Il governo delle identità digitali volto alla mappatura dei processi IT in funzione dei processi di business, risulta sempre più centrale ai fini della mitigazione del rischio, soprattutto in un momento in cui le aziende non hanno più confini fisici da difendere, ed è sempre più diffuso lo smart working. Il fatto che i dipendenti accedano ai sistemi aziendali da remoto, attraverso diversi dispositivi e da varie postazioni, è da una parte un’opportunità che consente di continuare a lavorare nonostante l’emergenza pandemica, ma dall’altra potrebbe aprire spiragli – se non si adottano le giuste misure di prevenzione – a incidenti informatici e a rischi per la sicurezza delle informazioni. Se l’identity governance consente di tenere sotto controllo chi ha diritto ad accedere alle informazioni aziendali, evitando intrusioni, allo stesso tempo può rappresentare – per chi non abbia mai affrontato questo tema – un processo particolarmente complicato. L’applicazione dell’intelligenza artificiale all’assegnazione e alla gestione dei permessi può fornire alle organizzazioni uno strumento flessibile e in gran parte automatizzato, che semplifica in maniera determinante i compiti degli IT manager e del team aziendale che si occupa di sicurezza. Nasce su queste basi la partnership tra il system integrator Scai PuntoIt e SailPoint, multinazionale texana specializzata nel campo dell’identity governance.
La partnership tra SCAI PuntoIt e SailPoint
“Come system integrator SCAI PuntoIt è impegnata nella consulenza verso i propri clienti ed attenta a consigliare le soluzioni più adatte alle loro esigenze, in base anche alla natura dei loro processi e del loro business- afferma Alessandra Vidili, Head of the digital identity team di SCAI Puntoit – SailPoint è per noi una tecnologia estremamente importante, perché offre al mercato ed alle aziende, che decidono di cimentarsi in progetti di identity governance complessi, una soluzione flessibile e leggera per la gestione delle identità, per esempio semplificando processi di gestione e richieste di nuove autorizzazioni e procedure di certificazione della veridicità dei diritti di utenti e dipendenti. È un salto di qualità rispetto alle vecchie procedure che venivano gestite con file excel e controlli manuali o che richiedevano un continuo intervento del personale IT per estrazione ed elaborazione dei dati. Sailpoint inoltre, mette in primo piano la user experience di utenti non IT, quali manager funzionali, auditor etc., rendendo le informazioni fruibili da chi realmente ne ha bisogno.
Il rapporto che abbiamo costruito nel tempo con SailPoint è per noi una garanzia del fatto che possiamo proporre al cliente un prodotto affidabile in tutte le fasi, dall’implementazione all’analisi fino allo sviluppo del progetto ogni volta che se ne presenta la necessità”.
Who's Who
Socomec
“Il nostro approccio all’Identity governance si declina attorno alle persone – aggiunge Andrea Solaroli, Sales Lead di SailPoint – che sono l’asset principale di ogni azienda e che devono essere autonome e indipendenti per adattarsi alle circostanze sempre diverse che affrontano durante la quotidianità del loro lavoro. L’organizzazione deve adattarsi a una nuova situazione, dove non c’è ‘dentro’ e ‘fuori’ dai confini aziendali, e ciò richiede un approccio diverso rispetto a quanto eravamo abituati finora, e capace di sostenere il business aziendale senza esporlo a rischi. SCAI Puntoit è stato uno dei nostri primi partner in Italia sul governo delle identità digitali e hanno diffuso e promosso il nostro approccio presso molti dei loro clienti”.
Who's Who
Riccardo Vola
Il ruolo dell’intelligenza artificiale nell’identity governance
“L’AI è un elemento trainante, che innalza il tasso di innovazione all’interno di un’organizzazione in modo omogeneo e strategico- prosegue Solaroli – il governo delle identità digitali consente di indirizzare i processi verso la mitigazione del rischio: inoltre potenziare tale approccio tramite l’intelligenza artificiale allinea gli strumenti tecnologici con le effettive esigenze organizzative e con il comportamento degli individui. Si possono prevenire i problemi, identificare le aree di non conformità e arricchire i cruscotti aziendali dedicati alla gestione del rischio, rendendo più veloce e semplice l’implementazione delle tecnologie”. Ma quale potrebbe essere un esempio dell’applicazione dell’AI? “Uno degli use case più diffusi è costituito dall’utilizzo dell’AI nell’ambito della peer analysis – spiega Solaroli – In funzione di specifici diritti di accesso dell’utente si identificano i potenziali rischi, gli eventi indicatori di una non corretta configurazione, oppure i permessi eccessivi o inutilizzati che possono essere sfruttati per un attacco o data breach. Questi alert vengono trasmessi a chi si occupa dell’assegnazione dei permessi e della gestione dei rischi, consentendo di rimediare al problema in tempo reale”.
