Il governo degli accessi logici e della separazione dei ... › sites › default › files › attivita › sds › ...tecniche adottate per rendere IAM l'elemento di governo degli

Il governo degli accessi logici e della separazione dei ruoli tramite l'Identity Management

Parma, 5-6 giugno 2008

Codice documento: PSA-PP079

Abstract

La relazione illustra il progetto di introduzione di un sistema di Identity and Access Management in una realtà aziendale complessa. L'attenzione è posta sui fattori critici di successo del progetto IAM e sulle soluzioni organizzative e tecniche adottate per rendere IAM l'elemento di governo degli accessi alle applicazioni aziendali, nel rispetto dei principi del “need to know” e della “segregation of duties”. Viene, altresì, evidenziato come la realizzazione di IAM rappresenti uno snodovitale per il raggiungimento ed il mantenimento della compliance SOX.

Summary

Il contesto e le esigenzeLa soluzione: il progettoI fattori criticiAllegati

5-6 giugno 2008 4Progetto Sicurezza Accessi

Uso: Pubblico

Il contesto e le esigenze

“La guerra è di somma importanza per lo Stato: è sul campo di battaglia che si decide la vita o la morte delle nazioni, ed è lì che se ne traccia la via della sopravvivenza o della distruzione. Dunque èindispensabile studiarla a fondo.”

Sun Tzu


Uso: Pubblico

l BO

l TO

l FI

l

l BA

lCZ

l PA

l CA

l VE

l MI

. l NA

13,2

13,2

4,4

4,4

13,2

13,2

20

20

7,6

15,2

28

20

44

9,6

4,8

8

4

8,8

8,8

ROMA

IT Enel in Italia

3 Data Centres & 1200 siti connessi

60k utenti intranet

20k utenti mainframe

40k caselle e-mail interne (>500k esterne)

23k utenti SAP/R3

12k utenti “full internet” (30k parziali)

30M contatori elettronici (175M operazioni remote)

Piattaforme per Sales & workforce management

CRM (~40M. Chiamate/anno).

Metodi di autenticazione

SiteMinder, Active Directory, PKI Entrust, …

Repository di identità

SAP, Active Directory, Oracle tables, Bea Portal Intranet,

Directory X.500 (PKI), Exchange 2000, Remedy, RACF, …


Uso: Pubblico

Enel nel mondo

FRANCIA• 5% Powernext MoU per lo sviluppo di EPR• Erelis: sviluppo energia eolica• Enel France: fornitore

SLOVACCHIA• 66% di Slovenské Elektrárne: Potenza

installata 6.442 MW

RUSSIA• Gestione di 900MW CCGT

vicino S. Petersburg (NWTPP)

• 49,5% di Rusenergosbyt trader

• ~60% di OGK-5

ROMANIA• 51% di Banat & Dobrogea• 1.4M di clienti, 52.972 km di linee di

distribuzione• 67.5% Electrica Muntenia Sud

(closing expected by 2nd half of 2007)• 1.1M di clienti e 43,350km di linee di

distribuzione

BULGARIA• 73% Maritza East III: Potenza

installata 560 MW

Europa

SPAGNA• ~24% di Endesa• Viesgo: Potenza installata 2199MW

più di 600K clienti, 29.990 km dilinee di distribuzione

• 50% of EUFR: Potenza installata228 MW

NORD AMERICA• Potenza installata

402MW

AMERICA LATINA• Potenza installata

471MW

America


Uso: Pubblico

Contesto aziendale

Il parco applicativo IT della realtà Enel è molto ampio ed eterogeneo

L’immagine “digitale” delle risorse umane consente di eseguire controlli in modo efficace poiché in Enel tutti i processi hanno un’elevata automazione

L’organizzazione è gestita in modo flessibile per adattarsi rapidamente alle esigenze del mercato, perciò i cambiamenti sono frequenti e profondi

Occorre ottemperare alle disposizioni di legge, non solo italiane:

• Legge 8 giugno 2001, n. 231

• Legge 30 giugno 2003, n. 196 – “Privacy”

• Legge 28 dicembre 2005, n. 262 – “Risparmio”

• Sarbanes – Oxley Act

Per approfondimenti


Uso: Pubblico

Il cambiamento organizzativo

Distinguere la responsabilità della correttezza del trattamento dell’informazione, da quella del raggiungimento dei risultati

• Eliminazione del contrasto di responsabilità sul medesimo soggetto

• Miglioramento della corrispondenza dei processi alla normativa

• Controllabilità delle interferenze tra processi diversi

• Aumento della flessibilità operativa

• Coinvolgimento dei responsabili operativi nelle fasi di controllo

Responsabilitàsulle persone User Manager

Responsabilitàsu dati e processi Data Owner


Uso: Pubblico

La soluzione: il progetto

“Ciò che da valore alla guerra, è la vittoria. Quando la guerra dura troppo a lungo, le armi si spuntano e il morale si deprime. Quando le truppe assediano troppo a lungo le città, le loro forze si esauriscono in fretta.”

