identity e role management
TRANSCRIPT
-
7/24/2019 Identity e Role Management
1/76
Identity & Role Management
Know yourself: Come fatta la mia azienda? Come posso
semplificare la governance e garantire la compliance?
Angelo Colesanto ZEROPIU Spa
Senior Security Architect
CLUSIT 2011
Identity & Role Management- Angelo Colesanto
-
7/24/2019 Identity e Role Management
2/76
Agenda Introduzione
role (definizioni, modelli e benefici) data mining
role + data mining = role mining
coffee break
riferimenti normativi
Attestation, Compliance Policy e Remediation
benefici principali nell'uso di prodotti di "Role
Management"
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 2
-
7/24/2019 Identity e Role Management
3/76
Il patrimonio organizzativo delle Aziende spesso frutto di lunghi e laboriosi processi di ottimizzazione per
la definizione di ruoli e responsabilit. Non sempre, per, possibile ottimizzare e gestire ruoli e risorse a
causa della difficile e talvolta impossibile governabilit di tale processo.
Nel corso degli anni le Aziende, con laiuto di Societ di consulenza, hanno tentato attraverso attivit di
assessment di rilevare la realt aziendale, con lo scopo di ottimizzarla per poi promuoverla a modello di
riferimento. Tale attivit ha mostrato, per, una sua complessit intrinseca che porta i tempi di analisi ad
essere spesso incompatibili con la velocit con cui le Aziende si evolvono e si ristrutturano, vanificando gli
sforzi profusi per le attivit di analisi i cui risultati dovevano continuamente essere rivisti in seguito ai
cambiamenti avvenuti.
Molte Aziende hanno provato ad affrontare il problema con lausilio di strumenti di Provisioning ed Identity
Management che da una parte hanno assicurato benefici legati alla corretta gestione della identit digitali
rendendo i processi pi strutturati e controllabili, ma il risultato atteso per quanto riguarda la gestione di ruoli
e responsabilit stato spesso al di sotto delle aspettative.
Il management necessita sempre pi di strumenti e processi in grado di dare maggiore visibilit sulle
abilitazioni delle utenze, consentendo attivit di verifica e assicurando la conoscenza della propria realttecnico/organizzativa. Solo in questo modo diventa possibile avere processi di certificazione e reportistica in
grado di garantire il rispetto di norme e regole di compliance, e di ridurre i rischi legati allutilizzo improprio
di risorse aziendali.
I nuovi strumenti resi disponibili dallevoluzione tecnologica aprono nuove prospettive per risolvere in modo
efficace le problematiche sopra esposte.
Abstract
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 3
-
7/24/2019 Identity e Role Management
4/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 4
La produzione di Report stata lunga e faticosa,ma ce labbiamo fatta
Ho chiesto di avere dei reportche mi consentano di avre ilcontrollo della situazione, ma
sono incomprensibili.Come posso certificarli?
Reports
-
7/24/2019 Identity e Role Management
5/76
La voce degli analisti
Enterprise role management, role mining, and access
recertification help enterprises with maintaining
segregation of duties, keeping up with regulatory
compliance requirements, and automating role based
provisioning to enterprise applications - even through
difficult economic times.
