identity e role management

Upload: paolozza

Post on 20-Feb-2018

221 views

Category:

Documents


0 download

TRANSCRIPT

  • 7/24/2019 Identity e Role Management

    1/76

    Identity & Role Management

    Know yourself: Come fatta la mia azienda? Come posso

    semplificare la governance e garantire la compliance?

    Angelo Colesanto ZEROPIU Spa

    Senior Security Architect

    CLUSIT 2011

    Identity & Role Management- Angelo Colesanto

  • 7/24/2019 Identity e Role Management

    2/76

    Agenda Introduzione

    role (definizioni, modelli e benefici) data mining

    role + data mining = role mining

    coffee break

    riferimenti normativi

    Attestation, Compliance Policy e Remediation

    benefici principali nell'uso di prodotti di "Role

    Management"

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 2

  • 7/24/2019 Identity e Role Management

    3/76

    Il patrimonio organizzativo delle Aziende spesso frutto di lunghi e laboriosi processi di ottimizzazione per

    la definizione di ruoli e responsabilit. Non sempre, per, possibile ottimizzare e gestire ruoli e risorse a

    causa della difficile e talvolta impossibile governabilit di tale processo.

    Nel corso degli anni le Aziende, con laiuto di Societ di consulenza, hanno tentato attraverso attivit di

    assessment di rilevare la realt aziendale, con lo scopo di ottimizzarla per poi promuoverla a modello di

    riferimento. Tale attivit ha mostrato, per, una sua complessit intrinseca che porta i tempi di analisi ad

    essere spesso incompatibili con la velocit con cui le Aziende si evolvono e si ristrutturano, vanificando gli

    sforzi profusi per le attivit di analisi i cui risultati dovevano continuamente essere rivisti in seguito ai

    cambiamenti avvenuti.

    Molte Aziende hanno provato ad affrontare il problema con lausilio di strumenti di Provisioning ed Identity

    Management che da una parte hanno assicurato benefici legati alla corretta gestione della identit digitali

    rendendo i processi pi strutturati e controllabili, ma il risultato atteso per quanto riguarda la gestione di ruoli

    e responsabilit stato spesso al di sotto delle aspettative.

    Il management necessita sempre pi di strumenti e processi in grado di dare maggiore visibilit sulle

    abilitazioni delle utenze, consentendo attivit di verifica e assicurando la conoscenza della propria realttecnico/organizzativa. Solo in questo modo diventa possibile avere processi di certificazione e reportistica in

    grado di garantire il rispetto di norme e regole di compliance, e di ridurre i rischi legati allutilizzo improprio

    di risorse aziendali.

    I nuovi strumenti resi disponibili dallevoluzione tecnologica aprono nuove prospettive per risolvere in modo

    efficace le problematiche sopra esposte.

    Abstract

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 3

  • 7/24/2019 Identity e Role Management

    4/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 4

    La produzione di Report stata lunga e faticosa,ma ce labbiamo fatta

    Ho chiesto di avere dei reportche mi consentano di avre ilcontrollo della situazione, ma

    sono incomprensibili.Come posso certificarli?

    Reports

  • 7/24/2019 Identity e Role Management

    5/76

    La voce degli analisti

    Enterprise role management, role mining, and access

    recertification help enterprises with maintaining

    segregation of duties, keeping up with regulatory

    compliance requirements, and automating role based

    provisioning to enterprise applications - even through

    difficult economic times.

    Andras Cser - Forrester 2009

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 5

  • 7/24/2019 Identity e Role Management

    6/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 6

    BUSINESS:

    -consumer

    -partner-applicationREGULATIONS:

    -certification

    -SoD

    -Least Privilege

    RISK:

    -Identity Theft

    - hackers

    -fraud

    -terror

    BUDGET:

    -resources

    -staff

    COST

    CUTTING

    (economic

    climate):

    -Temporary

    workers-Terminated

    employee

    -reorganization

    -rationalization

    Le sfide

  • 7/24/2019 Identity e Role Management

    7/76

    Business Drivers

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 7

    Omologazione e semplificazione del processodi gestione delle identit

    Adesione ai requisiti normativi pi esigenti:SOX, D.lgs. 196/2003, L.262/2005,

    Agevolazione dei processi di Audit eGovernance/Risk/Compliace (GRC)

    Adesione a standard di modelli e frameworkorganizzativi: ITIL v3 (RACI), ISO/IEC27000, COSO, COBIT,

  • 7/24/2019 Identity e Role Management

    8/76

    Business Objectives

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 8

    Migliorare la strutturazione dei sistemi, a beneficio diprocessi di gestione ed integrazione pi veloci edeconomici