Sun Tzu


Uso: Pubblico

Obiettivi

1. Orientare il flusso di richiesta delle abilitazione ai principi:

•Need to know

•Segregation of duties

2. Garantire al sistema di controllo la certezza di identificare gli attori del processo di abilitazione integrandolo con le informazioni del sistema di gestione del personale.

3. Rendere efficienti ed efficaci le attività tramite adeguati strumenti:

•Impiego del modello RBAC (Role-Based Access Control)

•Processo di abilitazione controllato tramite l’inserimento di vincoli nel workflow

•Applicazione del principio SOD sia nel disegno dei processi/profili, che in fase di abilitazione

•Uso di controlli a mitigazione del rischio di frodi/errori non intenzionali se sussistono ragioni di carattere organizzativo che indeboliscono l’applicazione del principio SOD

Per approfondimenti


Uso: Pubblico

IAM

SODMatrice ruoli

incompatibili

Matrice attivitàincompatibili

Modello

UnitàOrganizzative

Profiliapplicativi

Utenti Ruoli

Attività dibusiness

Transazionielementari


Uso: Pubblico

Calcolo SOD

R3

XR2

XR1

R3R2R1Ruoli incomp.

A3

XA2

XA1

A3A2A1Attivitàincompatibili

T3

XT2

XT1

T3T2T1Trans.incomp.

T3A3

T2A2

T1A1

Trans.Attività

R3T3

R2T2

R1T1

RuoloTrans.

Per approfondimenti


Uso: Pubblico

Controllo SOD nella richiesta di abilitazione

R6

R5

Nuova richiesta ruoli per utente A

R4

R2

R1

Ruoli già associati a utente A

R5R2

R5R1

Elenco ruoli incompatibili Escalation

Responsabilitàsulle risorse

XXR5

XR2

XR1

R5R2R1Matrice ruoli incompatibili

Per approfondimenti


Uso: Pubblico

An

XA2

XA1

AnA2A1Attivitàincompatibili

Tn

XT2

XT1

TnT2T1Transazioni

Incompatibili

TnAn

T2A2

T1A1

TransazioniAttività

Esempio di calcolo


Uso: Pubblico

Sistema

IAMApplicazioni

Back-endConnettoriIdentità

Motore gestione flussi

Motore gestione flussi

Front-end

Motore gestione incompatibilità

Motore gestione incompatibilità

SAP HR

…

…

…

SAP R3

…

Per approfondimenti

SAP HR

UtentiEsterni

G.In.Ev.R.A.G.In.Ev.R.A.

User Manager

Proprietario informazioni

Referente Abilitazioni

Amministratore di sistema


Uso: Pubblico

Connettori

I connettori sono bi-direzionali e devono garantire l’allineamento tra IAM e le applicazioni:

• Aggiunta di utenti o abilitazioni (associazione utente-profilo) da IAM all’applicazione

• Aggiunta di utenti o abilitazioni dall’applicazione a IAM. L’informazione si deve abbinare con una richiesta di abilitazione, altrimenti si innesca il trattamento dell’eccezione

Tramite i connettori trovano attuazione automatica alcune regole basate su eventi avvenuti nel sistema di gestione del personale. Ad esempio le seguenti:

• Rimozione di abilitazioni a seguito di cessazione

• Attivazione di abilitazioni standard a seguito di assunzioni

• Modifiche di abilitazioni a seguito di trasferimenti

Per approfondimenti


Uso: Pubblico

Organizzazione

Il governo del progetto ha richiesto una collaborazione stretta, paritaria ed a più livelli, di vari enti aziendali:

• Security

• Audit

• Organizzazione

• Amministrazione

• ICT

• Linee operative

La parte più operativa si è svolta in una serie di sottoprogetti paralleli, affidati alla responsabilità delle linee operative con l’obiettivo di integrare in IAM il sistema di proprietà della linea.

La presenza sul campo della funzione Audit ha aggiunto subito concretezza ed efficacia alle decisioni di progetto.