Andras Cser - Forrester 2009
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 5
-
7/24/2019 Identity e Role Management
6/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 6
BUSINESS:
-consumer
-partner-applicationREGULATIONS:
-certification
-SoD
-Least Privilege
RISK:
-Identity Theft
- hackers
-fraud
-terror
BUDGET:
-resources
-staff
COST
CUTTING
(economic
climate):
-Temporary
workers-Terminated
employee
-reorganization
-rationalization
Le sfide
-
7/24/2019 Identity e Role Management
7/76
Business Drivers
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 7
Omologazione e semplificazione del processodi gestione delle identit
Adesione ai requisiti normativi pi esigenti:SOX, D.lgs. 196/2003, L.262/2005,
Agevolazione dei processi di Audit eGovernance/Risk/Compliace (GRC)
Adesione a standard di modelli e frameworkorganizzativi: ITIL v3 (RACI), ISO/IEC27000, COSO, COBIT,
-
7/24/2019 Identity e Role Management
8/76
Business Objectives
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 8
Migliorare la strutturazione dei sistemi, a beneficio diprocessi di gestione ed integrazione pi veloci edeconomici
Ottimizzare i costi pertinenti la gestione delle
identit, delle abilitazioni e delle applicazioni
Garantire processi di controllo e certificazione ingrado di garantire la consapevolezza del certificatore
Ridurre tempi e costi delle procedure di certificazione
-
7/24/2019 Identity e Role Management
9/76
Agenda Introduzione
role (definizioni, modelli e benefici) data mining
role + data mining = role mining
(caratterizzazione della "distanza" ed
applicazioni pratiche)
coffee break
riferimenti normativi
Attestation, Compliance Policy e Remediation
benefici principali nell'uso di prodotti di "Role
Management"
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 9
-
7/24/2019 Identity e Role Management
10/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 10
Limportanza del Ruolo
-
7/24/2019 Identity e Role Management
11/76
RBAC (Role Based Access Control):
Nasce nel 1996, ma viene ratificato come standard NIST nel 2000 a cura di
Sandhu, Ferraiolo e Kuhn
Elementi Core(1):
S (Subject) = La persona o il sistema
R (Role) = funzione o titolo che definisce un livello autorizzativo
P (Permissions) = labilitazione di accesso ad una risorsa
S R
R R
Policy(R,P)
Modelli logici basati su Ruoli
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 11
(1) Elementi del modello semplificato. Per I riferimenti completi si veda http://csrc.nist.gov/rbac/sandhu-ferraiolo-kuhn-00.pdf
Subject RolePermis
sion
-
7/24/2019 Identity e Role Management
12/76
ABAC (Attribute Based Access Control)
Modello presentato per la prima volta da Yuan eTong all IEEE International Conference(ICW05) nel luglio 2007.
Gestisce attributi(1) dei seguenti elementi:
S (Subject) = La persona o il sistema
R (Resource) = La risorsa del sistema
E (Environment) = Il contesto
Policy (S,R,E)
Nota
Se per il subjectsi considerano validi i soli attributi di tipo ruolo,il modello sovrapponibile ad RBAC, con in pi la flessibilitdegli elementi di Environment.
Modelli logici basati su Ruoli
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 12
(1) Elementi del modello semplificato. Per i riferimenti completi si veda E. Yuan and J. Tong. Attributed Based Access Control(ABAC) for Web Services. In Proc. IEEE International Conference on Web Services (ICW05), 2005.7.
-
7/24/2019 Identity e Role Management
13/76
ZBAC (AuthoriZation Based AccessControl)
Il futuro?
ZBAC stato concepito, soprattutto, per
ottimizzare gli aspetti pi tecnologici dicomunicazione nellapplicazione del modello
ABAC per i web services, ma il modelloconcettuale di ABAC rimane completamentevalido.
From ABAC to ZBAC: The Evolution of Access Control Models
Alan H. Karp, Harry Haury, Michael H. Davis - HP Laboratories
Modelli logici basati su Ruoli
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 13
-
7/24/2019 Identity e Role Management
14/76
Cos dunque un ruolo?
Elenchiamo almeno 3 esempi di ruolo
14
Ruolo: definizione
CLUSIT 2011 Identity & Role Management- Angelo Colesanto
-
7/24/2019 Identity e Role Management
15/76
Entitlement:
Linsieme delle propriet, attribuzioni ed attributi
che ogni applicazione o sistema definisce per i
propri account
Esempi:- Attributi anagrafici dellaccount (Nome, Cognome,
Locazione, Ufficio, Titolo, )
- Attribuzioni abilitative dellutente (Gruppi assegnati,
Permessi su risorse, Abilitazioni sui sistemi, Caselledi posta, )
Owner: responsabile del sistema, dellapplicazione
o sviluppatore (se definiti a design time)
15
Entitlement
CLUSIT 2011 Identity & Role Management- Angelo Colesanto
-
7/24/2019 Identity e Role Management
16/76
Application Role (o System Role)
Aggregazione di attribuzioni o attributi chedefinisce insiemi omogenei di account
Esempi:
- Administrator, Publisher, Resource Owner- Power User, Writer, Editor
- User, Reader
Owner: Amministratore/Gestore del sistema o
dellapplicazione
16
Application Role
CLUSIT 2011 Identity & Role Management- Angelo Colesanto
-
7/24/2019 Identity e Role Management
17/76
Business Role (o Organizational Role)
Mansione o Titolo aziendale che definisce lefunzioni di business cui lutente adibito
Esempi:
- Funzionario, Cassiere, Team Leader, ResponsabileCall Center,
Owner: HR, responsabile del business o manager
dellutente
17
Business Role
CLUSIT 2011 Identity & Role Management- Angelo Colesanto
-
7/24/2019 Identity e Role Management
18/76
Entitlement
Application Role (o System Role)
Business Role (o Organizational Role)
18
Ruolo: una entit con pi anime
CLUSIT 2011 Identity & Role Management- Angelo Colesanto
-
7/24/2019 Identity e Role Management
19/76
Applicazione del modello
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 19
-
7/24/2019 Identity e Role Management
20/76
Rilevare la realt esistente
Definire il modello ideale
Misurare il gap
Definire le azioni correttive
Applicare le misure correttive
20
La realizzazione del modello
CLUSIT 2011 Identity & Role Management- Angelo Colesanto
-
7/24/2019 Identity e Role Management
21/76
Role Lifecycle
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 21
-
7/24/2019 Identity e Role Management
22/76
Agenda Introduzione
role (definizioni, modelli e benefici)
data mining
role + data mining = role mining
coffee break
riferimenti normativi
Attestation, Compliance Policy e Remediation
benefici principali nell'uso di prodotti di "Role
Management"
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 22
-
7/24/2019 Identity e Role Management
23/76
E possibile raggruppare
queste persone?