    Ottimizzare i costi pertinenti la gestione delle

    identit, delle abilitazioni e delle applicazioni

    Garantire processi di controllo e certificazione ingrado di garantire la consapevolezza del certificatore

    Ridurre tempi e costi delle procedure di certificazione

  • 7/24/2019 Identity e Role Management

    9/76

    Agenda Introduzione

    role (definizioni, modelli e benefici) data mining

    role + data mining = role mining

    (caratterizzazione della "distanza" ed

    applicazioni pratiche)

    coffee break

    riferimenti normativi

    Attestation, Compliance Policy e Remediation

    benefici principali nell'uso di prodotti di "Role

    Management"

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 9

  • 7/24/2019 Identity e Role Management

    10/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 10

    Limportanza del Ruolo

  • 7/24/2019 Identity e Role Management

    11/76

    RBAC (Role Based Access Control):

    Nasce nel 1996, ma viene ratificato come standard NIST nel 2000 a cura di

    Sandhu, Ferraiolo e Kuhn

    Elementi Core(1):

    S (Subject) = La persona o il sistema

    R (Role) = funzione o titolo che definisce un livello autorizzativo

    P (Permissions) = labilitazione di accesso ad una risorsa

    S R

    R R

    Policy(R,P)

    Modelli logici basati su Ruoli

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 11

    (1) Elementi del modello semplificato. Per I riferimenti completi si veda http://csrc.nist.gov/rbac/sandhu-ferraiolo-kuhn-00.pdf

    Subject RolePermis

    sion

  • 7/24/2019 Identity e Role Management

    12/76

    ABAC (Attribute Based Access Control)

    Modello presentato per la prima volta da Yuan eTong all IEEE International Conference(ICW05) nel luglio 2007.

    Gestisce attributi(1) dei seguenti elementi:

    S (Subject) = La persona o il sistema

    R (Resource) = La risorsa del sistema

    E (Environment) = Il contesto

    Policy (S,R,E)

    Nota

    Se per il subjectsi considerano validi i soli attributi di tipo ruolo,il modello sovrapponibile ad RBAC, con in pi la flessibilitdegli elementi di Environment.

    Modelli logici basati su Ruoli

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 12

    (1) Elementi del modello semplificato. Per i riferimenti completi si veda E. Yuan and J. Tong. Attributed Based Access Control(ABAC) for Web Services. In Proc. IEEE International Conference on Web Services (ICW05), 2005.7.

  • 7/24/2019 Identity e Role Management

    13/76

    ZBAC (AuthoriZation Based AccessControl)

    Il futuro?

    ZBAC stato concepito, soprattutto, per

    ottimizzare gli aspetti pi tecnologici dicomunicazione nellapplicazione del modello

    ABAC per i web services, ma il modelloconcettuale di ABAC rimane completamentevalido.

    From ABAC to ZBAC: The Evolution of Access Control Models

    Alan H. Karp, Harry Haury, Michael H. Davis - HP Laboratories

    Modelli logici basati su Ruoli

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 13

  • 7/24/2019 Identity e Role Management

    14/76

    Cos dunque un ruolo?

    Elenchiamo almeno 3 esempi di ruolo

    14

    Ruolo: definizione

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto

  • 7/24/2019 Identity e Role Management

    15/76

    Entitlement:

    Linsieme delle propriet, attribuzioni ed attributi

    che ogni applicazione o sistema definisce per i

    propri account

    Esempi:- Attributi anagrafici dellaccount (Nome, Cognome,

    Locazione, Ufficio, Titolo, )

    - Attribuzioni abilitative dellutente (Gruppi assegnati,

    Permessi su risorse, Abilitazioni sui sistemi, Caselledi posta, )

    Owner: responsabile del sistema, dellapplicazione

    o sviluppatore (se definiti a design time)

    15

    Entitlement

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto

  • 7/24/2019 Identity e Role Management

    16/76

    Application Role (o System Role)

    Aggregazione di attribuzioni o attributi chedefinisce insiemi omogenei di account

    Esempi:

    - Administrator, Publisher, Resource Owner- Power User, Writer, Editor

    - User, Reader

    Owner: Amministratore/Gestore del sistema o

    dellapplicazione

    16

    Application Role

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto

  • 7/24/2019 Identity e Role Management

    17/76

    Business Role (o Organizational Role)

    Mansione o Titolo aziendale che definisce lefunzioni di business cui lutente adibito

    Esempi:

    - Funzionario, Cassiere, Team Leader, ResponsabileCall Center,

    Owner: HR, responsabile del business o manager

    dellutente

    17

    Business Role

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto

  • 7/24/2019 Identity e Role Management

    18/76

    Entitlement

    Application Role (o System Role)