Per approfondimenti


Uso: Pubblico

Kick-off

Analisi Organizzativa

Analisi Organizzativa

Change Management

Change Management

Adeguamentoapplicazione

Adeguamentoapplicazione

Riconciliazionedelle identità

Riconciliazionedelle identità

Go-livePianificazionePianificazione AdeguamentoIAM

AdeguamentoIAM

Reticolo del progetto elementare

Controllo del progettoControllo del progetto

Per approfondimenti


Uso: Pubblico

Analisi SOD sui ruoli

Totale ruoli gestiti = 11.180

9961 87%

1519 13%

Ruoli lecitiRuoli illeciti

81Proprietari delle Informazioni coinvolti

43Processi SOX relevant

91Sistemi a supporto dei processi SOX relevant

131.333Voci di segregazione (abbinamenti ruoli\unità organizzative)

9.319Voci di analisi non SAP (abbinamenti ruoli\attività)

692.788Voci di analisi SAP (abbinamenti transazioni\attività)


Uso: Pubblico

Informazioni gestite da IAM

0200400600800

10001200140016001800200022002400

04-mag

22-m

ag05

-giu15

-giu07

-lug

13-lu

g01

-ago

28-ago

12-se

t27

-set

16-ott

06-nov

22-nov13

-dicter

mineRichieste User Manager Richieste Referenti


Uso: Pubblico

I fattori critici

“Gestire molti è come gestire pochi: basta curare l’organizzazione. Controllare molti è come controllare pochi. È solo una questione di addestramento e di segnalazioni.”

Sun Tzu


Uso: Pubblico

Punti di forza

• Analisi basata sulle transazioni elementari

• Analisi SOD automatica e trasversale a tutti i sistemi

• Collegamento diretto tra i repository delle identità e IAM: gestione a 360° del singolo dipendente

• Utilizzo di connettori bi-direzionali per garantire l’allineamento tra IAM e le applicazioni


Uso: Pubblico

Linee di azione

Organizzativa

• Definizione di una procedura interna

» Disegno del workflow

» Individuazione degli attori

» Controlli specifici (sul flusso) e di monitoraggio (sui compiti)

• Coinvolgimento di tutti gli sponsor

• Formazione

Tecnica

• Realizzazione del modulo IAM

• Realizzazione del motore di calcolo SOD


Uso: Pubblico

Elementi critici

Cambio di mentalità nell’azienda

• Definizione profili

• Politiche di assegnazione dei profili

• Adeguamento dell’organizzazione e utilizzo della nuova flessibilità

Numerosità delle risorse umane coinvolte

• Formazione degli attori, in gran parte collocati in posizioni di alto livello

• Definizione di politiche

• Bonifica delle incongruenze

Numerosità dei sistemi da connettere

• Individuazione delle specificità delle singole applicazioni e realizzazione di soluzioni ad hoc

• Attivazione di connettori


Uso: Pubblico

Elementi di rischio

Il principale rischio è stato l’interferenza con i processi di business

• Le attività di progetto potevano interrompere altre azioni ugualmente strategiche per l’azienda


Uso: Pubblico

L’esperienza

Gli investimenti sulle risorse umane sono indispensabili, ma non bastano mai

• Le azioni per rafforzare il committment sono state necessarie per tutta la durata del progetto ed hanno coinvolto i livelli più alti

• La formazione, in molti casi, deve essere ripetuta perché è difficile trasmettere la visione completa del cambiamento. Inoltre essa deve essere mirata e specializzata a seconda dei diversi destinatari

• La comunicazione dei risultati “in progress” è servita di stimolo per le azioni ancora in corso

Le attività IT sono numerose e debbono essere tempestive

• Possono essere eseguite in anticipo: è un’opportunità da sfruttare

• Le persone del business danno per scontato che “la macchina”funzioni. Non bisogna deluderle perché altrimenti si distraggono


Uso: Pubblico

Grazie

Umberto Isnardi

[email protected]

Enel

www.enel.it


Uso: Pubblico

Allegati


Uso: Pubblico

Definizioni (1/2)

Attività: si tratta delle sole attività rilevanti ai fini SOA cioè quelle la cui sovrapposizione su una singola persona costituisce un “rischio in relazione ai potenziali errori intenzionali nell’informativa di bilancio”.

Sistema Target: piattaforma informatica fisicamente collegata al sistema centrale IAM attraverso uno o più connettori (ad esempio Active Directory, SAP R/3, Hyperion, eccetera).

Applicazione: rappresentazione logica del target o di una parte di esso sul sistema centrale.

