Identity e Role Management

Identity & Role Management
Know yourself: Come è fatta la mia azienda? Come posso

semplificare la governance e garantire la compliance?
Angelo Colesanto – ZEROPIU Spa

Senior Security Architect
© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto

Agenda
 Introduzione
 role (definizioni, modelli e benefici)
 data mining
 role + data mining = role mining
 coffee break
 riferimenti normativi
 Attestation, Compliance Policy e Remediation
 benefici principali nell'uso di prodotti di "Role
Management"
© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 2

Abstract
Il patrimonio organizzativo delle Aziende è spesso frutto di lunghi e laboriosi processi di ottimizzazione per
la definizione di ruoli e responsabilità. Non sempre, però, è possibile ottimizzare e gestire ruoli e risorse a
causa della difficile e talvolta impossibile governabilità di tale processo.
Nel corso degli anni le Aziende, con l’aiuto di Società di consulenza, hanno tentato attraverso attività di
assessment di rilevare la realtà aziendale, con lo scopo di ottimizzarla per poi promuoverla a modello di
riferimento. Tale attività ha mostrato, però, una sua complessità intrinseca che porta i tempi di analisi ad
essere spesso incompatibili con la velocità con cui le Aziende si evolvono e si ristrutturano, vanificando gli
sforzi profusi per le attività di analisi i cui risultati dovevano continuamente essere rivisti in seguito ai
cambiamenti avvenuti.
Molte Aziende hanno provato ad affrontare il problema con l’ausilio di strumenti di Provisioning ed Identity
Management che da una parte hanno assicurato benefici legati alla corretta gestione della identità digitali
rendendo i processi più strutturati e controllabili, ma il risultato atteso per quanto riguarda la gestione di ruoli
e responsabilità è stato spesso al di sotto delle aspettative.
Il management necessita sempre più di strumenti e processi in grado di dare maggiore visibilità sulle
abilitazioni delle utenze, consentendo attività di verifica e assicurando la conoscenza della propria realtà
tecnico/organizzativa. Solo in questo modo diventa possibile avere processi di certificazione e reportistica in
grado di garantire il rispetto di norme e regole di compliance, e di ridurre i rischi legati all’utilizzo improprio
di risorse aziendali.
I nuovi strumenti resi disponibili dall’evoluzione tecnologica aprono nuove prospettive per risolvere in modo
efficace le problematiche sopra esposte.

Ho chiesto di avere dei report
che mi consentano di avre il
La produzione di Report è
controllo della situazione, ma
stata lunga e faticosa,
sono incomprensibili.
ma ce l’abbiamo fatta…
Come posso certificarli?
Reports

La voce degli analisti
“Enterprise role management, role mining, and access

recertification help enterprises with maintaining
segregation of duties, keeping up with regulatory
compliance requirements, and automating role based
provisioning to enterprise applications - even through
difficult economic times.”
Andras Cser - Forrester 2009

Le sfide
BUDGET:
-resources
-staff
COST
CUTTING
(economic
BUSINESS: climate):
-consumer -Temporary
RISK: -partner workers
REGULATIONS: -Terminated
-application
- Identity Theft employee
-certification - hackers -reorganization
-SoD - fraud -rationalization
-Least Privilege - terror

Business Drivers
 Omologazione e semplificazione del processo

di gestione delle identità
 Adesione ai requisiti normativi più esigenti:

SOX, D.lgs. 196/2003, L.262/2005, …
 Agevolazione dei processi di Audit e

Governance/Risk/Compliace (GRC)
 Adesione a standard di modelli e framework

organizzativi: ITIL v3 (RACI), ISO/IEC
27000, COSO, COBIT, …

Business Objectives
 Migliorare la strutturazione dei sistemi, a beneficio di
processi di gestione ed integrazione più veloci ed
economici
 Ottimizzare i costi pertinenti la gestione delle

identità, delle abilitazioni e delle applicazioni
 Garantire processi di controllo e certificazione in

grado di garantire la consapevolezza del certificatore
 Ridurre tempi e costi delle procedure di certificazione