    Business Role (o Organizational Role)

    18

    Ruolo: una entit con pi anime

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto

  • 7/24/2019 Identity e Role Management

    19/76

    Applicazione del modello

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 19

  • 7/24/2019 Identity e Role Management

    20/76

    Rilevare la realt esistente

    Definire il modello ideale

    Misurare il gap

    Definire le azioni correttive

    Applicare le misure correttive

    20

    La realizzazione del modello

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto

  • 7/24/2019 Identity e Role Management

    21/76

    Role Lifecycle

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 21

  • 7/24/2019 Identity e Role Management

    22/76

    Agenda Introduzione

    role (definizioni, modelli e benefici)

    data mining

    role + data mining = role mining

    coffee break

    riferimenti normativi

    Attestation, Compliance Policy e Remediation

    benefici principali nell'uso di prodotti di "Role

    Management"

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 22

  • 7/24/2019 Identity e Role Management

    23/76

    E possibile raggruppare

    queste persone?

    Quanti raggruppamenti possibile definire?E

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 23

    Data Mining

  • 7/24/2019 Identity e Role Management

    24/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 24

    Data Mining

    Il Data Mining il processo diestrazione di conoscenza da

    banche dati, con lausilio di

    algoritmi che individuano le

    associazioni preesistenti, ma non

    immediatamente riconoscibili, trale informazioni e le evidenziano,

    rendendole fruibili.

    Principali tecniche di data mining:- regole associative- classificazione- clustering

  • 7/24/2019 Identity e Role Management

    25/76

    si basa su procedure semplici e facilmente automatizzabili

    fa uso di tecniche euristiche

    poggia su una matematica piuttosto elementare

    La sua semplicit ne ha favorito la diffusione tra i ricercatori dellescienze naturali, e la leggibilit dei suoi risultati, l'alto potenzialeeuristico e la disponibilit di numerosi strumenti di analisiautomatica ne fanno uno strumento estremamente valido innumerosi ambiti.

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 25

    Data Mining - Clustering

  • 7/24/2019 Identity e Role Management

    26/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 26

    Cos il Clustering?

    Tutte le tecniche di clustering si basano sul concetto di distanza tradue elementi. Infatti la bont delle analisi ottenute dagli algoritmi diclustering dipende molto dalla scelta della metrica, e quindi da come

    calcolata la distanza. Gli algoritmi di clustering raggruppano glielementi sulla base della loro distanza reciproca, e quindil'appartenenza o meno ad un insieme dipende da quanto l'elementopreso in esame distante dall'insieme stesso.

    Il Clustering (Robert Tryon, 1939) oanalisi dei cluster, un insieme ditecniche di analisi multivariata deidati volte alla selezione eraggruppamento di elementiomogenei in un insieme di dati.

  • 7/24/2019 Identity e Role Management

    27/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 27

    Processo iterativo di Clustering

  • 7/24/2019 Identity e Role Management

    28/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 28

    Tipologie di Clustering

  • 7/24/2019 Identity e Role Management

    29/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 29

    Clustering Gerarchico

  • 7/24/2019 Identity e Role Management

    30/76

    Single link

    Nei cluster single-link gerarchici, ad ogni passo vengonoaggregati i due cluster con minore distanza.