Transazioni o Funzionalità: si tratta di funzionalità del medesimo sistema informatico, le quali debbono essere trattate come un tutto unico dal punto di vista software.

Profilo: si tratta di raggruppamenti di funzionalità del medesimo sistema informatico, le quali debbono essere trattate come un tutto unico in fase di abilitazione. In IAM sono rappresentati come coppia Applicazione\Funzionalità

Ruolo: si tratta di raggruppamenti di profili appartenenti a diversi sistemi informatici, ma che sono assegnabili ad un unico soggetto all’interno del processo abilitativo gestito in IAM. La definizione del ruolo avviene nel solo ambito informatico. Nel sistema IAM ad un utente possono essere assegnati uno o più Ruoli.


Uso: Pubblico

Definizioni (2/2)

Utente: si tratta di un soggetto, interno od esterno all’azienda, che esegue delle attività. Può essere abilitato a determinate funzionalità dei sistemi informatici.

Abilitazione o Autorizzazione: si tratta della capacità di un soggetto di far eseguire ad un sistema informatico certe funzionalità. Nel modello della soluzione èuna relazione tra un utente ed un ruolo.

Unità Organizzativa: è un raggruppamento di utenti all’interno dell’azienda.

Disponibilità Ruoli su Base unità organizzativa: un Ruolo, per essere assegnato ad un Utente appartenente ad una unità organizzativa, deve essere stato dichiarato “assegnabile” a quella unità

Transazioni, profili o ruoli illeciti: si intendono elementi che, da soli, abilitano ad eseguire almeno due attività tra loro incompatibili.

Transazioni, profili o ruoli incompatibili: si intendono elementi che, presi da soli sono leciti, ma insieme abilitano ad eseguire almeno due attività tra loro incompatibili.

Delega: un utente delegante può delegare uno o più ruoli, a lui assegnati, ad un altro utente chiamato delegato; i ruoli posseduti da un utente in delega sono SEMPRE temporanei, ma possono essere rinnovati.

Profilo Autorizzativo di un Utente: insieme dei Ruoli posseduti da un utente ad una certa data.


Uso: Pubblico

Riferimenti normativi – Legge 196/03

TITOLO IV - SOGGETTI CHE EFFETTUANO IL TRATTAMENTO

Art. 28 (Titolare del trattamento)

1.Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.

Art. 29 (Responsabile del trattamento)

1.Il responsabile è designato dal titolare facoltativamente.

2.Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

3.Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.

4.I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.

5.Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.


Uso: Pubblico


Art. 30 (Incaricati del trattamento)

1.Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

2.La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.

Titolo V - SICUREZZA DEI DATI E DEI SISTEMI

CAPO II - MISURE MINIME DI SICUREZZA

Art. 33 (Misure minime)

1.Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.


Uso: Pubblico


Art. 34 (Trattamenti con strumenti elettronici)

1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B, le seguenti misure minime:

a)autenticazione informatica;

b)adozione di procedure di gestione delle credenziali di autenticazione;

c)utilizzazione di un sistema di autorizzazione;

d)aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e)protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f)adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g)tenuta di un aggiornato documento programmatico sulla sicurezza;

h)adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.


Uso: Pubblico


Capo III - Sezione V-bis

Redazione dei documenti contabili societari

Art. 154-bis. - (Dirigente preposto alla redazione dei documenti contabili societari).

1.Lo statuto prevede le modalità di nomina di un dirigente preposto alla redazione dei documenti contabili societari, previo parere obbligatorio dell’organo di controllo.

2.Gli atti e le comunicazioni della società previste dalla legge o diffuse al mercato, contenenti informazioni e dati sulla situazione economica, patrimoniale o finanziaria della stessa società, sono accompagnati da una dichiarazione scritta del direttore generale e del dirigentepreposto alla redazione dei documenti contabili societari, che ne attestano la corrispondenza al vero.

3.Il dirigente preposto alla redazione dei documenti contabili societari predispone adeguate procedure amministrative e contabili per la predisposizione del bilancio di esercizio e, ove previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere finanziario.


Uso: Pubblico


4.Al dirigente preposto alla redazione dei documenti contabili societari devono essere conferiti adeguati poteri e mezzi per l’esercizio dei compiti attribuiti ai sensi del presente articolo.

5.Gli organi amministrativi delegati e il dirigente preposto alla redazione dei documenti contabili societari attestano con apposita relazione, allegata al bilancio di esercizio e, ove previsto, al bilancio consolidato, l’adeguatezza e l’effettiva applicazione delle procedure di cui al comma 3 nel corso dell’esercizio cui si riferisce il bilancio, nonché la corrispondenza del bilancio alle risultanze dei libri e delle scritture contabili. L’attestazione è resa secondo il modello stabilito con regolamento dalla CONSOB.