Agenda
 Introduzione
 data mining
(caratterizzazione della "distanza" ed
applicazioni pratiche)
 coffee break
Management"

L’importanza del Ruolo

Modelli logici basati su Ruoli
RBAC (Role Based Access Control):
Nasce nel 1996, ma viene ratificato come standard NIST nel 2000 a cura di
Sandhu, Ferraiolo e Kuhn
Elementi Core(1):
– S (Subject) = La persona o il sistema
– R (Role) = funzione o titolo che definisce un livello autorizzativo
– P (Permissions) = l’abilitazione di accesso ad una risorsa
S R
Permis
R R Subject Role
sion
Policy(R,P)
(1) Elementi del modello semplificato. Per I riferimenti completi si veda http://csrc.nist.gov/rbac/sandhu-ferraiolo-kuhn-00.pdf

ABAC (Attribute Based Access Control)
Modello presentato per la prima volta da Yuan e

Tong all’ IEEE International Conference
(ICW’05) nel luglio 2007.
Gestisce attributi(1) dei seguenti elementi:

– S (Subject) = La persona o il sistema
– R (Resource) = La risorsa del sistema
– E (Environment) = Il contesto
Policy (S,R,E)
Nota
Se per il subject si considerano validi i soli attributi di tipo ruolo,
il modello è sovrapponibile ad RBAC, con in più la flessibilità
degli elementi di Environment.
(1) Elementi del modello semplificato. Per i riferimenti completi si veda E. Yuan and J. Tong. Attributed Based Access Control
(ABAC) for Web Services. In Proc. IEEE International Conference on Web Services (ICW’05), 2005.7.

ZBAC (AuthoriZation Based Access
Control)
Il futuro?
ZBAC è stato concepito, soprattutto, per

ottimizzare gli aspetti più tecnologici di
comunicazione nell’applicazione del modello
ABAC per i web services, ma il modello
concettuale di ABAC rimane completamente
valido.
From ABAC to ZBAC: The Evolution of Access Control Models

Alan H. Karp, Harry Haury, Michael H. Davis - HP Laboratories

Ruolo: definizione
Cos’è dunque un ruolo?
Elenchiamo almeno 3 esempi di ruolo…

Entitlement
Entitlement:
 L’insieme delle proprietà, attribuzioni ed attributi
che ogni applicazione o sistema definisce per i
propri account
 Esempi:
- Attributi anagrafici dell’account (Nome, Cognome,
Locazione, Ufficio, Titolo, …)
- Attribuzioni abilitative dell’utente (Gruppi assegnati,
Permessi su risorse, Abilitazioni sui sistemi, Caselle
di posta, …)
 Owner: responsabile del sistema, dell’applicazione
o sviluppatore (se definiti a design time)
Application Role
Application Role (o System Role)
 Aggregazione di attribuzioni o attributi che
definisce insiemi omogenei di account
 Esempi:
- Administrator, Publisher, Resource Owner
- Power User, Writer, Editor
- User, Reader
 Owner: Amministratore/Gestore del sistema o

dell’applicazione

Business Role
Business Role (o Organizational Role)
 Mansione o Titolo aziendale che definisce le
funzioni di business cui l’utente è adibito
 Esempi:
- Funzionario, Cassiere, Team Leader, Responsabile
Call Center, …
 Owner: HR, responsabile del business o manager

dell’utente

Ruolo: una entità con più anime
 Entitlement
 Application Role (o System Role)
 Business Role (o Organizational Role)