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 30

    Cluster sigle-link gerarchici

  • 7/24/2019 Identity e Role Management

    31/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 31

    Esempio - Cluster sigle-link gerarchico

  • 7/24/2019 Identity e Role Management

    32/76

    BA FI MI NA RM TO

    BA 0 662 877 255 412 996

    FI 662 0 295 468 268 400

    MI 877 295 0 754 564 138

    NA 255 468 754 0 219 869

    RM 412 268 564 219 0 669

    TO 996 400 138 869 669 0

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 32

    Esempio - Cluster sigle-link gerarchico

  • 7/24/2019 Identity e Role Management

    33/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 33

    Esempio - Cluster sigle-link gerarchico

  • 7/24/2019 Identity e Role Management

    34/76

    BA FI MI/TO NA RM

    BA 0 662 877 255 412

    FI 662 0 295 468 268

    MI/TO 877 295 0 754 564

    NA 255 468 754 0 219

    RM 412 268 564 219 0

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 34

    Esempio - Cluster sigle-link gerarchico

  • 7/24/2019 Identity e Role Management

    35/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 35

    Esempio - Cluster sigle-link gerarchico

  • 7/24/2019 Identity e Role Management

    36/76

    BA FI MI/TO NA/RM

    BA 0 662 877 255

    FI 662 0 295 268

    MI/TO 877 295 0 564

    NA/RM 255 268 564 0

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 36

    Esempio - Cluster sigle-link gerarchico

  • 7/24/2019 Identity e Role Management

    37/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 37

    Esempio - Cluster sigle-link gerarchico

  • 7/24/2019 Identity e Role Management

    38/76

    BA/NA/RM FI MI/TO

    BA/NA/RM 0 268 564

    FI 268 0 295

    MI/TO 564 295 0

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 38

    Esempio - Cluster sigle-link gerarchico

  • 7/24/2019 Identity e Role Management

    39/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 39

    Esempio - Cluster sigle-link gerarchico

  • 7/24/2019 Identity e Role Management

    40/76

    BA/FI/NA/RM MI/TO

    BA/FI/NA/RM 0 295

    MI/TO 295 0

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 40

    Esempio - Cluster sigle-link gerarchico

  • 7/24/2019 Identity e Role Management

    41/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 41

    Esempio - Cluster sigle-link gerarchico

  • 7/24/2019 Identity e Role Management

    42/76

    Il data retrieval:

    interroga banche dati tramite query la ricerca restituisce tutti i casi che soddisfano le condizioniposte nella queryl'individuazione di associazioni nascoste pu, quindi, soloprocedere per tentativi.

    Il data mining:risponde a domande pi genericherileva dai dati le associazioni esistenti senza richiedere laformulazione di ipotesi a prioriusa un approccio esplorativo e non verificativopermette di scoprire relazioni nascoste e sconosciute (neppureipotizzate)

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 42

    Data Retrieval VS Data Mining

  • 7/24/2019 Identity e Role Management

    43/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 43

    Vantaggi del Data Mining

    Gestione di dati quantitativi, qualitativi e testuali

    Non richiede ipotesi a priori da parte dellanalista

    Possibilit di elaborare elevati numeri di osservazioni

    Algoritmi ottimizzati per minimizzare I tempi di

    elaborazione

    Semplicit di interpretazione dei risultati

  • 7/24/2019 Identity e Role Management

    44/76

    WEKA

    Weka un framework, Open Source, di Data Mining,

    sviluppato da University of Waikato (Nuova Zelanda).

    Weka lacronimo diWaikato Environment for KnowledgeAnalysis.

    (Weka anche un curioso uccello privo di ali che sitrova solo in Nuova Zelanda.)

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 44

    Data Mining - framework

    A d

  • 7/24/2019 Identity e Role Management

    45/76

    Agenda Introduzione

    role (definizioni, modelli e benefici)

    data mining

    role + data mining = role mining

    coffee break

    riferimenti normativi

    Attestation, Compliance Policy e Remediation

    benefici principali nell'uso di prodotti di "Role

    Management"

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 45

    R l D t Mi i R l Mi i

  • 7/24/2019 Identity e Role Management

    46/76

    Riproviamo con la tecnicaappena appresa delclustering

    E possibile raggrupparequeste persone?

    Quanti raggruppamenti possibile definire?E

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 46

    Role + Data Mining = Role Mining

    R l D t Mi i R l Mi i

  • 7/24/2019 Identity e Role Management

    47/76

    Cosa ci manca per

    applicare la tecnica delclustering?

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 47

    Role + Data Mining = Role Mining

    T l di R l Mi i

  • 7/24/2019 Identity e Role Management

    48/76

    Un tool di Role Mining efficace:

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 48

    Tool di Role Mining

    Ha una corretta caratterizazione degli elementi di distanza

    Permette di definire il peso per il calcolo di medie ponderate, di

    ciascun elemento che contribuisce a definire la distanza

    Permette di raccogliere e correlare dati da tutte le fonti di dati

    aziendali: HR, ERP, Sistemi, Applicazioni, Database, Dati Gerarchici, Dati

    di accesso,

    Permette di distinguere: Entitlement, Business Role ed Application

    Role

    Permette di definire gerarchie (anche ricorsive) di: Entitlement,Business Role ed Application Role

    Permette di gestire il Role lifecycle

  • 7/24/2019 Identity e Role Management

    49/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 49

    Ora rilevare i dati eprodurre i report ha

    richiesto pochi minuti!!!

    Si.. ora picomprensibilema il controllo?

