It governance, sicurezza e Identity Access Management (IAM) – Intervista a Giacomo Segalli CEO di Spike Reply

ComplianceNet: Buonasera Giacomo e grazie di essere con noi. Vuole presentarsi rapidamente e presentare Spike Reply?

Giacomo Segalli: Buonasera. Sono Giacomo Segalli, Amministratore Delegato di Spike Reply, la società del gruppo Reply specializzata sulle tematiche relative all’area della sicurezza, delle frodi e della tutela dei dati personali. Prima di unirmi, nel 2002, a Reply sono stato Managing Director di Evidian, gruppo Bull, per 3 anni. Precedentemente ho avuto esperienze in IBM e HP.

ComplianceNet: Cosa caratterizza Spike Reply rispetto alle altre società che offrono prodotti e servizi in ambito security?

Giacomo Segalli: Direi due elementi.

  • In primo luogo le caratteristiche di Spike Reply in termini di dimensione aziendale e di ampiezza dell’offerta caratteristica. Ad oggi contiamo su un organico di oltre 200 addetti con più di 200 certificazioni, altamente specializzati sulle principali tecnologie e soluzioni e attivi presso i principali organismi e istituti internazionali; abbiamo definito un’offerta completa, integrata e coerente per affrontare ogni aspetto del rischio associato a un sistema informativo: dall’individuazione delle minacce e delle vulnerabilità, alla definizione, progettazione e di implementazione delle relative contromisure tecnologiche, legali, organizzative, assicurative o di ritenzione del rischio. In aggiunta, forse l’unica azienda italiana a poterlo dichiarare, abbiamo anche completato la filiera sulla modalità di erogazione dei servizi: consulenza, servizi professionali, realizzazione di progetti chiavi in mano, servizi di gestione e monitoraggio da remoto tramite un SOC proprietario.
  • In secondo luogo i grandi vantaggi e le sinergie derivati dall’appartenenza al Gruppo Reply, un gruppo che conta circa 2800 addetti, attivo in tutta Europa, che è leader indiscusso nella progettazione e nell'implementazione di soluzioni basate sui nuovi canali di comunicazione ed i media digitali. Il modello organizzativo di Reply si basa su una struttura a rete costituita da società controllate e focalizzate per linee di offerta, che costituiscono centri di eccellenza in grado di posizionarsi come “Best in Class” nei rispettivi ambiti di competenza. Questo modello coniuga la capacità progettuale ed organizzativa di un’entità di grandi dimensioni con la flessibilità, la specializzazione e il dinamismo delle piccole strutture.

ComplianceNet: Più in dettaglio qual è l’offerta per la sicurezza delle informazioni di Spike Reply?

Giacomo Segalli: Spike Reply propone un’offerta integrata, coerente e completa per supportare i propri clienti nella definizione delle strategie idonee e nell’implementazione delle soluzioni appropriate per una gestione efficace della Business Security & Data Protection: 

  • Servizi professionali per la realizzazione di soluzioni e contromisure di ICT Security di tipo:
    • Infrastrutturale, con soluzioni di Sicurezza di Rete e Sistemi
    • Applicativo, con soluzioni di SOA e Web2.0 Security, Code Review, …
    • Gestione delle Identità Digitali, con soluzioni di Identity and Access Management
  • Servizi di Consulenza nelle aree di:
    • Security Strategy & Compliance
    • Security Governance
    • Security Awareness e formazione
  • Servizi Gestiti di Sicurezza (Managed Security Services) erogati dal nostro Security Operation Centre H24 nelle aree di:
    • Security Information and Event Management
    • Security Monitoring
    • Network and Security Device Management
    • Early Warning
    • Policy Compliance
    • Security Policy
  • Gestione di frodi informatiche tramite soluzioni e controlli di:
    • Fraud Management
    • Antiphishing
    • Transaction Monitoring
  • Security Assessment per la verifica dei sistemi di protezione e dei livelli di sicurezza:
    • ICT Security Assessment – Security Check-Up
    • Vulnerability Assessment
    • Ethical Hacking / Penetration Test

Il modello di erogazione si esprime tramite l’integrazione e la sinergia di questi diversi aspetti della Sicurezza Informatica che sono tra loro strettamente correlati per essere in grado di affrontare globalmente i diversi temi che compongono la Business Security.