Applicazione del modello
Identities Organizational Application
Roles Roles
Operator
Function 1
Function 2
Application Function 3
Function
Mr. Green Publisher Policy ...
Help Desk Operator
...
Function N
Administrator
Engineer Application
Mr. Brown Organizational Role Application Role
Assignement Assignement Roles
Policy Policy
User
Function 1
Function 2
Power User Function
Policy ...
Designer
...
Supervisor Function N
Mr. White
Human Resource Policy Manager Application Manager

Manager

La realizzazione del modello
 Rilevare la realtà esistente
 Definire il modello ideale
 Misurare il gap
 Definire le azioni correttive
 Applicare le misure correttive

Role Lifecycle

Agenda
 Introduzione
 data mining
 coffee break
Management"

Data Mining
E’ possibile raggruppare
queste persone?
Quanti raggruppamenti
è possibile definire?E

Data Mining
Il Data Mining è il processo di

estrazione di conoscenza da
banche dati, con l’ausilio di
algoritmi che individuano le
associazioni preesistenti, ma non
immediatamente riconoscibili, tra
le informazioni e le evidenziano,
rendendole fruibili.
Principali tecniche di data mining:

- regole associative
- classificazione
- clustering

Data Mining - Clustering
• si basa su procedure semplici e facilmente automatizzabili
• fa uso di tecniche euristiche
• poggia su una matematica piuttosto elementare
La sua semplicità ne ha favorito la diffusione tra i ricercatori delle

scienze naturali, e la leggibilità dei suoi risultati, l'alto potenziale
euristico e la disponibilità di numerosi strumenti di analisi
automatica ne fanno uno strumento estremamente valido in
numerosi ambiti.

Cos’è il Clustering?
Il Clustering (Robert Tryon, 1939) o
analisi dei cluster, è un insieme di
tecniche di analisi multivariata dei
dati volte alla selezione e
raggruppamento di elementi
omogenei in un insieme di dati.
Tutte le tecniche di clustering si basano sul concetto di distanza tra

due elementi. Infatti la bontà delle analisi ottenute dagli algoritmi di
clustering dipende molto dalla scelta della metrica, e quindi da come
è calcolata la distanza. Gli algoritmi di clustering raggruppano gli
elementi sulla base della loro distanza reciproca, e quindi
l'appartenenza o meno ad un insieme dipende da quanto l'elemento
preso in esame è distante dall'insieme stesso.

Processo iterativo di Clustering

Tipologie di Clustering

Clustering Gerarchico

Cluster sigle-link gerarchici
Single link
Nei cluster single-link gerarchici, ad ogni passo vengono

aggregati i due cluster con minore distanza.
Esempio - Cluster sigle-link gerarchico

BA FI MI NA RM TO
BA 0 662 877 255 412 996
FI 662 0 295 468 268 400
MI 877 295 0 754 564 138
NA 255 468 754 0 219 869
RM 412 268 564 219 0 669
TO 996 400 138 869 669 0


BA FI MI/TO NA RM
BA 0 662 877 255 412
FI 662 0 295 468 268
MI/TO 877 295 0 754 564
NA 255 468 754 0 219
RM 412 268 564 219 0


BA FI MI/TO NA/RM
BA 0 662 877 255
FI 662 0 295 268
MI/TO 877 295 0 564
NA/RM 255 268 564 0


BA/NA/RM FI MI/TO
BA/NA/RM 0 268 564
FI 268 0 295
MI/TO 564 295 0


BA/FI/NA/RM MI/TO
BA/FI/NA/RM 0 295
MI/TO 295 0


Data Retrieval VS Data Mining
Il data retrieval:
• interroga banche dati tramite query
• la ricerca restituisce tutti i casi che soddisfano le condizioni
poste nella query
•l'individuazione di associazioni nascoste può, quindi, solo
procedere per tentativi.
Il data mining:
•risponde a domande più generiche
•rileva dai dati le associazioni esistenti senza richiedere la
formulazione di ipotesi a priori
•usa un approccio esplorativo e non verificativo
•permette di scoprire relazioni nascoste e sconosciute (neppure
ipotizzate)

