Engineering: la sicurezza degli accessi e la gestione delle identità
nelle organizzazioni pubbliche e private

Alberto Ocello
Direttore Generale
Engiweb Security

L'importanza delle tematiche relative alla sicurezza e alla gestione dell'identità nella Pubblica Amministrazione scaturisce dalle caratteristiche stesse dei progetti di e-Government, nonché dalla sensibilità dei dati che gli Enti pubblici per loro natura gestiscono.

Il contesto

Il rapido incremento dell'uso di internet come veicolo per la comunicazione con l'utenza, e la collaborazione con i servizi, hanno aumentato il numero sia delle informazioni condivise sia dei servizi erogati. Questo, a sua volta, ha non solo reso critica la gestione sicura delle informazioni e delle risorse, ma ha anche innalzato le aspettative sul livello dei servizi tra coloro che interagiscono online con le amministrazioni.
Inoltre, del resto come per le organizzazioni private, alle Pubblica Amministrazione si richiede la conformità alle normative sulla privacy e alla sicurezza, nel rispetto delle severe specifiche di controllo.

In questo scenario sorgono delle esigenze non più derogabili al contesto normativo di riferimento: la corretta identificazione dell'utilizzatore di un sistema, la governance delle politiche di accesso alle risorse di cui ha bisogno, la tracciabilità degli utenti che sono intervenuti sul dato, l'integrità del dato stesso e la sua riservatezza.
Diviene, dunque, requisito imprescindibile per la sicurezza di un sistema informativo stabilire con certezza "chi sia l'utente", a "quali informazioni" possa avere accesso,
"perché ha ottenuto questi diritti d'accesso" e "come li ha ottenuti"; una valida infrastruttura per la sicurezza si fonda su due elementi chiave:
la corretta identificazione dell'identità digitale con la conseguente coerente attribuzione dei diritti;
la protezione del dato come tutela di riservatezza dell'informazione.

Le Soluzioni di Identity & Access Management (IAM) al servizio della Pubblica Amministrazione

Le Pubbliche Amministrazioni hanno l'opportunità di rispondere a queste esigenze tramite l'adozione di soluzioni di Identity e Access Management, che siano capaci di coniugare l'efficienza nella gestione della sicurezza ad economie di spesa immediate e misurabili, con un occhio alla scalabilità necessaria a supporto una espansione futura.
Le soluzioni di IAM consentono di ridurre i rischi correlati ad un esteso accesso alle informazioni e, utilizzando precise regole e diritti per il controllo degli accessi, rendono l'informazione digitale sicura garantendo la privacy. Sono soluzioni integrate che gestiscono e controllano l'accesso alle risorse informatiche e ai dati, non solo attraverso l'uso di tecnologie, ma anche tramite il ridisegno dei processi e la revisione degli aspetti organizzativi. L'Identity Management identifica il richiedente; l'Access Management, data l'identità, definisce che cosa può essere fatto.

Oltre la tecnologia: l'importanza del "Role-Based Management"

E' ormai provato che realizzare un progetto complesso IAM non è un problema che possa essere risolto con il semplice acquisto di un prodotto.
Chiunque all'interno di una organizzazione affronti il problema in un'ottica non esclusivamente tecnologica, afferma che l'elemento fondamentale è la disponibilità di strumenti in grado di mappare i processi di gestione dell'identità, sia quelli già in essere in azienda, sia quelli che, pur se non applicati, sono considerati fondamentali per una corretta gestione.
E' in questo ambito che si stanno imponendo le soluzioni di "Role-Based Management" - RBM.
Semplificando, i processi RBM si possono suddividere in due grandi famiglie:
Processi RBM organizzativi
Rientra in questo contesto l'identificazione dei processi aziendali, dei ruoli di processo, i corrispondenti profili IT, e la relativa gestione del ciclo di vita;
Processi RBM transazionali
Tutti quei processi "operativi" che vengono comunemente effettuati in una azienda.

Ma una soluzione di IAM che sostegno può dare alla gestione dei processi RBM?

La risposta dipende dal verificarsi di una condizione necessaria: l'adozione dello standard RBAC (Role Based Access Control).
Il modello RBAC è definito da uno standard ANSI e permette una articolata mappatura dei ruoli di business e delle autorizzazioni IT, superando quello che è un peccato originale delle suite IAM di mercato: l'essere nate per le esigenze di utenti IT e di essersi solo successivamente evolute con funzionalità disegnate anche per utenti business.
Un'organizzazione e l'ambiente esterno di riferimento sono per loro natura dinamici. L'uso dei ruoli permette a un sistema di IAM di assecondare questa dinamicità, ma per contro implica un sistema rigoroso di gestione del ciclo di vita del ruolo e, più in generale, un sistema di gestione RBAC.
Esistono, ovviamente, degli ostacoli ad un utilizzo completo del modello RBAC, come la complessità nella definizione della soluzione generale e nel setting-up complessivo del sistema. Infatti, mentre sono chiare le potenzialità dell'RBAC, c'è sul mercato una carenza di soluzioni e tool che possano supportare la "decodifica" dei processi di business e soprattutto soluzioni di gestione automatiche e semplificate che possano governare nella loro completezza il ciclo di vita dei ruoli nella organizzazione.