Quanti raggruppamenti possibile definire?E
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 23
Data Mining
-
7/24/2019 Identity e Role Management
24/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 24
Data Mining
Il Data Mining il processo diestrazione di conoscenza da
banche dati, con lausilio di
algoritmi che individuano le
associazioni preesistenti, ma non
immediatamente riconoscibili, trale informazioni e le evidenziano,
rendendole fruibili.
Principali tecniche di data mining:- regole associative- classificazione- clustering
-
7/24/2019 Identity e Role Management
25/76
si basa su procedure semplici e facilmente automatizzabili
fa uso di tecniche euristiche
poggia su una matematica piuttosto elementare
La sua semplicit ne ha favorito la diffusione tra i ricercatori dellescienze naturali, e la leggibilit dei suoi risultati, l'alto potenzialeeuristico e la disponibilit di numerosi strumenti di analisiautomatica ne fanno uno strumento estremamente valido innumerosi ambiti.
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 25
Data Mining - Clustering
-
7/24/2019 Identity e Role Management
26/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 26
Cos il Clustering?
Tutte le tecniche di clustering si basano sul concetto di distanza tradue elementi. Infatti la bont delle analisi ottenute dagli algoritmi diclustering dipende molto dalla scelta della metrica, e quindi da come
calcolata la distanza. Gli algoritmi di clustering raggruppano glielementi sulla base della loro distanza reciproca, e quindil'appartenenza o meno ad un insieme dipende da quanto l'elementopreso in esame distante dall'insieme stesso.
Il Clustering (Robert Tryon, 1939) oanalisi dei cluster, un insieme ditecniche di analisi multivariata deidati volte alla selezione eraggruppamento di elementiomogenei in un insieme di dati.
-
7/24/2019 Identity e Role Management
27/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 27
Processo iterativo di Clustering
-
7/24/2019 Identity e Role Management
28/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 28
Tipologie di Clustering
-
7/24/2019 Identity e Role Management
29/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 29
Clustering Gerarchico
-
7/24/2019 Identity e Role Management
30/76
Single link
Nei cluster single-link gerarchici, ad ogni passo vengonoaggregati i due cluster con minore distanza.