Vantaggi del Data Mining
 Gestione di dati quantitativi, qualitativi e testuali
 Non richiede ipotesi a priori da parte dell’analista
 Possibilità di elaborare elevati numeri di osservazioni
 Algoritmi ottimizzati per minimizzare I tempi di

elaborazione
 Semplicità di interpretazione dei risultati

Data Mining - framework
WEKA
Weka è un framework, Open Source, di Data Mining,
sviluppato da University of Waikato (Nuova Zelanda).
“Weka” è l’acronimo di
Waikato Environment for Knowledge Analysis.
(Weka è anche un curioso uccello privo di ali che si

trova solo in Nuova Zelanda.)

Agenda
 Introduzione
 data mining
 coffee break
Management"

Role + Data Mining = Role Mining
Riproviamo con la tecnica
appena appresa del
clustering…
E’ possibile raggruppare
queste persone?
Quanti raggruppamenti è
possibile definire?E

Role + Data Mining = Role Mining
Cosa ci manca per
applicare la tecnica del
clustering?

Tool di Role Mining
Un tool di Role Mining efficace:
 Ha una corretta caratterizazione degli elementi di “distanza”
 Permette di definire il “peso” per il calcolo di medie ponderate, di
ciascun elemento che contribuisce a definire la “distanza”
 Permette di raccogliere e correlare dati da tutte le fonti di dati
aziendali:
 HR, ERP, Sistemi, Applicazioni, Database, Dati Gerarchici, Dati
di accesso, …
 Permette di distinguere: Entitlement, Business Role ed Application
Role
 Permette di definire gerarchie (anche ricorsive) di: Entitlement,
Business Role ed Application Role
 Permette di gestire il Role lifecycle

Ora rilevare i dati e
Si.. ora è più
produrre i report ha
comprensibile…
richiesto pochi minuti!!!
…ma il controllo?
Reports

Agenda
 Introduzione
 data mining
 coffee break
Management"

Agenda
 Introduzione
 data mining
 coffee break
Management"

Il contesto operativo
 L’esigenza delle aziende e degli enti di controllare la propria
attività è cambiata radicalmente negli ultimi venti anni per
effetto di diversi fattori:
• l’evoluzione della normativa
• l’evoluzione delle tecnologie informatiche
• la progressiva terziarizzazione dell’attività
• la distribuzione geografica delle attività
 Questa evoluzione comporta la necessità di affrontare in

modo nuovo i processi aziendali direttamente coinvolti:
• la gestione della compliance
o a ciascuna normativa rilevante
o all’insieme delle normative rilevanti
• la gestione della sicurezza delle informazioni

Il contesto normativo
 L’attività di impresa coinvolge interessi diversi:
• Gli stock holder – gli investori - che nel caso di aziende quotate
assumono una particolare rilevanza
• Gli stake holder, i portatori di interessi correlati: dipendenti, clienti,
fornitori, consumatori, …
 Negli ultimi quindici anni si è assistito al proliferare di interventi

normativi a diversi livelli volti ad imporre forme di tutela degli
interessi terzi. Le principali aree di intervento sono:
• Tutela degli investitori in aziende quotate/fondi di investimento: SOX,
l.262/05, Basilea II
• Tutela della privacy: direttive comunitarie, d.lgs. 196/03, Provvedimenti
del Garante per la Privacy, HIPAA
• Responsabilità d’impresa nei confronti di diverse tipologie di reato: d.lgs.
231/01
• Tutela dell’ambiente: legge “Seveso”
 Anche soggetti privati hanno prodotto standard vincolanti per

settori/mercati:
• Tutela degli utenti delle carte di credito: PCI-DSS

American regulations
• Sarbanes-Oxley Act (SOX) - SOX Section 404, 2002
• GLBA - Gramm–Leach–Bliley Act, also known as the Financial Services

