Il ricorso a una piattaforma avanzata di gestione delle identità digitali riduce i tempi e i rischi operativi legati al governo dei profili autorizzativi di dipendenti e collaboratori
La gestione delle “identità digitali” rappresenta per le organizzazioni di ogni settore un onere di carattere operativo, organizzativo e di sicurezza che è necessario affrontare in relazione al ciclo di vita lavorativo di ogni dipendente e in ottemperanza alle diverse normative che interessano le imprese (alcune delle quali specifiche per settore, come nel caso della Circolare 263 di Banca d’Italia per gli istituti finanziari). Tale attività viene resa particolarmente difficoltosa e inefficiente quando l’azienda si trova a dover gestire un insieme eterogeneo di sistemi e profili, con complicazioni non indifferenti anche sul piano della risposta agli audit e degli adeguamenti normativi. Le organizzazioni devono dunque valutare con attenzione possibili strade per ottimizzare i processi di identity management, anche tramite l’adozione di piattaforme mirate che consentano di orchestrare tutte le attività di gestione delle identità digitali “a monte” rispetto ai diversi sistemi applicativi. In questo senso, per la scelta della soluzione ottimale è opportuno tenere presenti una serie di aspetti. In primo luogo, essa dovrà consentire di assegnare ai diversi collaboratori (interni o esterni, inclusi quelli temporanei o viaggianti) il corretto profilo autorizzativo a seconda del ruolo operativo e funzionale che ricoprono. In secondo luogo, dovrà essere in grado di supportare i processi per la gestione delle assegnazioni, delle eventuali successive modifiche e delle rimozioni (nelle fasi di deprovisioning) che rispettino logiche di validazione ben formalizzate e condivise. Ancora, i processi di gestione dei privilegi informatici abilitati dalla piattaforma dovranno includere meccanismi di automazione e di utilizzo self service da parte degli utenti finali, così da sgravare gli uffici centrali dall’operatività quotidiana, sempre nel rispetto dei vincoli di sicurezza.
Corporate Governance
Una piattaforma di identity management ottimale, inoltre, dovrà consentire alla banca o all’azienda che la impiega di mantenere le responsabilità e i principi di segregazione dei ruoli tipicamente adottati dall’organizzazione stessa. In quest’ottica, di norma l’ufficio sicurezza definisce i profili e le autorizzazioni associate al singolo profilo, il dipartimento risorse umane gestisce i movimenti di personale secondo le mansioni che vengono assegnate ai singoli dipendenti, mentre l’ufficio deputato alle attività di audit/compliance verifica periodicamente la coerenza delle autorizzazioni assegnate alle persone in relazione alle rispettive posizioni organizzative. Per quel che riguarda invece le figure operative, a ciascun addetto andrà lasciata la possibilità di richiedere eventuali modifiche alle proprie autorizzazioni per poter svolgere le attività assegnate e parallelamente spetterà al responsabile dell’unità organizzativa vagliare le richieste dei propri collaboratori e autorizzarle o rigettarle.
Efficienza e sicurezza
L’implementazione di una soluzione di identity management di questo tipo consente in primo luogo di accrescere l’efficienza e la sicurezza. In effetti, la standardizzazione e l’automazione delle attività di assegnazione delle autorizzazioni garantisce un corretto governo delle identità digitali e dei permessi, limitando al minimo il rischio operativo. È possibile in sostanza ottimizzare tempi e costi legati alla gestione delle identità digitali, riducendo al minimo gli intervalli tra l’inoltro delle richieste e l’attivazione dei profili e le attività operative in carico alle unità coinvolte. Il ricorso a un sistema di identity management come quello prefigurato agevola infine il conseguimento (e il continuo mantenimento) della conformità normativa. Gli uffici deputati alla verifica della compliance, infatti, vengono messi nella condizione di poter verificare in tempo reale la situazione delle autorizzazioni concesse al personale e di produrre in modo semplice e rapido i report necessari in caso di visite ispettive o di verifiche di certificazione.
Giovanni Fendillo, supporto organizzativo sicurezza – Cedacri