strong>di</strong> fallimento dei progetti IAM<br />
La sfida più grossa in un progetto IAM <strong>di</strong> successo non è costituita da fatti tecnologici<br />
La causa principale del fallimento dei progetti è il mancato coinvolgimento del Business<br />
100%<br />
90%<br />
80%<br />
70%<br />
60%<br />
50%<br />
40%<br />
30%<br />
20%<br />
10%<br />
0%<br />
Budget Business not<br />
ready<br />
Causes for project failures<br />
No solution for<br />
actual problem<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
Integration with<br />
existing IT<br />
Other<br />
11
Stato attuale progetti IAM<br />
Il 58% dei partecipanti è convinta della necessità <strong>di</strong> un <strong>approccio</strong> IAM a livello <strong>di</strong> “executive<br />
board”<br />
Nei progetti attuali la responsabilità è prevalentemente dell’IT<br />
Un fattore chiave per un progetto IAM <strong>di</strong> successo risiede nel giusto<br />
coinvolgimento <strong>di</strong> tutti gli attori necessari<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
12
Drivers & benefici attesi<br />
I drivers (ed i benefici attesi) più importanti sono Compliance e gestione del <strong>rischi</strong>o,<br />
specialmente nel settore finanziario<br />
100%<br />
90%<br />
80%<br />
70%<br />
60%<br />
50%<br />
40%<br />
30%<br />
20%<br />
10%<br />
0%<br />
Regulatory<br />
compliance<br />
Expected significant benefits<br />
Process<br />
improvements<br />
Cost<br />
containment<br />
Il contenimento dei costi è considerato un driver poco importante<br />
Migliorare la Compliance e ridurre il <strong>rischi</strong>o <strong>di</strong> fro<strong>di</strong>/violazioni sono i principali obiettivi<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
Risk<br />
management<br />
Competitive<br />
13
Gartner<br />
Earl Perkins - Improving IAM Value Through Identity and Access Intelligence Gartner Identity & Access<br />
Management Summit – 3/2011<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
14
Un nuovo <strong>approccio</strong>: il governo degli accessi<br />
Necessario un nuovo <strong>approccio</strong>:<br />
■ Definizione <strong>di</strong> un modello <strong>di</strong> profilazione orientato al Business e basato su “mestieri” o<br />
“attività <strong>di</strong> business” o, nel caso più semplice, su un Catalogo <strong>di</strong> applicazioni/profili<br />
espresso in termini funzionali e non tecnici<br />
■ Coinvolgimento <strong>di</strong> tutte le funzioni aziendali interessate<br />
■ Raggiungere tutte le applicazioni critiche superando la <strong>di</strong>fficoltà <strong>di</strong> realizzazione <strong>di</strong><br />
connettori<br />
In sostanza, il passo da fare è quello <strong>di</strong> avvicinare la sicurezza<br />
al (linguaggio del) business<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
15
Un nuovo <strong>approccio</strong>: il governo degli accessi<br />
■ Unico punto <strong>di</strong> emissione richieste<br />
■ Applicazioni “pubblicate” in<br />
modalità “business” (“attività,<br />
mestieri e non profili tecnici”)<br />
■ Visione complessiva delle<br />
autorizzazioni richieste e rilasciate<br />
(Reporting Unificato)<br />
■ Sincronizzazione tra abilitazioni<br />