Modernization Act, 1999
> Richiedono al management report sull‟efficacia dei sistemi di controllo dell‟azienda

sul financial reporting
> Richiedono esplicitamente controlli di Segregation of Duties (SoD)
• HIPPA - Health Insurance Portability and Accountability Act, 1996
• FISMA - Federal Information Security Management Act, 2002
> Richiedono controli e strumenti per la tutela di dati sensibili

Dall’America all’Italia
“Uno degli elementi di contatto tra le società italiane e quelle

statunitensi è sicuramente rappresentato dalla spinta normativa
verso un continuo rafforzamento del sistema di controllo interno con
conseguenti crescenti oneri di gestione. Ciò rende necessaria una
sempre maggiore attenzione di tutti i soggetti coinvolti sul tema della
Governance verso la ricerca di un giusto equilibrio tra il necessario
rispetto delle disposizioni di legge e la definizione di un sistema di
controllo interno che sia efficace ma al tempo stesso
economicamente sostenibile.”
PricewaterhouseCoopers - AIIA

Normativa Italiana
• D.Lgs. 196/2003 – Codice in materia di protezione dei dati personali
• Misure Minime di Protezione:

> adozione di sistemi di autenticazione informatica
> gestione delle credenziali
> controllo accessi basato sui ruoli (profili di autorizzazione)
> monitoraggio (auditing)

Normativa Italiana
D.Lgs. 231/2001: “responsabilità amministrativa delle società”
LA GENESI DELLA NORMA ED I SUOI OBIETTIVI
• Il Decreto legislativo 231/01 introduce per la prima volta nell‟ordinamento italiano
la responsabilità delle aziende per reati posti in essere da Amministratori,
Dirigenti e/o Dipendenti nell'interesse o a vantaggio dell'Organizzazione stessa.
• Attraverso il „Modello di organizzazione, gestione e controllo‟ il Decreto ha

previsto, a supporto dell‟azienda, una sorta di “paracadute”: l'Organizzazione non
risponde del reato se dimostra di avere adottato ed efficacemente attuato un
modello organizzativo idoneo a prevenire la commissione di tali illeciti. L'azienda
deve cioè dotarsi di un complesso di regole, strumenti e condotte costruito al fine
della prevenzione dei reati e ragionevolmente idoneo ad individuare e prevenire
le condotte penalmente rilevanti poste in essere dalle figure apicali o dai loro
sottoposti.

Normativa Italiana
Legge 262/2005: “Legge sul risparmio”
LA GENESI DELLA NORMA ED I SUOI OBIETTIVI
• La Legge 262 del 2005 è la risposta ai crac finanziari degli anni 2002-2003
• L‟affinità con il Sarbanes Oxley Act non è casuale
• Attualmente limitata alle società quotate (ma non si esclude una estensione)
• Obiettivo: intervenire sui meccanismi di Corporate Governance (CG), dando
rilievo giuridico al Sistema dei Controlli Interni (SCI) e responsabilizzando il
management:
– L’attenzione non è più posta sui soli output di processo, ma sulle stesse procedure: la
progettazione e valutazione dei SCI cessa di costituire un fatto avente rilievo
meramente tecnico
– Il legislatore interviene a più riprese sulle strutture di CG, identifica numerosi organi a
cui attribuisce la responsabilità di attività che afferiscono, da diverse prospettive di
osservazione, al SCI
– La CG progressivamente dà rilievo al controllo, oltre che al governo