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 30
Cluster sigle-link gerarchici
-
7/24/2019 Identity e Role Management
31/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 31
Esempio - Cluster sigle-link gerarchico
-
7/24/2019 Identity e Role Management
32/76
BA FI MI NA RM TO
BA 0 662 877 255 412 996
FI 662 0 295 468 268 400
MI 877 295 0 754 564 138
NA 255 468 754 0 219 869
RM 412 268 564 219 0 669
TO 996 400 138 869 669 0
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 32
Esempio - Cluster sigle-link gerarchico
-
7/24/2019 Identity e Role Management
33/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 33
Esempio - Cluster sigle-link gerarchico
-
7/24/2019 Identity e Role Management
34/76
BA FI MI/TO NA RM
BA 0 662 877 255 412
FI 662 0 295 468 268
MI/TO 877 295 0 754 564
NA 255 468 754 0 219
RM 412 268 564 219 0
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 34
Esempio - Cluster sigle-link gerarchico
-
7/24/2019 Identity e Role Management
35/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 35
Esempio - Cluster sigle-link gerarchico
-
7/24/2019 Identity e Role Management
36/76
BA FI MI/TO NA/RM
BA 0 662 877 255
FI 662 0 295 268
MI/TO 877 295 0 564
NA/RM 255 268 564 0
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 36
Esempio - Cluster sigle-link gerarchico
-
7/24/2019 Identity e Role Management
37/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 37
Esempio - Cluster sigle-link gerarchico
-
7/24/2019 Identity e Role Management
38/76
BA/NA/RM FI MI/TO
BA/NA/RM 0 268 564
FI 268 0 295
MI/TO 564 295 0
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 38
Esempio - Cluster sigle-link gerarchico
-
7/24/2019 Identity e Role Management
39/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 39
Esempio - Cluster sigle-link gerarchico
-
7/24/2019 Identity e Role Management
40/76
BA/FI/NA/RM MI/TO
BA/FI/NA/RM 0 295
MI/TO 295 0
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 40
Esempio - Cluster sigle-link gerarchico
-
7/24/2019 Identity e Role Management
41/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 41
Esempio - Cluster sigle-link gerarchico
-
7/24/2019 Identity e Role Management
42/76
Il data retrieval:
interroga banche dati tramite query la ricerca restituisce tutti i casi che soddisfano le condizioniposte nella queryl'individuazione di associazioni nascoste pu, quindi, soloprocedere per tentativi.
Il data mining:risponde a domande pi genericherileva dai dati le associazioni esistenti senza richiedere laformulazione di ipotesi a prioriusa un approccio esplorativo e non verificativopermette di scoprire relazioni nascoste e sconosciute (neppureipotizzate)
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 42
Data Retrieval VS Data Mining
-
7/24/2019 Identity e Role Management
43/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 43
Vantaggi del Data Mining
Gestione di dati quantitativi, qualitativi e testuali
Non richiede ipotesi a priori da parte dellanalista
Possibilit di elaborare elevati numeri di osservazioni
Algoritmi ottimizzati per minimizzare I tempi di
elaborazione
Semplicit di interpretazione dei risultati
-
7/24/2019 Identity e Role Management
44/76
WEKA
Weka un framework, Open Source, di Data Mining,
sviluppato da University of Waikato (Nuova Zelanda).
Weka lacronimo diWaikato Environment for KnowledgeAnalysis.
(Weka anche un curioso uccello privo di ali che sitrova solo in Nuova Zelanda.)
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 44
Data Mining - framework
A d
-
7/24/2019 Identity e Role Management
45/76
Agenda Introduzione
role (definizioni, modelli e benefici)
data mining
role + data mining = role mining
coffee break
riferimenti normativi
Attestation, Compliance Policy e Remediation
benefici principali nell'uso di prodotti di "Role
Management"
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 45
R l D t Mi i R l Mi i
-
7/24/2019 Identity e Role Management
46/76
Riproviamo con la tecnicaappena appresa delclustering
E possibile raggrupparequeste persone?
Quanti raggruppamenti possibile definire?E
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 46
Role + Data Mining = Role Mining
R l D t Mi i R l Mi i
-
7/24/2019 Identity e Role Management
47/76
Cosa ci manca per
applicare la tecnica delclustering?
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 47
Role + Data Mining = Role Mining
T l di R l Mi i
-
7/24/2019 Identity e Role Management
48/76
Un tool di Role Mining efficace:
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 48
Tool di Role Mining
Ha una corretta caratterizazione degli elementi di distanza
Permette di definire il peso per il calcolo di medie ponderate, di
ciascun elemento che contribuisce a definire la distanza
Permette di raccogliere e correlare dati da tutte le fonti di dati
aziendali: HR, ERP, Sistemi, Applicazioni, Database, Dati Gerarchici, Dati
di accesso,
Permette di distinguere: Entitlement, Business Role ed Application
Role
Permette di definire gerarchie (anche ricorsive) di: Entitlement,Business Role ed Application Role
Permette di gestire il Role lifecycle
-
7/24/2019 Identity e Role Management
49/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 49
Ora rilevare i dati eprodurre i report ha
richiesto pochi minuti!!!
Si.. ora picomprensibilema il controllo?