richieste e sistemi target<br />
Fonti<br />
autoritative<br />
(HR, altre)<br />
Provisioning<br />
effettuato con<br />
gli attuali<br />
strumenti<br />
Gestione Unificata Richieste<br />
Accessi Logici<br />
(Single Point Of Control)<br />
DB centralizzato identità,<br />
autorizzazioni e richieste<br />
Sincronizzazione<br />
IAG-Sistemi Target<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
Sistemi<br />
Target<br />
Reporting<br />
Unificato<br />
?<br />
16
Il framework KPMG: 4 aree <strong>di</strong> intervento<br />
2<br />
3<br />
Processi <strong>di</strong> gestione degli accessi logici,<br />
implementazione workflow e sincronizzazione<br />
identità con fonti autoritative<br />
HR<br />
Utenti<br />
Interni<br />
Fonti<br />
autoritative<br />
Provisioning<br />
effettuato con<br />
gli attuali<br />
strumenti<br />
Utenti<br />
Esterni<br />
DB<br />
centralizzato<br />
identità ed<br />
autorizzazioni<br />
Workflow/Delega<br />
Gestione<br />
unificata<br />
richieste<br />
Sistemi<br />
Target<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
1<br />
Modello <strong>di</strong> profilazione<br />
e processi <strong>di</strong> gestione<br />
del modello<br />
4<br />
Catalogo<br />
Applicazioni<br />
e/o Business<br />
Activities<br />
Reporting<br />
Reporting<br />
e Au<strong>di</strong>ting<br />
17
1 Modello <strong>di</strong> profilazione<br />
2<br />
3<br />
Processi <strong>di</strong> gestione degli accessi logici,<br />
implementazione workflow e sincronizzazione<br />
identità con fonti autoritative<br />
HR<br />
Utenti<br />
Interni<br />
Fonti<br />
autoritative<br />
Provisioning<br />
effettuato con<br />
gli attuali<br />
strumenti<br />
Utenti<br />
Esterni<br />
DB<br />
centralizzato<br />
identità ed<br />
autorizzazioni<br />
Workflow/Delega<br />
Gestione<br />
unificata<br />
richieste<br />
Sistemi<br />
Target<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
1<br />
Modello <strong>di</strong> profilazione<br />
e processi <strong>di</strong> gestione<br />
del modello<br />
4<br />
Catalogo<br />
Applicazioni<br />
e/o Business<br />
Activities<br />
Reporting<br />
Reporting<br />
e Au<strong>di</strong>ting<br />
18
1 Modello <strong>di</strong> profilazione<br />
Unità Organizzativa<br />
Funzione<br />
Tipologia Utente<br />
Business Activities<br />
e/o “mestieri<br />
Mobile Number<br />
Portability<br />
(MNP)<br />
COP<br />
Dipendenti Outsourcer<br />
■ Operatore MNP<br />
(INHOUSE)<br />
■ Operatore CUP BU<br />
■ Operatore CUP CO<br />
■ Supervisor CUP<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
■ Operatore MNP Front End<br />
(Outsourcer)<br />
■ Operatore MNP Back Office (Outsourcer)<br />
■ Supervisor MNP Back Office (Outsourcer)<br />
■ Supervisor MNP Front End<br />
(Outsourcer)<br />
19
1 Modello <strong>di</strong> profilazione<br />
Business Activities Sistema Profilo Descrizione Profilo<br />
Operatore Base MNP<br />
(INHOUSE)<br />
Supervisor MNP<br />
(INHOUSE)<br />
ECC '0001 DCO/OT<br />
Advertising (PCS) 'RetentionMNP RETENTION MNP da CC<br />
ASAP 119 'COCS12 DCO/OT OPERATORE MNP<br />
CCRM '0022 TIM DCO/OT OPERATORE MNP<br />
CCRM-Web (PCS) 'TIM OPERATORE MNP OPERATORE MNP<br />