    ReportsReports

    Agenda

    http://upload.wikimedia.org/wikipedia/commons/c/ca/Rosetta_Stone_BW.jpeg
  • 7/24/2019 Identity e Role Management

    50/76

    Agenda Introduzione

    role (definizioni, modelli e benefici)

    data mining

    role + data mining = role mining

    coffee break

    riferimenti normativi

    Attestation, Compliance Policy e Remediation

    benefici principali nell'uso di prodotti di "Role

    Management"

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 50

    Agenda

  • 7/24/2019 Identity e Role Management

    51/76

    Agenda Introduzione

    role (definizioni, modelli e benefici)

    data mining

    role + data mining = role mining

    coffee break

    riferimenti normativi

    Attestation, Compliance Policy e Remediation

    benefici principali nell'uso di prodotti di "Role

    Management"

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 51

    Il t t ti

  • 7/24/2019 Identity e Role Management

    52/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 52

    Il contesto operativo Lesigenza delle aziende e degli enti di controllare la propria

    attivit cambiata radicalmente negli ultimi venti anni pereffetto di diversi fattori:

    levoluzione della normativa

    levoluzione delle tecnologie informatiche

    la progressiva terziarizzazione dellattivit

    la distribuzione geografica delle attivit

    Questa evoluzione comporta la necessit di affrontare inmodo nuovo i processi aziendali direttamente coinvolti:

    la gestione della complianceo a ciascuna normativa rilevante

    o allinsieme delle normative rilevanti

    la gestione della sicurezza delle informazioni

    Il t t ti

  • 7/24/2019 Identity e Role Management

    53/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 53

    Il contesto normativo Lattivit di impresa coinvolge interessi diversi:

    Glistock holder gli investori - che nel caso di aziende quotateassumono una particolare rilevanza

    Glistake holder, i portatori di interessi correlati: dipendenti, clienti,fornitori, consumatori,

    Negli ultimi quindici anni si assistito al proliferare di interventinormativi a diversi livelli volti ad imporre forme di tutela degliinteressi terzi. Le principali aree di intervento sono:

    Tutela degli investitori in aziende quotate/fondi di investimento: SOX,l.262/05, Basilea II

    Tutela della privacy: direttive comunitarie, d.lgs. 196/03, Provvedimentidel Garante per la Privacy, HIPAA

    Responsabilit dimpresa nei confronti di diverse tipologie di reato: d.lgs.231/01

    Tutela dellambiente: legge Seveso

    Anche soggetti privati hanno prodotto standard vincolanti persettori/mercati:

    Tutela degli utenti delle carte di credito: PCI-DSS

    American regulations

  • 7/24/2019 Identity e Role Management

    54/76

    Sarbanes-Oxley Act (SOX) - SOX Section 404, 2002

    GLBA -GrammLeachBliley Act, also known as the Financial ServicesModernization Act, 1999

    > Richiedono al management report sullefficacia dei sistemi di controllo dellazienda

    sul financial reporting

    > Richiedono esplicitamente controlli di Segregation of Duties (SoD)

    HIPPA - Health Insurance Portability and Accountability Act, 1996

    FISMA - Federal Information Security Management Act, 2002

    > Richiedono controli e strumenti per la tutela di dati sensibili

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 54

    American regulations

    DallAmerica allItalia

  • 7/24/2019 Identity e Role Management

    55/76

    Uno degli elementi di contatto tra le societ italiane e quellestatunitensi sicuramente rappresentato dalla spinta normativa

    verso un continuo rafforzamento del sistema di controllo interno con

    conseguenti crescenti oneri di gestione. Ci rende necessaria una

    sempre maggiore attenzione di tutti i soggetti coinvolti sul tema della

    Governance verso la ricerca di un giusto equilibrio tra il necessario

    rispetto delle disposizioni di legge e la definizione di un sistema dicontrollo interno che sia efficace ma al tempo stesso

    economicamente sostenibile.

    PricewaterhouseCoopers - AIIA

    Dall America all Italia

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 55

    Normativa Italiana

  • 7/24/2019 Identity e Role Management

    56/76

    D.Lgs. 196/2003 Codice in materia di protezione dei dati personali

    Misure Minime di Protezione:

    > adozione di sistemi di autenticazione informatica

    > gestione delle credenziali

    > controllo accessi basato sui ruoli (profili di autorizzazione)

    > monitoraggio (auditing)

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 56

    Normativa Italiana

    Normativa Italiana

  • 7/24/2019 Identity e Role Management

    57/76

    D.Lgs. 231/2001: responsabilit amministrativa delle societLA GENESI DELLA NORMA ED I SUOI OBIETTIVI

    Il Decreto legislativo 231/01 introduce per la prima volta nellordinamento italianola responsabilit delle aziende per reati posti in essere da Amministratori,Dirigenti e/o Dipendenti nell'interesse o a vantaggio dell'Organizzazione stessa.

