SIA Spa

Leader europeo nel campo delle infrastrutture tecnologiche per i pagamenti.
IMPLEMENTAZIONE NET STUDIO: Compliance a ISO27001, ISO22301 e al modello organizzativo 231

Chi è SIA SPA

SIA Spa è leader europeo nella progettazione, realizzazione e gestione di infrastrutture e servizi tecnologici dedicati alle Istituzioni Finanziarie, Banche Centrali, Imprese e Pubbliche Amministrazioni, nelle aree dei pagamenti, della monetica, dei servizi di rete e dei mercati dei capitali.
Il Gruppo SIA eroga servizi in 46 paesi e opera anche attraverso controllate in Austria, Germania, Romania, Ungheria e Sudafrica. La società ha inoltre filiali in Belgio e Olanda e uffici di rappresentanza in Inghilterra e Polonia.

La sfida

Per la natura stessa del proprio Business, SIA presta particolare attenzione al mantenimento di standard di compliance, tra i quali:

  • Certificazioni per la ISO27001 (Sicurezza), GDPR, ISO9001 (Qualità) e per il PCI-DSS
  • Modello Organizzativo 231 di SIA operando in contatto con l’Organismo di Vigilanza

Per questo motivo, SIA si è dotata di un sistema di Identity Governance per trasferire ai propri manager la responsabilità delle assegnazioni di accessi a dati ed applicazioni IT alle persone che ad essi riportano.

Individuazione del fornitore

SIA ha identificato in Net Studio SpA la società di consulenza che vanta la miglior esperienza sull’Identity Governance grazie ai molteplici progetti realizzati fin dai primi anni 2000. La scelta di Net Studio SpA si è basata sulla combinazione delle capacità consulenziali di revisione/validazione dei processi unite alle conoscenze tecnologiche per lo sviluppo del sistema IGA.

SIA ha quindi affidato a Net Studio l’attività di Software Selection per il progetto di Identity Governance che ne sarebbe poi scaturito. La Software Selection è stata effettuata mediante tanti “Proof of Concept” quanti erano i prodotti IGA prescelti tra quelli classificati come “leader” nel MQ Gartner. Lo scopo era quello di assegnare un punteggio per ciascuno degli Use Case predefiniti in fase di definizione dei requirement e chi avrebbe raggiunto il punteggio totale più alto sarebbe risultato quindi il prodotto selezionato.

La soluzione

Una volta selezionato il prodotto software più aderente ai requisiti ideali, si è definito che il traguardo finale del progetto avrebbe dovuto mettere in condizione i Business Manager, ovvero persone che non lavorano nell’IT e non ne hanno cognizione, di governare l’assegnazione di diritti di accesso su una matrice con migliaia di utenti e centinaia di applicazioni.

Inoltre, questo processo di assegnazioni / dinieghi di abilitazioni ad accessi applicativi avrebbe dovuto informare il manager circa la rischiosità della propria scelta.

Particolare rilevanza ha assunto la definizione del “Catalogo Applicativo”, ovvero una rappresentazione comprensibile ai manager-approvatori dell’intero parco di applicazioni coinvolte, rendendoli consapevoli degli accessi che in quel momento essi stanno concedendo ai richiedenti.

I risultati

Il progetto è stato approcciato in 3 fasi distinte e consecutive:

  1. Durante la prima fase è stato fatto un assessment del contesto applicazioni/processi di concessione delle abilitazioni. L’approfondita analisi della situazione esistente ha evidenziato criticità da rimediare ed eventuali gap sia organizzativi che tecnici. Questa fase di studio è stata particolarmente accurata ed ha richiesto sforzi considerevoli ma ha spianato la strada alla realizzazione del sistema IGA realizzata negli step successivi. Si è quindi partiti con l’onboarding dei dati (applicazioni, identità, account e permessi) e del data cleansing (bonifiche preliminari rivolte alla rimozione di account obsoleti ecc.) e subito dopo si è abilitato il processo di ri-certificazione, per implementare quindi i processi di Identity Lifecycle (Assunzioni, Dimissioni, Cambi mansioni e Cambi organizzativi), nonché il Lifecycle del Catalogo.
  2. In questa seconda fase si è lavorato alla strutturazione del Catalogo, ovvero la modellazione delle applicazioni richiedibili raggruppate e nominate in un’ottica “business” e predisposte per i successivi processi di richiesta. Al fine rendere lo strumento più invitante si è provveduto allo sviluppo di apposite interfacce “Business-Friendly” per tradurre in linguaggio comprensibile gli accessi ad applicazioni che sono nativamente, invece, scritti con un formalismo tecnico.
  3. La terza fase si è focalizzata sul processo di Gestione del Rischio. Un Business Manager è quindi in grado di comprendere la rischiosità che le sue approvazioni possono generare nel momento stesso in cui si trova a dover prendere la decisione. Viene reso così consapevole dei possibili impatti di sulla Compliance dovuti alla sua scelta.

La cura minuziosa dedicata alla progettazione dell’interfaccia per il Business ha portato la Net Studio a svilupparla come un vero e proprio pacchetto software con il nome di mercato di EasyRequest