ReportsReports
Agenda
http://upload.wikimedia.org/wikipedia/commons/c/ca/Rosetta_Stone_BW.jpeg -
7/24/2019 Identity e Role Management
50/76
Agenda Introduzione
role (definizioni, modelli e benefici)
data mining
role + data mining = role mining
coffee break
riferimenti normativi
Attestation, Compliance Policy e Remediation
benefici principali nell'uso di prodotti di "Role
Management"
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 50
Agenda
-
7/24/2019 Identity e Role Management
51/76
Agenda Introduzione
role (definizioni, modelli e benefici)
data mining
role + data mining = role mining
coffee break
riferimenti normativi
Attestation, Compliance Policy e Remediation
benefici principali nell'uso di prodotti di "Role
Management"
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 51
Il t t ti
-
7/24/2019 Identity e Role Management
52/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 52
Il contesto operativo Lesigenza delle aziende e degli enti di controllare la propria
attivit cambiata radicalmente negli ultimi venti anni pereffetto di diversi fattori:
levoluzione della normativa
levoluzione delle tecnologie informatiche
la progressiva terziarizzazione dellattivit
la distribuzione geografica delle attivit
Questa evoluzione comporta la necessit di affrontare inmodo nuovo i processi aziendali direttamente coinvolti:
la gestione della complianceo a ciascuna normativa rilevante
o allinsieme delle normative rilevanti
la gestione della sicurezza delle informazioni
Il t t ti
-
7/24/2019 Identity e Role Management
53/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 53
Il contesto normativo Lattivit di impresa coinvolge interessi diversi:
Glistock holder gli investori - che nel caso di aziende quotateassumono una particolare rilevanza
Glistake holder, i portatori di interessi correlati: dipendenti, clienti,fornitori, consumatori,
Negli ultimi quindici anni si assistito al proliferare di interventinormativi a diversi livelli volti ad imporre forme di tutela degliinteressi terzi. Le principali aree di intervento sono:
Tutela degli investitori in aziende quotate/fondi di investimento: SOX,l.262/05, Basilea II
Tutela della privacy: direttive comunitarie, d.lgs. 196/03, Provvedimentidel Garante per la Privacy, HIPAA
Responsabilit dimpresa nei confronti di diverse tipologie di reato: d.lgs.231/01
Tutela dellambiente: legge Seveso
Anche soggetti privati hanno prodotto standard vincolanti persettori/mercati:
Tutela degli utenti delle carte di credito: PCI-DSS
American regulations
-
7/24/2019 Identity e Role Management
54/76
Sarbanes-Oxley Act (SOX) - SOX Section 404, 2002
GLBA -GrammLeachBliley Act, also known as the Financial ServicesModernization Act, 1999
> Richiedono al management report sullefficacia dei sistemi di controllo dellazienda
sul financial reporting
> Richiedono esplicitamente controlli di Segregation of Duties (SoD)
HIPPA - Health Insurance Portability and Accountability Act, 1996
FISMA - Federal Information Security Management Act, 2002
> Richiedono controli e strumenti per la tutela di dati sensibili
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 54
American regulations
DallAmerica allItalia
-
7/24/2019 Identity e Role Management
55/76
Uno degli elementi di contatto tra le societ italiane e quellestatunitensi sicuramente rappresentato dalla spinta normativa
verso un continuo rafforzamento del sistema di controllo interno con
conseguenti crescenti oneri di gestione. Ci rende necessaria una
sempre maggiore attenzione di tutti i soggetti coinvolti sul tema della
Governance verso la ricerca di un giusto equilibrio tra il necessario
rispetto delle disposizioni di legge e la definizione di un sistema dicontrollo interno che sia efficace ma al tempo stesso
economicamente sostenibile.
PricewaterhouseCoopers - AIIA
Dall America all Italia
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 55
Normativa Italiana
-
7/24/2019 Identity e Role Management
56/76
D.Lgs. 196/2003 Codice in materia di protezione dei dati personali
Misure Minime di Protezione:
> adozione di sistemi di autenticazione informatica
> gestione delle credenziali
> controllo accessi basato sui ruoli (profili di autorizzazione)
> monitoraggio (auditing)
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 56
Normativa Italiana
Normativa Italiana
-
7/24/2019 Identity e Role Management
57/76
D.Lgs. 231/2001: responsabilit amministrativa delle societLA GENESI DELLA NORMA ED I SUOI OBIETTIVI
Il Decreto legislativo 231/01 introduce per la prima volta nellordinamento italianola responsabilit delle aziende per reati posti in essere da Amministratori,Dirigenti e/o Dipendenti nell'interesse o a vantaggio dell'Organizzazione stessa.