CRM-C - CONTIM COMMERCIALIZZAZIONE (PCS) 'C7 TIM OPERATORE<br />
DPPS 'M35 DCO/OT OPERATORI GOLD<br />
Entertainment - CREARE (PCS) 'MT.CO_OPERATORE_LOW MT.CO_OPERATORE_LOW<br />
IBIS CC - IBIS '0008 CO/MC-CS Operatore<br />
ISAP HOST - ISAP 'EQB CO/MC-CS OPERATORI<br />
MSP (PCS) 'TIMCT6!TIM CT.CO OPER MEDIUM TIM CT.CO OPER MEDIUM<br />
PEP (PCS) 'operco Operatore CO<br />
Portali Intranet Mobile - PORTALE TONICS (PCS) 'TIM_APPL_TONICS_PROFILO_OPER OC Territoriale Operatore<br />
SELFCARING-BMV (PCS) 'OperPlusCC Operatore Plus CC<br />
TIM-NT '0001 DIPENDENTI<br />
Advertising (PCS) 'RetentionMNP RETENTION MNP da CC<br />
MSP (PCS) 'TIMCT8!TIM CT.CO ASSISTENTE TIM CT.CO ASSISTENTE<br />
SELFCARING-BMV (PCS) 'OperPlusCC Operatore Plus CC<br />
SISTEMI GEOREFERENZIATI - SIT-CC '0011 DCO/OT SIT-CCRM<br />
CEM CO 'TIM_COP_OT_OPERATORE DCO/OT OPERATORE<br />
ECC '0001 DCO/OT<br />
ACCESSO REMOTO '0001 TIM DIPENDENTI (Template_Tim_Interno)<br />
CCRM '0021 TIM DCO/OT ASSISTENTE MNP<br />
CCRM-Web (PCS) 'TIM ASSISTENTE MNP ASSISTENTE MNP<br />
DPPS 'M35 DCO/OT OPERATORI GOLD<br />
DWH CCRM - DWH-CARING '0034 DCO_CS_VisCrePub<br />
GPRS '0001 TIM DIPENDENTI<br />
IBIS CC - IBIS '0008 CO/MC-CS Operatore<br />
INTERNET '0002 TIM<br />
ISAP HOST - ISAP 'EQB CO/MC-CS OPERATORI<br />
MSIA STORICO 'CBC CO/MC-CS & CO/CC-GC OPERATORE ORDINARIO -<br />
ALTRO<br />
MSP (PCS) 'TIMCT8!TIM CT.CO ASSISTENTE TIM CT.CO ASSISTENTE<br />
PEP (PCS) 'opercoplus Operatore CO Plus<br />
Portali Intranet Mobile - PORTALE TONICS (PCS) 'TIM_APPL_TONICS_PROFILO_OPER OC Territoriale Operatore<br />
SIACRTIM 'CBC CO/MC-CS & CO/CC-GC OPERATORE ORDINARIO -<br />
ALTRO<br />
TIM-NT '0001 DIPENDENTI<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
20
2 Gestione identità ed autorizzazioni<br />
2<br />
3<br />
Processi <strong>di</strong> gestione degli accessi logici,<br />
implementazione workflow e sincronizzazione<br />
identità con fonti autoritative<br />
HR<br />
Utenti<br />
Interni<br />
Fonti<br />
autoritative<br />
Provisioning<br />
effettuato con<br />
gli attuali<br />
strumenti<br />
Utenti<br />
Esterni<br />
DB<br />
centralizzato<br />
identità ed<br />
autorizzazioni<br />
Workflow/Delega<br />
Gestione<br />
unificata<br />
richieste<br />
Sistemi<br />
Target<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
1<br />
Modello <strong>di</strong> profilazione<br />
e processi <strong>di</strong> gestione<br />
del modello<br />
4<br />
Catalogo<br />
Applicazioni<br />
e/o Business<br />
Activities<br />
Reporting<br />
Reporting<br />
e Au<strong>di</strong>ting<br />
21
2 Gestione identità ed autorizzazioni<br />
Situazione attuale:<br />
richiesta non strutturata<br />
Utente<br />
Richiesta 1<br />
Richiesta 2<br />
Richiesta 3<br />
Come<br />
l’utente X<br />
Come<br />
l’utente Y<br />
Come<br />
l’utente Z<br />
Situazione con sistema IAG:<br />
richiesta guidata da “Bacheca IAG”<br />
Utente<br />
Richiesta 1<br />
Richiesta 2<br />
Richiesta 3<br />
Appl. 1<br />
Appl. 2<br />
Appl. 3<br />
Applicazione<br />
A<br />
Applicazione<br />
B<br />
Applicazione<br />
C<br />
Profilo <strong>di</strong><br />
Business 1<br />
Profilo <strong>di</strong><br />
Business 2<br />
Profilo <strong>di</strong><br />
Business 3<br />
Responsabile<br />