6.Le disposizioni che regolano la responsabilità degli amministratori si applicano anche ai dirigenti preposti alla redazione dei documenti contabili societari, in relazione ai compiti loro spettanti, salve le azioni esercitabili in base al rapporto di lavoro con la società».


Uso: Pubblico

Titolare dell’abilitazione

È il dipendente o l’eventuale collaboratore esterno, al quale viene consentito l’utilizzo di un sistema/applicazione informatica in relazione alle attività assegnate o al rapporto di collaborazione in essere

Ha l’obbligo di segnalare al proprio responsabile ogni irregolaritàriscontrata nelle proprie abilitazioni, con particolar riguardo alle abilitazioni che dovessero risultare a lui attribuite senza giustificato motivo


Uso: Pubblico

User Manager

È il Responsabile di Unità Organizzativa

Individua, in relazione alle attività affidate e anche nel rispetto del principio della segregation of duty, le esigenze di accesso ai sistemi ed ai dati per i propri collaboratori e per i soggetti esterni che prestano la loro attività sulla base di contratti gestiti nell’ambito della sua unità.

Incarica uno o più Referenti alle Abilitazioni con il compito di gestire il flusso delle richieste di abilitazioni attinenti alla sua unità


Uso: Pubblico

Referente alle Abilitazioni

E’ la persona incaricata da uno o più User Manager per gestire il flusso delle richieste di abilitazione per una o più unità Organizzative.

Verifica la completezza e la correttezza della richiesta ricevute dallo/dagli User Manager di competenza e, ove necessario, la conformità alle policy

Richiede, nel caso di abilitazioni applicative non appartenenti a categorie preventivamente autorizzate, l’approvazione al Proprietario delle Informazioni competente

Richiede l’autorizzazione alla Security, nel caso di abilitazione “sensibile”

Richiede, a positiva conclusione delle precedenti verifiche, l’abilitazione all’operatore competente

Riceve conferma dell’avvenuta abilitazione e trasmettere al titolare le opportune indicazioni


Uso: Pubblico

Proprietario delle Informazioni

E’ il responsabile di una determinata applicazione per la quale assicura l'integrità e la riservatezza dei dati, nonché l'uso degli stessi coerentemente con le finalità per le quali i dati sono raccolti e detenuti, conformemente con le norme e i regolamenti vigenti.

Cura, nel rispetto del principio della “segregation of duties”, la definizione e periodica manutenzione delle politiche di accesso alle applicazioni di competenza, assicurando la loro aderenza ai mutamenti dell’organizzazione aziendale

Cura, nel rispetto del principio del "need-to-know”, l'appropriata attribuzione dei profili autorizzativi agli utenti, in base alle necessità di servizio formulate dagli User Manager


Uso: Pubblico

Operatore alle Abilitazioni

E’ la persona incaricata di attivare sui sistemi le abilitazioni degli utenti a fronte di richieste inviate solo dai Referenti alle Abilitazioni designati.

È responsabile di:

• dare conferma dell’avvenuta abilitazione a chi ha formulato la richiesta;

• tenere traccia di ogni richiesta gestita, con evidenza di colui che le ha originate;

• collaborare con le diverse figure aziendali coinvolte nel processo della gestione delle abilitazioni.


Uso: Pubblico

Gestione incompatibilità

Il modello di calcolo usa delle semplici tabelle per rappresentare i concetti da trattare.

L’algoritmo permette di trasformare le informazioni di ingresso, costruite con il linguaggio dei processi aziendali, in oggetti che i sistemi informatici possono associare agli utenti per consentirgli di usare il sistema.

La matrice dei ruoli incompatibili è usata nel workflow delle abilitazioni per determinare se è necessario effettuare escalation

I valori di incompatibilità sono: High, Medium


Uso: Pubblico

Proprietario delle informazioni

Operatore alle abilitazioni

Funzione ICTReferente alle abilitazioniUser manager

Invio richiesta

A

Richiestacompleta?

SI

NO

ComunicazioneUser manager

Tecnica & Budget OK? Corretta OK? Sensibile OK?

Effettuazione abilitazione e archiviazione

richiestaDB

H

Notifica avvenuta

abilitazione

HInvia al titolare le opportune informazioni

H

SI SI

Security

B E F G

NO NO NO

SI

Accettoincompatibilità?

NO

Resp UserManager

Ruoli compatibili?.