    Attraverso il Modello di organizzazione, gestione e controllo il Decreto ha

    previsto, a supporto dellazienda, una sorta di paracadute: l'Organizzazione nonrisponde del reato se dimostra di avere adottato ed efficacemente attuato unmodello organizzativo idoneo a prevenire la commissione di tali illeciti. L'aziendadeve cio dotarsi di un complesso di regole, strumenti e condotte costruito al finedella prevenzione dei reati e ragionevolmente idoneo ad individuare e prevenirele condotte penalmente rilevanti poste in essere dalle figure apicali o dai lorosottoposti.

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 57

    Normativa Italiana

  • 7/24/2019 Identity e Role Management

    58/76

    Legge 262/2005: Legge sul risparmioLA GENESI DELLA NORMA ED I SUOI OBIETTIVI

    La Legge 262 del 2005 la risposta ai crac finanziari degli anni 2002-2003

    Laffinit con il Sarbanes Oxley Act non casuale

    Attualmente limitata alle societ quotate (ma non si esclude una estensione)

    Obiettivo: intervenire sui meccanismi di Corporate Governance (CG), dandorilievo giuridico al Sistema dei Controlli Interni (SCI) e responsabilizzando ilmanagement:

    Lattenzione non pi posta sui soli output di processo, ma sulle stesse procedure: laprogettazione e valutazione dei SCI cessa di costituire un fatto avente rilievomeramente tecnico

    Il legislatore interviene a pi riprese sulle strutture di CG, identifica numerosi organi a

    cui attribuisce la responsabilit di attivit che afferiscono, da diverse prospettive diosservazione, al SCI

    La CG progressivamente d rilievo al controllo, oltre che al governo

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 58

    Normativa Italiana

  • 7/24/2019 Identity e Role Management

    59/76

    L. 262/05 (Art. 154 bisIl Dirigente Preposto)ELEMENTI SALIENTI DELLA NORMATIVA

    Nomina di un Dirigente Preposto (DP) alla redazione dei documenti contabili societari,previo parere obbligatorio dellorgano di controllo.

    Attestazione della corrispondenza dei documenti contabili societari alle risultanzedocumentali, ai libri e alle scritture contabili in tutti gli atti e le comunicazioni della societdiffuse al mercato.

    Predisposizione di adeguate procedure amministrative e contabili per la formazione delbilancio desercizio, consolidato e di ogni altra comunicazione finanziaria, ad opera delDP.

    Disponibilit di adeguati poteri e mezzi per il DP affinch eserciti effettivamente i compitiattribuitigli, sotto la vigilanza del CdA.

    Attestazione delladeguatezza ed effettiva applicazione delle procedure amministrative econtabili e della loro idoneit a fornire una rappresentazione veritiera e corretta, ad operadegli organi amministrativi delegati e del DP

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 59

    Normativa Italiana

  • 7/24/2019 Identity e Role Management

    60/76

    Provvedimento del Garante della PrivacySUGLI AMMINISTRATORI DI SISTEMA (estratto)

    CONSTATATO che lo svolgimento delle mansioni di un amministratore di sistema, anchea seguito di una sua formale designazione quale responsabile o incaricato deltrattamento, comporta di regola la concreta capacit, per atto intenzionale, ma anche percaso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a datipersonali cui non si legittimati ad accedere rispetto ai profili di autorizzazione attribuiti;

    RILEVATA la necessit di richiamare l'attenzione su tale rischio del pubblico, nonch dipersone giuridiche, pubbliche amministrazioni e di altri enti (di seguito sinteticamenteindividuati con l'espressione "titolari del trattamento": art. 4, comma 1, lett. f) del Codice)che impiegano, in riferimento alla gestione di banche dati o reti informatiche, sistemi di

    elaborazione utilizzati da una molteplicit di incaricati con diverse funzioni, applicative osistemistiche

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 60

    Standard Internazionali

  • 7/24/2019 Identity e Role Management

    61/76

    A.10.10.2 Monitoring system use - ControlProcedures for monitoring use of information processing facilities shall beestablished and the results of the monitoring activities reviewed regularly.

    A.10.10.3 Protection of log information - Control

    Logging facilities and log information shall be protected against tampering andunauthorized access.

    A.10.10.4 Administrator and operator logs - ControlSystem administrator and system operator activities shall be logged.

    A.11.2.2 Privilege management -Control

    The allocation and use of privileges shall be restricted and controlled.

    A.11.5.4 Use of system utilities - ControlThe use of utility programs that might be capable of overriding system andapplication controls shall be restricted and tightly controlled.