Attraverso il Modello di organizzazione, gestione e controllo il Decreto ha
previsto, a supporto dellazienda, una sorta di paracadute: l'Organizzazione nonrisponde del reato se dimostra di avere adottato ed efficacemente attuato unmodello organizzativo idoneo a prevenire la commissione di tali illeciti. L'aziendadeve cio dotarsi di un complesso di regole, strumenti e condotte costruito al finedella prevenzione dei reati e ragionevolmente idoneo ad individuare e prevenirele condotte penalmente rilevanti poste in essere dalle figure apicali o dai lorosottoposti.
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 57
Normativa Italiana
-
7/24/2019 Identity e Role Management
58/76
Legge 262/2005: Legge sul risparmioLA GENESI DELLA NORMA ED I SUOI OBIETTIVI
La Legge 262 del 2005 la risposta ai crac finanziari degli anni 2002-2003
Laffinit con il Sarbanes Oxley Act non casuale
Attualmente limitata alle societ quotate (ma non si esclude una estensione)
Obiettivo: intervenire sui meccanismi di Corporate Governance (CG), dandorilievo giuridico al Sistema dei Controlli Interni (SCI) e responsabilizzando ilmanagement:
Lattenzione non pi posta sui soli output di processo, ma sulle stesse procedure: laprogettazione e valutazione dei SCI cessa di costituire un fatto avente rilievomeramente tecnico
Il legislatore interviene a pi riprese sulle strutture di CG, identifica numerosi organi a
cui attribuisce la responsabilit di attivit che afferiscono, da diverse prospettive diosservazione, al SCI
La CG progressivamente d rilievo al controllo, oltre che al governo
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 58
Normativa Italiana
-
7/24/2019 Identity e Role Management
59/76
L. 262/05 (Art. 154 bisIl Dirigente Preposto)ELEMENTI SALIENTI DELLA NORMATIVA
Nomina di un Dirigente Preposto (DP) alla redazione dei documenti contabili societari,previo parere obbligatorio dellorgano di controllo.
Attestazione della corrispondenza dei documenti contabili societari alle risultanzedocumentali, ai libri e alle scritture contabili in tutti gli atti e le comunicazioni della societdiffuse al mercato.
Predisposizione di adeguate procedure amministrative e contabili per la formazione delbilancio desercizio, consolidato e di ogni altra comunicazione finanziaria, ad opera delDP.
Disponibilit di adeguati poteri e mezzi per il DP affinch eserciti effettivamente i compitiattribuitigli, sotto la vigilanza del CdA.
Attestazione delladeguatezza ed effettiva applicazione delle procedure amministrative econtabili e della loro idoneit a fornire una rappresentazione veritiera e corretta, ad operadegli organi amministrativi delegati e del DP
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 59
Normativa Italiana
-
7/24/2019 Identity e Role Management
60/76
Provvedimento del Garante della PrivacySUGLI AMMINISTRATORI DI SISTEMA (estratto)
CONSTATATO che lo svolgimento delle mansioni di un amministratore di sistema, anchea seguito di una sua formale designazione quale responsabile o incaricato deltrattamento, comporta di regola la concreta capacit, per atto intenzionale, ma anche percaso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a datipersonali cui non si legittimati ad accedere rispetto ai profili di autorizzazione attribuiti;
RILEVATA la necessit di richiamare l'attenzione su tale rischio del pubblico, nonch dipersone giuridiche, pubbliche amministrazioni e di altri enti (di seguito sinteticamenteindividuati con l'espressione "titolari del trattamento": art. 4, comma 1, lett. f) del Codice)che impiegano, in riferimento alla gestione di banche dati o reti informatiche, sistemi di
elaborazione utilizzati da una molteplicit di incaricati con diverse funzioni, applicative osistemistiche
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 60
Standard Internazionali
-
7/24/2019 Identity e Role Management
61/76
A.10.10.2 Monitoring system use - ControlProcedures for monitoring use of information processing facilities shall beestablished and the results of the monitoring activities reviewed regularly.
A.10.10.3 Protection of log information - Control
Logging facilities and log information shall be protected against tampering andunauthorized access.
A.10.10.4 Administrator and operator logs - ControlSystem administrator and system operator activities shall be logged.
A.11.2.2 Privilege management -Control
The allocation and use of privileges shall be restricted and controlled.
A.11.5.4 Use of system utilities - ControlThe use of utility programs that might be capable of overriding system andapplication controls shall be restricted and tightly controlled.