La proposta Engiweb Security

In IDEAS (IDEntity e Access management Suite), la soluzione di IAM di Engiweb Security (società del Gruppo Engineering), il modello RBAC è calato nella struttura del repository centrale delle identità e delle policy.
IDEAS supporta nativamente tutti i processi e le particolarità legate alla gestione dell'identità ed è in grado di mappare sul suo modello dati, tutte le logiche legate ai processi di User Management, di Provisioning, di Access Management e naturalmente di Audit.
L'adozione "reale" del modello RBAC e la relativa possibilità di governance ad alto livello delle policy sui ruoli, facilita la conformità alle normative, la Segregation of Duties, l'implementazione di strumenti di controllo/audit e in generale migliora l'operatività. L'adozione dello standard RBAC aggiunge inoltre:
un principio di "localizzazione del business": la prossimità culturale con i concetti e la "lingua" parlata dal business ovvero la comprensione e l'esperienza dei processi e della natura dei processi nelle organizzazioni italiane (es. gestione delle deleghe);
la disponibilità di modelli verticali predefiniti, frutto delle esperienze precedenti per le varie aree di mercato (pubblica amministrazione, finance, utilities, telco, sanità), come leva per interpretare meglio i requisiti del cliente e ridurre notevolmente i tempi di implementazione.

La suite IDEAS è composta da sei moduli che possono essere utilizzati anche in modo indipendente, in funzione delle esigenze dell'amministrazione:
1. IDEAS Profile Manager: il cuore del sistema, gestore delle identità digitali, della loro profilatura e della implementazione dei diritti di accesso verso le risorse target. L'architettura è composta da un database relazionale, in cui sono contenute le identità digitali degli utenti e le policy autorizzative, e da uno strato EJB che ne implementa la logica applicativa. IDEAS Profile Manager fornisce il supporto per la realizzazione di tutte le funzionalità di Front-End erogate dal Profile Provisioning e mette a disposizione dell'ERC tutte le logiche di sincronizzazione e Provisioning per l'attuazione del servizio di connettività verso i Repository target (es. Active Directory, SAP, …). La soluzione proposta è conforme ai requisiti, alle specifiche e al modello di riferimento imposto dal D.Lgs n.196 del 30 Giugno 2003 e a tutte le leggi vigenti applicabili al contesto di specie
2. IDEAS Provisioning: semplifica l'assegnazione e conseguente rimozione di tutte le credenziali e i diritti di accesso degli utenti. gestione del profilo personale (Cambio password, modifica dati personali etc..) e la gestione dei profili terzi in assegnazione ruolo, sospensione ruolo, reset password etc… (amministratori delegati). Questo modulo, grazie all'adozione del modello RBAC, permette flessibilità nelle opzioni di self service da offrire all'utenza. Ad esempio è possibile consentire la scelta, "filtrata" dai propri ruoli, degli attributi che possono essere aggiornati dagli utenti finali con modalità self-service. Se necessario è possibile integrare le funzionalità del Profile Provisioning con un motore di workflow, per consentire di definire processi di autorizzazione/esecuzione articolati, specificando la portata, i livelli di autorizzazione, notifiche automatiche, azioni da compiere e risorse coinvolte. Particolare enfasi è data alla gestione del ciclo di vita delle credenziali necessarie per un identificazione "forte" tramite Certificati Digitali su Smart Card.
3. IDEAS ALA (Logging, Accounting e Auditing): consente di raccogliere dati sugli eventi di sicurezza e sulle applicazioni, permettendo la archiviazione delle informazioni in modo centralizzato in vari formati, a supporto delle politiche di sicurezza implementate. Tutti i dati di movimentazioni delle identità e dei privilegi associati sono tracciate in questo sistema di Audit centrale. In particolare nel rilascio di un privilegio di accesso ad un utente viene tracciato anche l'intero processo autorizzativo previsto dalle procedure implementate, partendo dalla prima richiesta. IDEAS ALA consente inoltre di ricevere, nativamente, eventi dalle componenti del soluzione IAM (e.g. directory synchronization, password synchronization, identity management, provisioning, workflow, role management) ed eventualmente da altre piattaforme esistenti nell'infrastruttura dell'organizzazione. Tutti gli eventi che vengono gestiti da IDEAS ALA sono tracciati su database relazionale. Su questo database è possibile estrarre DataMart specializzati ed effettuare reportistica.
4. IDEAS Enterprise Resource Connector: permette la distribuzione dei diritti di accesso verso i vari repository/risorse dell'organizzazione.
5. IDEAS Role Constructor: Modulo di supporto alla metodologia per l'identificazione e assegnazione dei Ruoli. Le modalità di Role Engineering supportate sono: Top-down, secondo il quale i ruoli vengono definiti attraverso un'attenta analisi dei processi di business e loro successiva decomposizione in unità più semplici, seguendo una logica di indipendenza funzionale; tali unità funzionali sono poi associate ai singoli profili sui sistemi informativi. Bottom-up che parte dai profili esistenti prima dell'introduzione del modello RBAC e quindi prima dell'aggregazione dei profili in ruoli. L'idea è che i ruoli sono già implicitamente utilizzati dagli utenti per cui devono essere identificati piuttosto che definiti. Un approccio ibrido (top-down e bottom-up).
6. IDEAS Access Portal: Questo modulo permette la validazione degli utenti sul Profile Manager, ed abilita la realizzazione di soluzioni SSO.
La soluzione inoltre è flessibile e multipiattaforma. IDEAS è infatti implementata in architettura J2EE ed è conforme ai principi del modello architetturale "three tier" su tecnologia web.

Lo standard RBAC