    Standard Internazionali

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 61

    ISO 27001:

    individua specifici controlli relativi allutilizzo di privilegi in relazione a tutti i

    dati aziendali

    Standard Internazionali

  • 7/24/2019 Identity e Role Management

    62/76

    11.2.2 Privilege management - ControlThe allocation and use of privileges should be restricted and controlled.Implementation guidanceMulti-user systems that require protection against unauthorized access should have the allocation ofprivileges controlled through a formal authorization process. The following steps should beconsidered:a) the access privileges associated with each system product, e.g. operating system, databasemanagement system and each application, and the users to which they need to be allocated shouldbe identified;b) privileges should be allocated to users on a need-to-use basis and on an event-by-event basis inline with the access control policy (11.1.1), i.e. the minimum requirement for their functional roleonly when needed;c) an authorization process and a record of all privileges allocated should be maintained. Privilegesshould not be granted until the authorization process is complete;d) the development and use of system routines should be promoted to avoid the need to grantprivileges to users;e) the development and use of programs which avoid the need to run with privileges should be

    promoted;f) privileges should be assigned to a different user ID from those used for normal business use.Other informationInappropriate use of system administration privileges (any feature or facility of aninformation system that enables the user to override system or application controls) canbe a major contributory factor to the failures or breaches of systems.

    Standard Internazionali

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 62

    ISO 27002 (detta best practices):specifica esigenze di restrizione e controllo dei privilegi

    Agenda

  • 7/24/2019 Identity e Role Management

    63/76

    Agenda Introduzione

    role (definizioni, modelli e benefici)

    data mining

    role + data mining = role mining

    coffee break

    riferimenti normativi

    Attestation, Compliance Policy e Remediation

    benefici principali nell'uso di prodotti di "Role

    Management"

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 63

    Attestation

  • 7/24/2019 Identity e Role Management

    64/76

    LAttestation (o Certification) e un processoformale periodico che segue le direttive delle

    principali normative (SOX, 262,) consentendo:

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 64

    Attestation

    al management di certificare, per le proprie risorse:

    la corretta assegnazione

    la corretta attribuzione di mansioni

    lappartenenza alla struttura organizzativa la presenza di eventuali conflitti come eccezioni (es. SoD)

    alla security di certificare:

    la correttezza delle policy che assegnano alle singole mansioni

    abilitazioni a servizi ed applicazioni

    AllIT o ai referenti applicativi di certificare:

    le abilitazioni di dettaglio necessarie alluso di applicazioni e

    servizi

    Processi di Attestation

  • 7/24/2019 Identity e Role Management

    65/76

    Mr. GreenHelp Desk Operator

    Mr. Brown

    Mr. White

    Designer

    Engineer

    Human Resource

    ManagerPolicy Manager

    Function 1

    Function 2

    Function 3

    ...

    ...

    Function N

    Function 1

    Function 2

    Function 3

    ...

    ...

    Function N

    Administrator

    Publisher

    Operator

    Supervisor

    Power User

    User

    Application Manager

    Organizational RoleAssignement

    Policy

    Application RoleAssignement

    Policy

    Application

    Function

    Policy

    Application

    Function

    Policy

    Identities Organizational

    Roles

    Application

    Roles

    Application

    Roles

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 65

    Manager Security IT/Application

    Compliance Policy

  • 7/24/2019 Identity e Role Management

    66/76

    Le Compliance Policy, in accoglimento delleesigenze normative e di sicurezza, sono:

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 66

    Compliance Policy

    regole capaci di individuare conflitti tra attribuzioni di Ruoli

    Organizzativi, Ruoli Applicativi ed Entitlement incompatibili tra di loro

    specificamente studiate per rilevare eccezioni alle norme di

    Segregation of Duties (SoD)

    capaci di rilevare un conflitto anche se evidente solo al livello di

    dettaglio tecnologico (Entitlement) anche se conseguenza

    dellattribuzione di abilitazioni di pi alto livello (Ruoli di Business o

    Applicativi) apparentemente compatibili tra loro

    capaci di generare un evento da sottoporre a specifica certificazione

    (eccezione) o Remediation

    Remediation

  • 7/24/2019 Identity e Role Management

    67/76

    La Remediation:

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 67

    Remediation

    la necessaria azione correttiva, conseguente allaviolazione di una Compliance Policy

    pu essere integrata da processi di attestation e/o di

    escalation (workflow)

    Dovrebbe sempre prevedere un processoautomatizzato di adeguamento dei dati applicativi

    (entitlement), possibile solo se il sistema completamente integrato con strumenti diprovisioning/IdM

    Agenda

  • 7/24/2019 Identity e Role Management

    68/76

    Agenda Introduzione

    role (definizioni, modelli e benefici)

    data mining

    role + data mining = role mining

    coffee break

    riferimenti normativi

    Attestation, Compliance Policy e Remediation

    benefici principali nell'uso di prodotti di "Role

    Management"