“I progetti di identity management sono storicamente molto complessi, perché entrano nel vivo dei processi aziendali – aggiunge Alessandra Vidili – è un intervento a cuore aperto che opera sulla fluidificazione dei flussi principali dell’azienda. Spesso il processo che gestisce le modalità in cui vengono dati i ‘via libera’ per l’abilitazione di queste identità non è mai stato definito, magari esiste sulla carta, ma non è realmente applicato ed è quindi vago e può dipendere da fattori non standardizzati (chi fa la richiesta, a chi viene fatta, in che momento…). Si tratta di difficoltà che storicamente hanno causato anche il naufragio di alcuni progetti di identity management.
Complesso talvolta è capire chi sono gli utenti che l’azienda si trova a gestire (dipendenti, consulenti, partner commerciali, clienti…), quali diritti devono avere e perché, e a quali informazioni e strumenti possono accedere per svolgere i loro compiti o usufruire dei servizi. La piattaforma di intelligenza artificiale di SailPoint, che attinge da un’ampia base di informazioni condivise ed è in grado di autoapprendere da questo database, svolge una serie di calcoli ‘automatizzati’ che consentono in fase di assessment di mettere a punto proposte per l’identity governance che altrimenti avrebbero richiesto mesi di lavoro, e non avrebbero dato risultati così accurati e attendibili. Il vantaggio per le aziende è alto, perché i processi aziendali sono in continua evoluzione e c’è bisogno di un riscontro continuo: non si può rimanere ‘ingessati’ in uno schema. Grazie alla piattaforma di SailPoint si può gestire in modo agile l’evoluzione dell’azienda, affrontandone in tempo reale le dinamiche di crescita e i nuovi processi, correggendo ciò che è obsoleto o perfettibile”.
La pandemia e la necessità di sistemi di identity governance flessibili e funzionali
“Con l’emergenza Covid-19 abbiamo assistito a un’accelerazione del nostro mercato di riferimento – sottolinea Solaroli – Il tema delle identità digitali era già tra le priorità dei responsabili dei sistemi informativi, ma la pandemia non ha fatto che accelerare questo processo, forzando un passo in avanti quando la direzione era comunque già segnata. Il tema della remotizzazione del lavoro in questo contesto mette ancora più al centro il ruolo di ciascun individuo, attorno al quale deve essere costruito un sistema di sicurezza e di garanzia “su misura” perché possano accede con tranquillità, immediatezza e semplicità ai sistemi aziendali, garantendo al tempo stesso sicurezza e autonomia. L’identità digitale è l’alter ego di ciascuno di noi nei sistemi informatici, ed è quindi l’asset più importante da proteggere. L’obiettivo da perseguire è rendere ciascuno sempre più autonomo e capace di assumere le decisioni importanti in funzione del business in modo sicuro. Per ottenere questo risultato lavoriamo in tre direzioni convergenti: intelligenza artificiale, cloud e user experience”
“Oggi ci muoviamo in un contesto di mercato dove la competitività è sempre più difficile da mantenere e la dinamicità è elevatissima – conclude Vidili – la situazione di emergenza sanitaria attuale di sicuro facilita le scelte di alcune aziende che magari prima dell’esplosione su scala globale del Covid-19 erano titubanti. C’è stata una corsa alla digitalizzazione di servizi che prima non erano digitali, ad esempio nelle vendite, e molte aziende hanno dovuto esporre nuovi servizi online, in alcuni casi senza curare abbastanza la sicurezza. Chi si è dotato di un sistema di governance delle identità digitali in questo contesto è riuscito a mantenere al sicuro i propri dati, mentre chi utilizzava soluzioni obsolete sta valutando una strategia per mettersi al riparo, anche a causa dell’allarme causato da una serie di attacchi informatici che si sono susseguiti negli ultimi mesi. Se in passato la strategia di difesa era quella di creare un muro altissimo a protezione del perimetro aziendale, oggi questo non è più possibile, e l’attenzione si sta spostando – oltre che sulla prevenzione – sulle strategie di reazione immediata e di limitazione del rischio e del danno. Le soluzioni di identity governance basate sull’Intelligenza artificiale servono anche a questo, e si adattano a settori di business molto diversi tra loro, dal fashion al manifatturiero, all’industria pesante a macchinari di nicchia, dal banking e dal finance fino alla PA. Nel momento in cui si parla per esempio del progetto di Cloud europeo GaiaX – conclude Vidili – sarà sempre più importante avere una visibilità chiara di chi accede ai dati in Cloud, anche al di là degli obblighi di compliance che riguardano alcuni settori specifici e particolarmente sensibili”.