NO

SI

Richiestaviene

modificata?

SI

SINO

D

D

C

Workflow abilitazioni

Proposta controllo

compensativo


Uso: Pubblico

Workflow abilitazioni

A. Lo User Manager richiede al Referente alle Abilitazioni il rilascio dell’abilitazione per il titolare

B. Il Referente alle Abilitazioni verifica la completezza della richiesta e, secondo il tipo coinvolge nella verifica, gli attori “C”, “D”, “E”, “F” ed eventualmente anche la Funzione del PO

C. Qualora l’aggiunta dell’abilitazione generi un’incompatibilità, il referente alle abilitazioni effettua escalation chiedendo ulteriore conferma allo User Manager.

D.Nel caso di incompatibilità lo User manager può annullare la richiesta, o ribadirla e cosìindirizzarla al”Resp User Manager” che è incaricato di approvare o rifiutare la richiesta.

E. La funzione ICT valuta la correttezza tecnica, nonché, qualora le procedure divisionali lo prevedano, la conformità alle policy/architetture e la copertura del budget.

F. Proprietario delle Informazioni competente è coinvolto nel caso in cui non coincida con lo User Manager richiedente

G.L’autorizzazione dalla Security è necessaria nel caso di abilitazione “sensibili”

H.A conclusione positiva e documentata di tutte le precedenti verifiche, il Referente alle abilitazioni, trasmette la richiesta all’Operatore alle Abilitazioni competente. Se una delle verifiche dà esito negativo, il referente alle abilitazioni lo comunica allo User Mangerrichiedente. L’Operatore alle Abilitazioni, effettuata l’abilitazione, tiene traccia delle operazioni svolte e né dà riscontro al Referente alle Abilitazioni il quale, a sua volta, trasmette al titolare le opportune indicazioni.


Uso: Pubblico

TipologiaTipologia Criteri di AssegnazioneCriteri di Assegnazione

StandardStandard

Abilitazioni ritenute essenziali per i dipendenti in virtùdell’appartenenza ad una determinata unità organizzativa ed a prescindere dalle specifiche mansioni affidate (ad es. accesso rete Windows, posta elettronica, SAP Time & TravelManagement ).

Abilitazioni ritenute essenziali per i dipendenti in virtùdell’appartenenza ad una determinata unità organizzativa ed a prescindere dalle specifiche mansioni affidate (ad es. accesso rete Windows, posta elettronica, SAP Time & TravelManagement ).

Automaticamente concesse allorché il dipendente prende per la prima volta servizio presso una specifica unità

Automaticamente concesse allorché il dipendente prende per la prima volta servizio presso una specifica unità

NonStandardNonStandard

Abilitazioni rilasciate ai singoli dipendenti in virtù delle specifiche attività ad essi affidate. Si distinguono in

Infrastrutturali: sono quelle relative a particolari servizi di accesso ed utilizzo del sistema informativo aziendale (ad es. accesso ad Internet, certificati digitali, Remote Access Server,Outlook Web Access Internet, Virtual Private Network)

Applicative: sono quelle relative all’accesso a singole procedure informatiche, applicazioni, data base e aree dati (ad es. SAP, eccetera).

Abilitazioni rilasciate ai singoli dipendenti in virtù delle specifiche attività ad essi affidate. Si distinguono in

Infrastrutturali: sono quelle relative a particolari servizi di accesso ed utilizzo del sistema informativo aziendale (ad es. accesso ad Internet, certificati digitali, Remote Access Server,Outlook Web Access Internet, Virtual Private Network)

Applicative: sono quelle relative all’accesso a singole procedure informatiche, applicazioni, data base e aree dati (ad es. SAP, eccetera).

Concesse al dipendente al presentarsi di specifiche esigenze di accesso a dati/sistemi connesse alle mansioni/attività affidate e nel rispetto dei principi di Segregation of duties

Concesse al dipendente al presentarsi di specifiche esigenze di accesso a dati/sistemi connesse alle mansioni/attività affidate e nel rispetto dei principi di Segregation of duties

Con riferimento agli esterni, siano essi collaboratori a tempo determinato (stagisti, somministrati, lavoratori a progetto) o dipendenti da altre aziende che devono accedere al sistema informativo dell’Enel nel quadro di un contratto di fornitura di servizi, tutte le abilitazioni sono considerate non standard.

Con riferimento agli esterni, siano essi collaboratori a tempo determinato (stagisti, somministrati, lavoratori a progetto) o dipendenti da altre aziende che devono accedere al sistema informativo dell’Enel nel quadro di un contratto di fornitura di servizi, tutte le abilitazioni sono considerate non standard.