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 68

    Role Management

  • 7/24/2019 Identity e Role Management

    69/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 69

    Role Management

    Role Mining

    Attestation

    Role Management (grouping, management andcertification of application level into business role)

    Compliance Policy

    Remediation (IDM/Provisioning Integration)

    Role Manager VS Identity Manager

  • 7/24/2019 Identity e Role Management

    70/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 70

    Il Role Manager si occupa diche cosapu

    essere acceduto- Definisce i ruoli e le politiche che si applicanoall'accesso (che cosa si deve assegnare?)- Risponde alla domanda "chi ha accesso a che cosa?- Definisce e controlla laccesso

    L Identity Managersi occupa dicomequalcosa pu essere acceduto

    - Provvede alla assegnazione e all'approvazionedellaccesso (come si dovrebbe assegnare?)

    - Risponde alla domanda "come stato assegnatol'accesso?"- Assegna e gestisce l'accesso

    Role Manager VS Identity Manager

    Role Manager VS Identity Manager

  • 7/24/2019 Identity e Role Management

    71/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 71

    Il Role Manager ComplementareallIdentityManager:

    implenta ilciclo di vita completo del ruolo lIdM disegnato per usare i ruoli che ilRMha definito e sfruttarli per ottimizzare le

    attivit diprovisioning

    definisce, perfeziona e verifica i Ruoli: role mining, role versioning, role

    certification, etc...

    implementa strumenti per processi completi di certificazione (attestation): Sistemi disconnessi (non gestiti dallIdM)

    Autorizzazione di dettaglio (per entitlement non gestiti dallIdM)

    Glossari degli Entitlement per comprenderne il significato di business Processi di certificazione incrementale

    Interfacce semplificate per il Business

    gestione di processi che non prevedono provisioning

    Role Manager VS Identity Manager

    Le sfide

  • 7/24/2019 Identity e Role Management

    72/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 72

    BUSINESS:

    -consumer

    -partner

    -applicationREGULATIONS:

    -certification

    -SoD

    -Least Privilege

    RISK:

    -Identity Theft

    - hackers

    -fraud

    -terror

    BUDGET:

    -resources

    -staff

    COSTCUTTING

    (economic

    climate):

    -Temporary

    workers

    -Terminatedemployee

    -reorganization

    -rationalization

    Le sfide

    Principali benefici del Role Management

  • 7/24/2019 Identity e Role Management

    73/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 73

    Principali benefici del Role Management

    I dati destrutturati, ma frutto di lunghe e laboriose evoluzioni

    aziendali, diventano patrimonio di informazioni grazie al role mining

    Il management in grado di certificare (Attestation) processi,

    risorse ed abilitazioni tramite concetti familiari e direttamente

    connessi al business

    La rilevazione dei conflitti SoD, automatizzata dalle Compliance

    Policy, immediata ed a livello delle risorse elementari

    (entitlement)

    La gran parte dei processi di ricertificazione automatizzato (solo

    le eccezioni necessitano una gestione)

    Il ciclo di vita delle identit risulta automatizzato e connesso agli

    eventi di business (role management), senza aggravio per lestrutture IT

    Le azioni correttive del business si riflettono automaticamente sulle

    risorse IT (Remediation)

    Valutazione costi e benefici (ROI)

  • 7/24/2019 Identity e Role Management

    74/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 74

    Valutazione costi e benefici (ROI)

    Dove prevista lattivit di certificazione:

    Valutazioni a posteriori su progetti di Role Management benimplementati, hanno dimostrato che il tempo di ROI per

    limplementazione di un sistema corrispondente ad una periodicit di

    certificazione (tipicamente un semestre)

    I benefici economici sono immediatamente misurabili in termini di:

    drastica riduzione dei tempi di certificazione eliminazione delle attivit di generazione reportistica

    Dove previsto un nuovo progetto di IdM o la revisione del

    modello dei ruoli:

    Lattivit di Role Mining abbatte i costi progettuali di definizione o

    revisione del modello del 90% circa

    La gestione del ciclo di vita dei ruoli (con versioning) ottimizza i tempi di

    roll-out dell80% circa e mitiga fortemente i rischi

  • 7/24/2019 Identity e Role Management

    75/76

    CLUSIT 2011 Identity & Role Management- Angelo Colesanto 75

    Ora il management pucertificare in autonomia!!!

    Finalmente sono ingrado di verificare,

    controllare ecertificare tutti iprocessi.

    Reports

    http://upload.wikimedia.org/wikipedia/commons/c/ca/Rosetta_Stone_BW.jpeg
  • 7/24/2019 Identity e Role Management

    76/76

    Grazie per lattenzione

    [email protected]@colesanto.it

    mailto:[email protected]:[email protected]:[email protected]:[email protected]