Normativa Italiana
L. 262/05 (Art. 154 bis – Il Dirigente Preposto)
ELEMENTI SALIENTI DELLA NORMATIVA
• Nomina di un Dirigente Preposto (DP) alla redazione dei documenti contabili societari,
previo parere obbligatorio dell‟organo di controllo.
• Attestazione della corrispondenza dei documenti contabili societari alle risultanze
documentali, ai libri e alle scritture contabili in tutti gli atti e le comunicazioni della società
diffuse al mercato.
• Predisposizione di adeguate procedure amministrative e contabili per la formazione del
bilancio d‟esercizio, consolidato e di ogni altra comunicazione finanziaria, ad opera del
DP.
• Disponibilità di adeguati poteri e mezzi per il DP affinché eserciti effettivamente i compiti
attribuitigli, sotto la vigilanza del CdA.
• Attestazione dell‟adeguatezza ed effettiva applicazione delle procedure amministrative e
contabili e della loro idoneità a fornire una rappresentazione veritiera e corretta, ad opera
degli organi amministrativi delegati e del DP

Normativa Italiana
Provvedimento del Garante della Privacy
SUGLI AMMINISTRATORI DI SISTEMA (estratto)
• CONSTATATO che lo svolgimento delle mansioni di un amministratore di sistema, anche

a seguito di una sua formale designazione quale responsabile o incaricato del
trattamento, comporta di regola la concreta capacità, per atto intenzionale, ma anche per
caso fortuito, di accedere in modo privilegiato a risorse del sistema informativo e a dati
personali cui non si è legittimati ad accedere rispetto ai profili di autorizzazione attribuiti;
• RILEVATA la necessità di richiamare l'attenzione su tale rischio del pubblico, nonché di

persone giuridiche, pubbliche amministrazioni e di altri enti (di seguito sinteticamente
individuati con l'espressione "titolari del trattamento": art. 4, comma 1, lett. f) del Codice)
che impiegano, in riferimento alla gestione di banche dati o reti informatiche, sistemi di
elaborazione utilizzati da una molteplicità di incaricati con diverse funzioni, applicative o
sistemistiche

Standard Internazionali
ISO 27001:
individua specifici controlli relativi all’utilizzo di privilegi in relazione a tutti i
dati aziendali
A.10.10.2 Monitoring system use - Control
Procedures for monitoring use of information processing facilities shall be
established and the results of the monitoring activities reviewed regularly.
A.10.10.3 Protection of log information - Control

Logging facilities and log information shall be protected against tampering and
unauthorized access.
A.10.10.4 Administrator and operator logs - Control

System administrator and system operator activities shall be logged.
A.11.2.2 Privilege management - Control

The allocation and use of privileges shall be restricted and controlled.
A.11.5.4 Use of system utilities - Control

The use of utility programs that might be capable of overriding system and
application controls shall be restricted and tightly controlled.

Standard Internazionali
ISO 27002 (detta best practices):
specifica esigenze di restrizione e controllo dei privilegi
11.2.2 Privilege management - Control
The allocation and use of privileges should be restricted and controlled.
Implementation guidance
Multi-user systems that require protection against unauthorized access should have the allocation of
privileges controlled through a formal authorization process. The following steps should be
considered:
a) the access privileges associated with each system product, e.g. operating system, database
management system and each application, and the users to which they need to be allocated should
be identified;
b) privileges should be allocated to users on a need-to-use basis and on an event-by-event basis in
line with the access control policy (11.1.1), i.e. the minimum requirement for their functional role
only when needed;
c) an authorization process and a record of all privileges allocated should be maintained. Privileges
should not be granted until the authorization process is complete;
d) the development and use of system routines should be promoted to avoid the need to grant
privileges to users;
e) the development and use of programs which avoid the need to run with privileges should be
promoted;
f) privileges should be assigned to a different user ID from those used for normal business use.
Other information
Inappropriate use of system administration privileges (any feature or facility of an
information system that enables the user to override system or application controls) can
be a major contributory factor to the failures or breaches of systems.