Standard Internazionali
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 61
ISO 27001:
individua specifici controlli relativi allutilizzo di privilegi in relazione a tutti i
dati aziendali
Standard Internazionali
-
7/24/2019 Identity e Role Management
62/76
11.2.2 Privilege management - ControlThe allocation and use of privileges should be restricted and controlled.Implementation guidanceMulti-user systems that require protection against unauthorized access should have the allocation ofprivileges controlled through a formal authorization process. The following steps should beconsidered:a) the access privileges associated with each system product, e.g. operating system, databasemanagement system and each application, and the users to which they need to be allocated shouldbe identified;b) privileges should be allocated to users on a need-to-use basis and on an event-by-event basis inline with the access control policy (11.1.1), i.e. the minimum requirement for their functional roleonly when needed;c) an authorization process and a record of all privileges allocated should be maintained. Privilegesshould not be granted until the authorization process is complete;d) the development and use of system routines should be promoted to avoid the need to grantprivileges to users;e) the development and use of programs which avoid the need to run with privileges should be
promoted;f) privileges should be assigned to a different user ID from those used for normal business use.Other informationInappropriate use of system administration privileges (any feature or facility of aninformation system that enables the user to override system or application controls) canbe a major contributory factor to the failures or breaches of systems.
Standard Internazionali
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 62
ISO 27002 (detta best practices):specifica esigenze di restrizione e controllo dei privilegi
Agenda
-
7/24/2019 Identity e Role Management
63/76
Agenda Introduzione
role (definizioni, modelli e benefici)
data mining
role + data mining = role mining
coffee break
riferimenti normativi
Attestation, Compliance Policy e Remediation
benefici principali nell'uso di prodotti di "Role
Management"
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 63
Attestation
-
7/24/2019 Identity e Role Management
64/76
LAttestation (o Certification) e un processoformale periodico che segue le direttive delle
principali normative (SOX, 262,) consentendo:
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 64
Attestation
al management di certificare, per le proprie risorse:
la corretta assegnazione
la corretta attribuzione di mansioni
lappartenenza alla struttura organizzativa la presenza di eventuali conflitti come eccezioni (es. SoD)
alla security di certificare:
la correttezza delle policy che assegnano alle singole mansioni
abilitazioni a servizi ed applicazioni
AllIT o ai referenti applicativi di certificare:
le abilitazioni di dettaglio necessarie alluso di applicazioni e
servizi
Processi di Attestation
-
7/24/2019 Identity e Role Management
65/76
Mr. GreenHelp Desk Operator
Mr. Brown
Mr. White
Designer
Engineer
Human Resource
ManagerPolicy Manager
Function 1
Function 2
Function 3
...
...
Function N
Function 1
Function 2
Function 3
...
...
Function N
Administrator
Publisher
Operator
Supervisor
Power User
User
Application Manager
Organizational RoleAssignement
Policy
Application RoleAssignement
Policy
Application
Function
Policy
Application
Function
Policy
Identities Organizational
Roles
Application
Roles
Application
Roles
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 65
Manager Security IT/Application
Compliance Policy
-
7/24/2019 Identity e Role Management
66/76
Le Compliance Policy, in accoglimento delleesigenze normative e di sicurezza, sono:
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 66
Compliance Policy
regole capaci di individuare conflitti tra attribuzioni di Ruoli
Organizzativi, Ruoli Applicativi ed Entitlement incompatibili tra di loro
specificamente studiate per rilevare eccezioni alle norme di
Segregation of Duties (SoD)
capaci di rilevare un conflitto anche se evidente solo al livello di
dettaglio tecnologico (Entitlement) anche se conseguenza
dellattribuzione di abilitazioni di pi alto livello (Ruoli di Business o
Applicativi) apparentemente compatibili tra loro
capaci di generare un evento da sottoporre a specifica certificazione
(eccezione) o Remediation
Remediation
-
7/24/2019 Identity e Role Management
67/76
La Remediation:
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 67
Remediation
la necessaria azione correttiva, conseguente allaviolazione di una Compliance Policy
pu essere integrata da processi di attestation e/o di
escalation (workflow)
Dovrebbe sempre prevedere un processoautomatizzato di adeguamento dei dati applicativi
(entitlement), possibile solo se il sistema completamente integrato con strumenti diprovisioning/IdM
Agenda
-
7/24/2019 Identity e Role Management
68/76
Agenda Introduzione
role (definizioni, modelli e benefici)
data mining
role + data mining = role mining
coffee break
riferimenti normativi
Attestation, Compliance Policy e Remediation
benefici principali nell'uso di prodotti di "Role
Management"
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 68
Role Management
-
7/24/2019 Identity e Role Management
69/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 69
Role Management
Role Mining
Attestation
Role Management (grouping, management andcertification of application level into business role)
Compliance Policy
Remediation (IDM/Provisioning Integration)
Role Manager VS Identity Manager
-
7/24/2019 Identity e Role Management
70/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 70
Il Role Manager si occupa diche cosapu
essere acceduto- Definisce i ruoli e le politiche che si applicanoall'accesso (che cosa si deve assegnare?)- Risponde alla domanda "chi ha accesso a che cosa?- Definisce e controlla laccesso
L Identity Managersi occupa dicomequalcosa pu essere acceduto
- Provvede alla assegnazione e all'approvazionedellaccesso (come si dovrebbe assegnare?)
