E’ essenziale garantire che le informazioni aziendali siano accessibili solo e soltanto a chi ha un motivo di “business” per farlo

Il tema della Data Governance è una delle iniziative più importanti nell’IT odierno, poiché coinvolge persone, processi e procedure per creare una vista d’insieme complessiva dei dati residenti sui sistemi di un’organizzazione con lo scopo di:

– dare accesso ai dati solo a chi è legittimato ad averlo per le sue mansioni aziendali;
– diminuire il rischio di accessi inappropriati ai file;
– incrementare la sicurezza del dato stesso.

La Data Governance ed il suo motivo di esistenza sono chiari:
potendo garantire che le informazioni residenti sui sistemi IT come File System, Document Management ecc. siano accessibili solo e soltanto a chi ha un motivo “di business” per farlo, si incrementa automaticamente la sicurezza che “le giuste informazioni saranno in possesso delle persone giuste” e si potrà più facilmente passare i test di Compliance da parte degli auditor che misurano l’aderenza alle molte (e in numero crescente) leggi e normative.

  • UN PO' DI STORIA SUL GOVERNO DEI DATI

    L’introduzione di un sistema di governo degli accessi ai dati dipende molto dalle modalità con cui lo si intende introdurre; il peccato originale è dovuto al fatto che c’è, di solito, una gran differenza tra gli accessi che un “business owner” immagina che i suoi collaboratori debbano avere e quelli che, invece, hanno nella realtà.

    Perché avviene questo?
    Di chi è la responsabilità?

    In realtà non c’è un vero e proprio colpevole poiché lo sviluppo di molti strumenti IT, negli anni, ha privilegiato molto la loro stessa funzionalità tralasciando il focus su come queste funzioni avrebbero poi potuto essere governate.
    Ad esempio: se un Imprenditore affidasse i progetti che la sua azienda produce ad una banca perché li conservi in cassette di sicurezza, è ovvio che non tutti gli impiegati di quella banca potranno accedere a quei progetti, poiché contengono informazioni preziose e riservate per l’Imprenditore. E se questi progetti fossero molti e molto eterogenei in termini di riservatezza, i criteri con cui gli impiegati dovrebbero poterli accedere o non, dovrebbero essere ancora più granulari.
    Se poi, uno di questi impiegati dovesse essere trasferito ad altra filiale o cambiasse mestiere certamente gli dovrebbe venir revocata la chiave di apertura delle cassette di sicurezza a cui aveva diritto fino a che svolgeva le mansioni precedenti.

    Traducendo tutto questo in termini informatici, sorgono i problemi:
    gli strumenti software di base non sono generalmente concepiti per fornire una chiara visione del “quale impiegato della banca ha la chiave appropriata”. Del resto, l’attenzione dei produttori del software è stata per anni concentrata nel “fornire” gli accessi piuttosto che sviluppare funzioni di controllo perché, in fondo, se un impiegato non dispone delle “chiavi” non può svolgere la sua attività quotidiana.

    Nella prima decade degli anni 2000 sono state sviluppate molte soluzioni di Identity & Access Management, orientato a fare provisioning di account su applicazioni IT, o strumenti informatici in genere, ed il conseguente de-provisioning. Questo facilita di molto la vita del sistemista che è deputato a creare o rimuovere accounts mettendolo in grado di aggiungerli o toglierli simultaneamente su una molteplicità di sistemi IT.

    Restava però un problema:
    chi era incaricato di gestire gli account non era colui che doveva decidere i criteri con cui farlo, compito invece di persone di Business.
    Facendo un parallelismo, è il Capo Officina che decide qual è il set di attrezzi che devono essere dotazione di un operaio appena arrivato in azienda, non certo del magazziniere che oggettivamente glieli consegna che ci fa oggi appellare l’Identity & Access Management come un meccanismo perfetto dal punto di vista tecnologico ma spesso non governato da un processo di business.

    Nella seconda metà della prima decade degli anni 2000 hanno quindi iniziato a diffondersi strumenti chiamati Access Governance che, a differenze dell’Identity Management consentono al business di ottenere la visibilità globale e finemente dettagliata delle abilitazioni, assegnargli una nomenclatura comprensibile ai Business Owner rendendoli autonomi nell’assegnare e revocare accessi alle applicazioni.
    Tuttavia l’Access Governance nasce per recuperare, analizzare i dati di account provenienti da “applicazioni strutturate” come ad esempio i più comuni ERP o i più comuni pacchetti applicativi che hanno una profilazione dell’account che rivela granularmente al software di Access Governance quali siano le abilitazioni, diritti e restrizioni che l’utente ha sull’applicazione medesima. I Software di Access Governance si rivelano particolarmente utili per trasferire il “governo” degli accessi dalle mani dell’IT nelle mani del Business e ed hanno la peculiarità molto apprezzata di essere “agentless” e di non avere quindi alcuna invasività sulle applicazioni ricevendo le informazioni relativi ai diritti degli accounts, che l’applicazione stessa rende disponibili in modo già strutturato.

    Questa logica però non è applicabile in certe applicazioni dove la relazione “utente/dato” non è strutturata quali, tipicamente, il File Server o il Document management. In questi casi la tecnologia di assunzione del controllo deve gioco forza munirsi di “agent” specifici da installare sulle applicazioni da governare in modo da “selezionare localmente” le informazioni che dovranno essere passato al Software di Governo Centralizzato che prende così la denominazione di “Data Governance”

  • LA DATA GOVERNANCE

    Virtualmente, tutti i tentativi di affrontare il governo dei dati di un File Server hanno avuto successi parziali o nulli dal momento che le soluzioni proposte erano fondamentalmente statiche, mentre il problema cambiava continuamente.

    Tuttalpiù alcuni risultati discreti si basavano su “fotografie istantanee” ma erano informazioni destinate ad essere modificate l’istante successivo.
    Una soluzione reale richiede quindi un metodo dinamico per:

    • Esaminare i permessi degli utenti e dei gruppi verso i dati
    • Determinare accuratamente, tramite tracciatura, come tali permessi sono stati dati
    • Visualizzare i permessi di utenti e gruppi alle cartelle
    • Rivedere le attività sui dati eseguite da utenti e gruppi
    • Suggerire cambiamenti di abilitazioni
    • Determinare l’impatto sul business che i cambiamenti potrebbero arrecare prima di eseguirli realmente

    Oggi, le soluzioni di DATA GOVERNANCE offrono un modo nuovo di realizzare le funzionalità appena elencate. Le organizzazioni possono quindi vedere istantaneamente i permessi di utenti e gruppi sulle cartelle o viceversa quali cartelle sono accedibili da chi, agevolare analisi da parte dell’IT o dell’helpdesk sui permessi attuali o sulle richieste di ottenerne di nuovi, identificare l’attuale proprietario del dato ed aiutare in modo insostituibile le persone incaricate di fronteggiare gli auditor.

Scarica il paperwhite sulla Data Governance

Net Studio - Data Governance (343.4 KiB)