Gerarchico<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Owner Esercizio<br />
Abilitazione Profilo<br />
A1<br />
Abilitazione Profilo<br />
B2<br />
Abilitazione Profilo<br />
C1<br />
Abilitazione Profilo<br />
A1<br />
Abilitazione Profilo<br />
B2<br />
Abilitazione Profilo<br />
C1<br />
Provisioning<br />
automatico o<br />
manuale<br />
22
2 Gestione identità ed autorizzazioni<br />
Situazione attuale:<br />
richiesta per copia<br />
Utente<br />
Richiesta 1<br />
Richiesta 2<br />
Richiesta 3<br />
Come<br />
l’utente X<br />
Come<br />
l’utente Y<br />
Come<br />
l’utente Z<br />
Situazione con sistema IAG:<br />
richiesta guidata da “Bacheca IAG”<br />
Utente<br />
Richiesta 1<br />
Richiesta 2<br />
Richiesta 3<br />
Applicazione<br />
A<br />
Applicazione<br />
B<br />
Applicazione<br />
C<br />
Business<br />
Activity 1<br />
Business<br />
Activity 2<br />
Business<br />
Activity 3<br />
Responsabile<br />
Gerarchico<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Autorizzazione<br />
Owner Esercizio<br />
Abilitazione Profilo<br />
A1<br />
Abilitazione Profilo<br />
B2<br />
Abilitazione Profilo<br />
C1<br />
Abilitazione Profilo<br />
A1<br />
Abilitazione Profilo<br />
B2<br />
Abilitazione Profilo<br />
C1<br />
Provisioning<br />
automatico o<br />
manuale<br />
23
3 Estrazione dati da sistemi e riconciliazione con identità<br />
2<br />
3<br />
Processi <strong>di</strong> gestione degli accessi logici,<br />
implementazione workflow e sincronizzazione<br />
identità con fonti autoritative<br />
HR<br />
Utenti<br />
Interni<br />
Fonti<br />
autoritative<br />
Provisioning<br />
effettuato con<br />
gli attuali<br />
strumenti<br />
Utenti<br />
Esterni<br />
DB<br />
centralizzato<br />
identità ed<br />
autorizzazioni<br />
Workflow/Delega<br />
Gestione<br />
unificata<br />
richieste<br />
Sistemi<br />
Target<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
1<br />
Modello <strong>di</strong> profilazione<br />
e processi <strong>di</strong> gestione<br />
del modello<br />
4<br />
Catalogo<br />
Applicazioni<br />
e/o Business<br />
Activities<br />
Reporting<br />
Reporting<br />
e Au<strong>di</strong>ting<br />
24
3 Estrazione dati da sistemi e riconciliazione con identità<br />
■ Non più connettori in scrittura verso le applicazioni aziendali ma estrazioni perio<strong>di</strong>che degli<br />
account/profili dai sistemi e “aggancio” con i dati delle identità. Il prodotto <strong>di</strong> governo degli<br />
accessi dovrà essere in grado <strong>di</strong> “ricompattare” le abilitazioni estratte nelle “Business<br />
Activities” e/o “mestieri” definiti ed assegnati.<br />
■ La possibilità <strong>di</strong> “limitarsi” ad importare i <strong>di</strong>ritti <strong>di</strong> accesso nel sistema IAG riduce molto i tempi<br />
<strong>di</strong> progetto e rende <strong>di</strong>sponibile una “visione centralizzata” delle abilitazioni in un tempo<br />
“sostenibile”.<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
25
4 Reporting e Au<strong>di</strong>ting<br />
2<br />
3<br />
Processi <strong>di</strong> gestione degli accessi logici,<br />
implementazione workflow e sincronizzazione<br />
identità con fonti autoritative<br />