Agenda
 Introduzione
 data mining
 coffee break
Management"

Attestation
L’Attestation (o Certification) e’ un processo
formale periodico che segue le direttive delle
principali normative (SOX, 262,…) consentendo:
 al management di certificare, per le proprie risorse:
 la corretta assegnazione
 la corretta attribuzione di mansioni
 l’appartenenza alla struttura organizzativa
 la presenza di eventuali conflitti come eccezioni (es. SoD)
 alla security di certificare:
 la correttezza delle policy che assegnano alle singole mansioni
abilitazioni a servizi ed applicazioni
 All’IT o ai referenti applicativi di certificare:
 le abilitazioni di dettaglio necessarie all’uso di applicazioni e
servizi

Processi di Attestation
Identities Organizational Application
Roles Roles
Operator
Function 1
Function 2
Function
Mr. Green Publisher Policy ...
Help Desk Operator
...
Function N
Administrator
Engineer Application
Mr. Brown Organizational Role Application Role
Assignement Assignement Roles
Policy Policy
User
Function 1
Function 2
Power User Function
Policy ...
Designer
...
Supervisor Function N
Mr. White
Manager
Human Resource Security
Policy Manager IT/Application
Application Manager
Manager

Compliance Policy
Le Compliance Policy, in accoglimento delle
esigenze normative e di sicurezza, sono:
 regole capaci di individuare conflitti tra attribuzioni di Ruoli
Organizzativi, Ruoli Applicativi ed Entitlement incompatibili tra di loro
 specificamente studiate per rilevare eccezioni alle norme di

Segregation of Duties (SoD)
 capaci di rilevare un conflitto anche se evidente solo al livello di

dettaglio tecnologico (Entitlement) anche se conseguenza
dell’attribuzione di abilitazioni di più alto livello (Ruoli di Business o
Applicativi) apparentemente compatibili tra loro
 capaci di generare un evento da sottoporre a specifica certificazione

(eccezione) o Remediation
Remediation
La Remediation:
 è la necessaria azione correttiva, conseguente alla
violazione di una Compliance Policy
 può essere integrata da processi di attestation e/o di

escalation (workflow)
 Dovrebbe sempre prevedere un processo

automatizzato di adeguamento dei dati applicativi
(entitlement), possibile solo se il sistema è
completamente integrato con strumenti di
provisioning/IdM

Agenda
 Introduzione
 data mining
 coffee break
Management"

Role Management
 Role Mining
 Attestation
 Role Management (grouping, management and

certification of application level into business role)
 Compliance Policy
 Remediation (IDM/Provisioning Integration)

Role Manager VS Identity Manager
Il Role Manager si occupa di “che cosa” può
essere acceduto
- Definisce i ruoli e le politiche che si applicano
all'accesso (che cosa si deve assegnare?)
- Risponde alla domanda "chi ha accesso a che cosa?“
- Definisce e controlla l’accesso
L’ Identity Manager si occupa di “come”

qualcosa può essere acceduto
- Provvede alla assegnazione e all'approvazione
dell’accesso (come si dovrebbe assegnare?)
- Risponde alla domanda "come è stato assegnato
l'accesso?"
- Assegna e gestisce l'accesso

Role Manager VS Identity Manager
Il Role Manager è Complementare all’Identity Manager:
 implenta il ciclo di vita completo del ruolo
• l’IdM è disegnato per usare i ruoli che il RM ha definito e sfruttarli per ottimizzare le
attività di provisioning
• definisce, perfeziona e verifica i Ruoli: role mining, role versioning, role
certification, etc...
 implementa strumenti per processi completi di certificazione (attestation):

• Sistemi disconnessi (non gestiti dall‟IdM)
• Autorizzazione di dettaglio (per entitlement non gestiti dall‟IdM)
• Glossari degli Entitlement per comprenderne il significato di business
• Processi di certificazione incrementale
• Interfacce semplificate per il Business
• gestione di processi che non prevedono provisioning

Le sfide
BUDGET:
-resources
-staff
COST
CUTTING
(economic
BUSINESS: climate):
-consumer -Temporary
RISK: -partner workers
REGULATIONS: -Terminated
-application
- Identity Theft employee
-certification - hackers -reorganization
-SoD - fraud -rationalization
-Least Privilege - terror