ComplianceNet: Per quanto riguarda la consulenza qual è il vostro approccio?

Giacomo Segalli: La migliore soluzione di sicurezza rischia di essere inefficace se non accompagnata e gestita da persone che condividono gli stessi principi, le stesse procedure e che si comportano in modo coerente, complementando le tecnologie e le misure fisiche adottate nello sforzo di protezione delle informazioni critiche dell’azienda contro minacce interne ed esterne. Spike Reply lavora a stretto contatto con l’azienda cliente ed il suo ambiente per definire i principi, le politiche generali e gli obiettivi di sicurezza, nonché l’organizzazione funzionale della sicurezza, individuando quali sono le figure organizzative coinvolte e dettagliando i relativi ruoli, responsabilità e procedure specifiche.

ComplianceNet: Vi occupate anche di Compliance ed It Governance?

Giacomo Segalli: Sicuramente sì. In quella che noi definiamo “Security Strategy & Compliance” offriamo consulenza, soluzioni e prodotti nelle seguenti aree:

  • Risk Analysis / Business Impact Analysis
  • Piano Integrato della Sicurezza (Security Blueprint, Security Roadmap)
  • Piani e Sistemi di Business Continuity & Disaster Recovery (BS25999)
  • Sistemi di Gestione della Sicurezza delle Informazioni (ISMS; ISO27001)
  • Impianto documentale (Politiche Generali e Procedure Operative di Sicurezza)
  • Adeguamento Privacy (D.Lgs 196/03): definizione del DPS e impianto normativo
  • Conformità a leggi, normative e best practices (SOX, L.231, ABI, Basilea II, PCI-DSS, ITIL ...)

Per quanto riguarda la Security Governance in ambito IT proponiamo:

  • Cruscotto monitoraggio e indicatori di Sicurezza (Security KPI/KRI/KPO)
  • Vulnerability & Patch Management
  • Gestione Incidenti Informatici
  • Security Awareness e Formazione con corsi personalizzati sulle esigenze specifiche del cliente.

ComplianceNet: Parliamo di Identity and Access Management (IAM), cos’è e a cosa serve? Che rapporto c’è con la compliance e l’It governance?

Giacomo Segalli: Un sistema di Identity and Access Management si realizza attraverso la definizione di un modello procedurale ed organizzativo che, supportato dalle infrastrutture, sia in grado di creare, gestire ed utilizzare le identità digitali secondo quanto previsto dalle policy di business e dalle normative. Una volta attribuiti ad ogni individuo informazioni ed attributi che caratterizzano la persona, credenziali, abilitazioni e diritti di accesso, il Sistema IAM realizza una serie di servizi a supporto:

  • Supporto della creazione, revoca, propagazione e sincronizzazione delle "Identità Digitali"
  • Controllo accessi basati sul ruolo (RBAC)
  • Strong Authentication e Single Sign On
  • Armonizzazione della gestione delle identità con il modello organizzativo aziendale
  • Gestione di Workflow e processi di approvazione.

Per realizzare un progetto IAM occorre un approccio metodologico che consenta di partire dall’analisi della situazione esistente, dei requisiti normativi e degli obiettivi di sicurezza fino ad arrivare a una strategia implementativa della soluzione. Spike Reply realizza progetti IAM sfruttando una metodologia proprietaria in grado di adattarsi alle specifiche esigenze del Cliente e verificata con il best of breed delle soluzioni tecniche disponibili sul mercato.

ComplianceNet: Andando più nel dettaglio, in un momento in cui occorre valutare con attenzione qualsiasi investimento, che valore aggiunto può dare una soluzione di IAM?