- Risponde alla domanda "come stato assegnatol'accesso?"- Assegna e gestisce l'accesso
Role Manager VS Identity Manager
Role Manager VS Identity Manager
-
7/24/2019 Identity e Role Management
71/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 71
Il Role Manager ComplementareallIdentityManager:
implenta ilciclo di vita completo del ruolo lIdM disegnato per usare i ruoli che ilRMha definito e sfruttarli per ottimizzare le
attivit diprovisioning
definisce, perfeziona e verifica i Ruoli: role mining, role versioning, role
certification, etc...
implementa strumenti per processi completi di certificazione (attestation): Sistemi disconnessi (non gestiti dallIdM)
Autorizzazione di dettaglio (per entitlement non gestiti dallIdM)
Glossari degli Entitlement per comprenderne il significato di business Processi di certificazione incrementale
Interfacce semplificate per il Business
gestione di processi che non prevedono provisioning
Role Manager VS Identity Manager
Le sfide
-
7/24/2019 Identity e Role Management
72/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 72
BUSINESS:
-consumer
-partner
-applicationREGULATIONS:
-certification
-SoD
-Least Privilege
RISK:
-Identity Theft
- hackers
-fraud
-terror
BUDGET:
-resources
-staff
COSTCUTTING
(economic
climate):
-Temporary
workers
-Terminatedemployee
-reorganization
-rationalization
Le sfide
Principali benefici del Role Management
-
7/24/2019 Identity e Role Management
73/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 73
Principali benefici del Role Management
I dati destrutturati, ma frutto di lunghe e laboriose evoluzioni
aziendali, diventano patrimonio di informazioni grazie al role mining
Il management in grado di certificare (Attestation) processi,
risorse ed abilitazioni tramite concetti familiari e direttamente
connessi al business
La rilevazione dei conflitti SoD, automatizzata dalle Compliance
Policy, immediata ed a livello delle risorse elementari
(entitlement)
La gran parte dei processi di ricertificazione automatizzato (solo
le eccezioni necessitano una gestione)
Il ciclo di vita delle identit risulta automatizzato e connesso agli
eventi di business (role management), senza aggravio per lestrutture IT
Le azioni correttive del business si riflettono automaticamente sulle
risorse IT (Remediation)
Valutazione costi e benefici (ROI)
-
7/24/2019 Identity e Role Management
74/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 74
Valutazione costi e benefici (ROI)
Dove prevista lattivit di certificazione:
Valutazioni a posteriori su progetti di Role Management benimplementati, hanno dimostrato che il tempo di ROI per
limplementazione di un sistema corrispondente ad una periodicit di
certificazione (tipicamente un semestre)
I benefici economici sono immediatamente misurabili in termini di:
drastica riduzione dei tempi di certificazione eliminazione delle attivit di generazione reportistica
Dove previsto un nuovo progetto di IdM o la revisione del
modello dei ruoli:
Lattivit di Role Mining abbatte i costi progettuali di definizione o
revisione del modello del 90% circa
La gestione del ciclo di vita dei ruoli (con versioning) ottimizza i tempi di
roll-out dell80% circa e mitiga fortemente i rischi
-
7/24/2019 Identity e Role Management
75/76
CLUSIT 2011 Identity & Role Management- Angelo Colesanto 75
Ora il management pucertificare in autonomia!!!
Finalmente sono ingrado di verificare,
controllare ecertificare tutti iprocessi.
Reports
http://upload.wikimedia.org/wikipedia/commons/c/ca/Rosetta_Stone_BW.jpeg -
7/24/2019 Identity e Role Management
76/76
Grazie per lattenzione
[email protected]@colesanto.it
mailto:[email protected]:[email protected]:[email protected]:[email protected]