Tipologie di abilitazione


Uso: Pubblico

La componenti front-end di IAM

GINEVRA (Gestione INtegrata EVasione Richieste Abilitazione)

• Realizza il workflow delle richieste di abilitazione

• Gestisce l’insieme di tutti i Processi aziendali e le relative attività di Business necessarie per l’espletamento di ogni specifico processo

• Gestisce la matrice di incompatibilità delle attività

• Fornisce un’interfaccia per i controlli da parte degli attori della procedura di gestione delle abilitazioni (User Manager, Referenti alle Abilitazioni, Proprietari delle Informazioni, eccetera)


Uso: Pubblico

Le componenti back-end di IAM:

Motore di gestione flussi (Profile Manager)

• Interfaccia i sistemi source (repository di identità)

• Esegue gli “ordini” impartiti da GINEVRA verso i sistemi target

• Esegue regole automatiche preimpostate

• Si preoccupa della memorizzazione dei profili, della tracciatura dei processi abilitativi e della generazione della reportistica

Motore di calcolo delle incompatibilità SOD (RPD - Role Policy Definition)

• Calcola le matrici di incompatibilità delle transazioni e dei ruoli

• Manda in escalation le richieste che generano conflitti SOD


Uso: Pubblico

GINEVRA

GINEVRAFlusso di richiesta delle abilitazioni

• Richiesta di abilitazione (testo libero)• Formalizzazione / autorizzazione / rifiuto della richiesta• Visualizzazione stato della richiesta• Visualizzazione unitaria dei ruoli attribuiti ad un utente• Consultazione reportistica

User Manager Referente Abilitazioni

Proprietario delle Informazioni (PI)Responsabile Personale e Organizzazione (PO)Referente Corporate Security (CS)Referente Demand & Delivery (DD)

Operatore Abilitazioni

Interfaccia WEB


Uso: Pubblico

GINEVRA: Definizione attività / funzioni (1/2)

Generazione richiesta: inserimento e registrazione a sistema di una particolare richiesta da parte dello User Manager; questa fase spesso si concretizza nella compilazione di un campo puramente descrittivo per descrivere la caratteristiche della richiesta (dati non strutturati)

Formalizzazione richiesta: i dati relativi alla richiesta vengono inseriti dal Referente alle Abilitazioni all’interno di campi con valore e tipo definiti (dati strutturati)

Autorizzazione della richiesta: in presenza di particolari sub-stati autorizzativi inseriti a sistema, la richiesta può essere APPROVATA-ANNULLATA-SOSPESA da uno o più attori

UserManager

Referente Abilitazioni

PI, PO, CS, DD


Uso: Pubblico

GINEVRA: Definizione attività / funzioni (2/2)

Evasione richiesta: è normalmente lo step finale di un flusso di processo nel sistema; l’Operatore alle Abilitazioni evade la richiesta attivandone gli effetti

Autorizzazione aggiunta ruoli e applicazioni: blocco del flusso di processo necessario quando un Ruolo non sia assegnabile per una certa unità organizzativa od un’applicazione debba essere aggiunta in visibilità ad una certa unità; tutte le operazioni di questo genere sono perfezionate dall’Amministrato di Sistema IAM - Gestione

Proprietario Informazioni

Operatore Abilitazioni


Uso: Pubblico

RPD - Funzionalità

Amministrazione: gestione delle anagrafiche con le classiche funzionalità di Inserimento/Modifica/Cancellazione per :

• Processi di Business

• Attività di Business

• Matrice di incompatibilità

• Abbinamento Attività Profilo applicativo

Calcolo incompatibilità: produzione report e gestione escalation SOD su Ginevra

Report: visualizzazione elenchi prodotti dalla fase di calcolo

Utility - Export: permette di estrarre i report in formato excel

Configurazione:

• soglie di incompatibilità (Min % di attività accettata (0-100), Max livello di incompatibilità accettato (Nessuno, Basso, Medio, Alto))

• flag di attivazione per Ginevra

• Bypass Calcolo Incompatibilità per unità organizzativa

• Bypass Calcolo Incompatibilità per Applicazione


Uso: Pubblico

RPD – Elenco Report

Profili applicativi illeciti: profili applicativi che, se assegnati anche singolarmente ad un utente, consentono di eseguire attività tra loro incompatibili.

Profili applicativi incompatibili: coppie di profili che, se assegnati contestualmente, consentono ad un utente di eseguire attività tra loro incompatibili.