Principali benefici del Role Management
 I dati destrutturati, ma frutto di lunghe e laboriose evoluzioni
aziendali, diventano patrimonio di informazioni grazie al role mining
 Il management è in grado di certificare (Attestation) processi,
risorse ed abilitazioni tramite concetti familiari e direttamente
connessi al business
 La rilevazione dei conflitti SoD, automatizzata dalle Compliance
Policy, è immediata ed a livello delle risorse elementari
(entitlement)
 La gran parte dei processi di ricertificazione è automatizzato (solo
le eccezioni necessitano una gestione)
 Il ciclo di vita delle identità risulta automatizzato e connesso agli
eventi di business (role management), senza aggravio per le
strutture IT
 Le azioni correttive del business si riflettono automaticamente sulle
risorse IT (Remediation)

Valutazione costi e benefici (ROI)
Dove è prevista l’attività di certificazione:
 Valutazioni a posteriori su progetti di Role Management ben
implementati, hanno dimostrato che il tempo di ROI per
l’implementazione di un sistema è corrispondente ad una periodicità di
certificazione (tipicamente un semestre)
 I benefici economici sono immediatamente misurabili in termini di:
• drastica riduzione dei tempi di certificazione
• eliminazione delle attività di generazione reportistica
Dove è previsto un nuovo progetto di IdM o la revisione del
modello dei ruoli:
 L’attività di Role Mining abbatte i costi progettuali di definizione o
revisione del modello del 90% circa
 La gestione del ciclo di vita dei ruoli (con versioning) ottimizza i tempi di
roll-out dell’80% circa e mitiga fortemente i rischi

Ora il management può
Finalmente sono in
certificare in autonomia!!!
grado di verificare,
controllare e
certificare tutti i
processi.
Reports

Grazie per l’attenzione
angelo.colesanto@zeropiu.it
angelo@colesanto.it

Identity e Role Management

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Identity e Role Management

Caricato da

Copyright:

Formati disponibili

Identity & Role Management

Know yourself: Come è fatta la mia azienda? Come posso

Angelo Colesanto – ZEROPIU Spa

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 2

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 3

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 4

“Enterprise role management, role mining, and access

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 5

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 6

 Omologazione e semplificazione del processo

 Adesione ai requisiti normativi più esigenti:

 Agevolazione dei processi di Audit e

 Adesione a standard di modelli e framework

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 7

 Ottimizzare i costi pertinenti la gestione delle

 Garantire processi di controllo e certificazione in

 Ridurre tempi e costi delle procedure di certificazione

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 8

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 9

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 10

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 11

Modello presentato per la prima volta da Yuan e

Gestisce attributi(1) dei seguenti elementi:

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 12

ZBAC è stato concepito, soprattutto, per

From ABAC to ZBAC: The Evolution of Access Control Models

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 13

Cos’è dunque un ruolo?

Elenchiamo almeno 3 esempi di ruolo…

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 14

 Owner: Amministratore/Gestore del sistema o

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 16

 Owner: HR, responsabile del business o manager

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 17

 Application Role (o System Role)

 Business Role (o Organizational Role)

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 18

Human Resource Policy Manager Application Manager

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 19

 Definire il modello ideale

 Definire le azioni correttive

 Applicare le misure correttive

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 20

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 21

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 22

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 23

Il Data Mining è il processo di

Principali tecniche di data mining:

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 24

• fa uso di tecniche euristiche

• poggia su una matematica piuttosto elementare

La sua semplicità ne ha favorito la diffusione tra i ricercatori delle

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 25

Tutte le tecniche di clustering si basano sul concetto di distanza tra

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 26

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 27

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 28

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 29

Nei cluster single-link gerarchici, ad ogni passo vengono

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 31

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 32

© CLUSIT 2011 – Identity & Role Management- Angelo Colesanto 33

BA 0 662 877 255 412