Le motivazioni che stimolano l’avvio di questo tipo di progetti non sono quasi mai di natura tecnologica: i “driver” sono tipicamente il soddisfacimento delle richieste degli auditor interni ed esterni all’organizzazione e la necessità di conformità alle normative cogenti.

Diversamente dai progetti di “Identity Management”, l’ambito delle applicazioni/sistemi che generalmente s’intende “Governare” è molto più ampio; ma anche in questo caso l’esperienza ci insegna che è un fattore di successo riuscire ad arrivare velocemente ai primi e significativi risultati.

Un progetto di “Access Governance” si articola tipicamente in 6 punti, a loro volta divisi in 4 fasi:

Fase I

  • Assessment delle applicazioni e abilitazioni, onde avere visibilità sugli accessi (“chi può fare cosa”)
  • Implementazione di regolari processi di ricertificazione, e monitoraggio dei processi

Fase II

  • Implementazione dei processi di change relativi alla richiesta di abilitazioni aggiuntive
  • Implementazione dei controlli e dei meccanismi di revoca degli accessi inappropriati

Fase III

  • Implementazione di un modello a ruoli per la semplificazione della leggibilità degli accessi e del modello autorizzativo

Fase IV

  • Gestione del rischio, definizione delle regole SOD, dei processi di controllo automatico e delle logiche di mitigazione

Non è assolutamente detto che, all’interno di un intervento progettuale, il Cliente debba necessariamente affrontare tutte le fase sopra descritte. Durante la valutazione iniziale di progetto, avvalendosi di framework metodologici standard, verrà identificato il grado di maturità “as-is” del “modello di Governance” del Cliente, e valutato il grado di maturità “to-be” in modo da tracciare la road-map più appropriata per il suo raggiungimento.

Il sistema di “Access Governance” sarà in grado di:

  1. Fornire visibilità su chi può fare cosa nelle varie applicazioni in termini di: utenze, account, applicazioni e autorizzazioni (attraverso l’acquisizione schedulata dei dati dai vari sistemi)
  2. Produrre reportistica (as-is e storica) sulle abilitazioni e le loro variazioni
  3. Offrire uno strumento per gestire il processo di assegnazione e revoca delle aurorizzazioni
  4. Eseguire il discovery dei ruoli sulla base delle autorizzazioni presenti (Role Mining)
  5. Definire delle matrici di rischio e fornire l’impatto di assengazioni in conflitto con tale matrice
  6. Innescare meccanismi automatici di change-request a fronte di eventi su: utenti, account e applicazioni.