Ruoli IAM illeciti: ruoli IAM che raggruppano profili illeciti o incompatibili.

Ruoli IAM incompatibili: coppie di ruoli singolarmente leciti ma che, se assegnati contestualmente, consentono di eseguire attività incompatibili.

Utenti illeciti: utenti di sistema abilitati a ruoli illeciti o tra loro incompatibili, ovvero che eseguono attività definite tra loro incompatibili.

Vengono calcolate anche le seguenti relazioni:

• Attività – Profilo applicativo: Elenco attività associate ad un profilo applicativo

• Profili applicativi - Attività: Elenco dei profili associati ad una attività

• Profili applicativi orfani: Elenco dei profili che non sono stati analizzati dal punto di vista SOD


Uso: Pubblico

RPD – Simulazione

Viene fornita una funzionalità che permette di gestire un ulteriore ambiente identificato come Ambiente di Simulazione, dove effettuare a priori modifiche sulla compatibilità tra le attività e relative associazioni con i profili.

Nell’ambiente di Simulazione è possibile effettuare modifiche ed effettuare analisi what-if su:

• ANAGRAFICA

• Processi di Business

• Attività di Business

• Associazione Profili-Attività

• CONFIGURAZIONE

• Min % di attività accettata (0-100)

• Max livello di incompatibilità accettato (Nessuno, Basso, Medio, Alto)

Non è possibile simulare variazioni di Bypass su Applicazioni e UnitàOrganizzative.


Uso: Pubblico

Organigramma

Steering Committee

Project Management OfficeComitatotecnico

Gruppo di lavoro(….)

Gruppo di lavoro(n)

Gruppo di lavoro(1)

Change Management Office

OrganizzazioneSecurityAmministrazioneAuditICTLinee di business

Linea di business ICTAmministrazione


Uso: Pubblico

Roll Out dei vari sistemiPreparazione

Competenze e responsabilità

Adeguamento applicazione

Comitato tecnico

PMO

Gruppi di lavoro

Requisiti

Pianificazione

SteeringCommittee

Fabbisogni funzionali

SupportoPost avvio

Escalation 1^ livello

Analisi SoD Adeguamento IAM

Erogazione formazione

GOLive

CMO

Controllo avanzamento

Escalation 2^ livello


Uso: Pubblico

Perimetro di integrazione

Il perimetro è stato limitato alle società italiane del gruppo Enel.

La funzione Amministrazione ha consegnato una lista prioritaria di sistemi da integrare basata su considerazioni di materialità (impatto sul bilancio consolidato).

La funzione ICT ha consegnato una lista di sistemi la cui integrazione ha elevate caratteristiche di efficienza (elevata movimentazione delle abilitazioni).

La selezione dei sistemi è avvenuta anche sulla base dell’aspettativa di vita.


Uso: Pubblico

Master plan

2007

03 04 05 06 07 08 09 10

Analisi OrganizzativeAnalisi Organizzative

Change ManagementChange Management

Governo del programmaGoverno del programma

Completamento infrastruttura

Completamento infrastruttura

11 12

Adeguamenti applicazioni e IAMAdeguamenti applicazioni e IAM


Uso: Pubblico

I numeri del progetto

81Proprietari delle Informazioni coinvolti

5,99 GbyteDimensione repository

144Riunioni effettuate

1,3 GbyteDimensione casella di posta di progetto

5900Mail scambiate

323Deliverable censiti

63Piani di programma redatti

76Presentazioni effettuate

133Verbali redatti

3125File prodotti


Uso: Pubblico

Attività di integrazione

Pianificazione

• Definizione del piano di rilascio

Analisi organizzativa

• Analisi del profili applicativi in funzione delle attività che hanno impatto sul bilancio

• Assegnazione dei profili alle strutture organizzative

Adeguamento applicazione

• Adeguamento applicativo

• Data cleansing / riconciliazione delle identità

Change Management

• Identificazione e formalizzazione dei ruoli e dei flussi autorizzativi

• Formazione degli attori

Riconciliazione delle identità

• Soluzione delle discordanze tra l’analisi organizzativa ed i dati dell’applicazione

Adeguamento IAM

• Realizzazione del connettore tra IAM e l’applicazione

• Applicazione dei risultati dell’Analisi Organizzativa

• Applicazione dei risultati del Change Management

• Importazione dei dati dall’applicazione

Documents

Il governo degli accessi logici e della separazione dei ... › sites › default › files › attivita › sds › ...tecniche adottate per rendere IAM l'elemento di governo degli