HR<br />
Utenti<br />
Interni<br />
Fonti<br />
autoritative<br />
Provisioning<br />
effettuato con<br />
gli attuali<br />
strumenti<br />
Utenti<br />
Esterni<br />
DB<br />
centralizzato<br />
identità ed<br />
autorizzazioni<br />
Workflow/Delega<br />
Gestione<br />
unificata<br />
richieste<br />
Sistemi<br />
Target<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
1<br />
Modello <strong>di</strong> profilazione<br />
e processi <strong>di</strong> gestione<br />
del modello<br />
4<br />
Catalogo<br />
Applicazioni<br />
e/o Business<br />
Activities<br />
Reporting<br />
Reporting<br />
e Au<strong>di</strong>ting<br />
26
4 Reporting e Au<strong>di</strong>ting<br />
E’ l’insieme delle attività automatiche e manuali volte a verificare la correttezza delle<br />
abilitazioni rilasciate<br />
■ Verifica perio<strong>di</strong>ca delle regole <strong>di</strong> profilazione in base al modello delle mansioni e/o delle<br />
attività <strong>di</strong> business definite<br />
■ Verifica perio<strong>di</strong>ca delle abilitazioni assegnate “a livello concettuale” delle BA e/o a livello<br />
<strong>di</strong> singole abilitazioni<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
27
4 Reporting e Au<strong>di</strong>ting<br />
Revisione perio<strong>di</strong>ca delle utenze (esempio)<br />
Report con singoli profili<br />
Report Account/Profilo/Applicazione x Utente<br />
Nome Cognome Account Profilo Applicazione<br />
Mario Rossi Mrossi Profilo A Applicazione 1<br />
Mario Rossi Mrossi Profilo B Applicazione 2<br />
Mario Rossi Mario.Rossi Profilo C Applicazione 3<br />
Mario Rossi Mrossi Profilo D Applicazione 4<br />
Carlo Bianchi CBianchi Profilo A Applicazione 1<br />
Carlo Bianchi CBianchi Profilo C Applicazione 2<br />
Carlo Bianchi Carlo.B Profllo Z Applicazione 3<br />
Carlo Bianchi C.Bianchi Profilo Y Applicazione N<br />
… … … … …<br />
© 2013 KPMG Advisory S.p.A. è una società per azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong> entità in<strong>di</strong>pendenti affiliate a KPMG<br />
International Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
Ruolo 1<br />
Ruolo 2<br />
Report con aggregazioni <strong>di</strong><br />
profili (Business Activities e/o<br />
mestieri)<br />
Report Identità/BA<br />
Identità BA<br />
Mario Rossi<br />
Help desk<br />
ATM<br />
Carlo Bianchi Supervisor<br />
… …<br />
+<br />
Abilitazioni “ad personam”<br />
Account Profilo Applicazione<br />
C.Bianchi Profilo Y Applicazione N<br />
… … …<br />
28
Grazie<br />
Contatti<br />
Saverio Celano<br />
Senior Manager, Information Risk Management<br />
KPMG Advisory S.p.A.<br />
M: +39 340 9049639<br />
E: scelano@kpmg.it<br />
www.kpmg.it
© 2013 KPMG Advisory S.p.A. è una società per<br />
azioni <strong>di</strong> <strong>di</strong>ritto italiano e fa parte del network KPMG <strong>di</strong><br />
entità in<strong>di</strong>pendenti affiliate a KPMG International<br />
Cooperative ("KPMG International"), entità <strong>di</strong> <strong>di</strong>ritto<br />
svizzero. Tutti i <strong>di</strong>ritti riservati.<br />
Denominazione e logo KPMG e "cutting through<br />
complexity" sono marchi e segni <strong>di</strong>stintivi <strong>di</strong> KPMG<br />
International.