Giacomo Segalli: L’incombente crisi economica sta enfatizzando due fenomeni ben noti: da un lato le frequenti riorganizzazioni aziendali e dall’altro un generale malcontento dei dipendenti o di coloro che vengono estromessi dall’Azienda. Per controllare il fenomeno e ridurne l’impatto, le principali Istituzioni aumentano continuamente i controlli di conformità a leggi, normative e standard. Lo scenario si completa con un ambito tecnologico sempre più complesso in cui diventa difficile mantenere il controllo.
Date queste premesse, è fondamentale mantenere la regolamentazione e il controllo delle credenziali degli utenti e del controllo accessi andando a identificare e gestire ciò che viene definita “Identità Digitale”. Infatti, dal momento che l’implementazione tradizionale di una policy aziendale di sicurezza consiste nella definizione di un reticolo di permessi assegnati a determinati utenti, il processo con cui le loro identità vengono gestite (creazione, modifica, eliminazione) e con cui vengono loro assegnati specifici permessi, è la base, spesso trascurata, su cui si fonda la sicurezza dell’intero sistema informativo. Nello scenario precedentemente descritto, la problematica della gestione degli utenti cresce ulteriormente quando calata nelle specificità tecnologiche delle singole realtà aziendali: un insieme eterogeneo di applicazioni e ambienti di lavoro che interagiscono poco o nulla tra loro, ognuno con il proprio sistema di autenticazione e con un proprio repository delle identità.
Questa situazione si traduce facilmente:

  • nella necessità da parte degli utenti di autenticarsi con credenziali differenti a ciascuna applicazione, caricandoli della necessità di ricordare numerose combinazioni di username e password
  • nell’aumento del carico di lavoro del personale IT a causa della necessità di dover impiegare, per la gestione degli utenti di ogni applicazione, strumenti, procedure e policy differenti
  • nell’aumento del carico di lavoro dell’Help Desk impegnato a supportare gli utenti che si scordano le loro credenziali di accesso o la corretta applicazione delle policy
  • nella diminuzione del livello generale della sicurezza in quanto tutta l’architettura, generalmente, viene resa il più semplice possibile e allineata al servizio con il livello di sicurezza più basso
  • nell’impossibilità di rispettare requisiti normativi: spesso, la complessità di tali processi non permette il rispetto di eventuali requisiti normativi aziendali o dettati da enti governativi esterni.

ComplianceNet: Qual è la soluzione?

Giacomo Segalli: Con l’Identity and Access Management si può gestire in maniera più efficiente, sicura e compliant l’intero processo (applicazione di policy appropriate e impiego di strumenti tecnologici) di gestione dell’identità degli utenti e del controllo di accesso alle risorse aziendali. Da un punto di vista tecnologico, nel termine IAM è consuetudine far confluire i Repository centralizzati dove sono depositate le identità digitali (Enterprise Directory Services) e i Servizi tecnologici che ne consentono la Gestione. Gli obiettivi della soluzione IAM sono i seguenti: aumentare la produttività e la facilità d’uso del sistema informatico da parte degli utenti finali, aumentare il livello generale della sicurezza, diminuendo i costi associati alla gestione degli utenti e delle loro identità, dei loro attributi e delle loro credenziali. In sintesi, ci si propone di realizzare uno strumento che supporti il processo che stabilisce chi ha accesso a quali risorse, l’assegnazione delle autorizzazioni, la loro modifica o revoca quando necessario, nonché la gestione del processo stesso e il monitoraggio delle attività, nel rispetto delle politiche aziendali di sicurezza. Lo IAM non è quindi una soluzione chiavi in mano, ma una strategia di business che si traduce nell’implementazione di un complesso di soluzioni che coinvolgono l’intera organizzazione: lo IAM è un insieme di tecnologie e processi di business. Per questo motivo non esiste un singolo approccio alle problematiche di Identity and Access Management, in quanto la strategia implementativa deve rispecchiare per ogni organizzazione gli specifici requisiti di business e il relativo contesto tecnologico.
A questo proposito, stiamo analizzando come coniugare la tematica IAM per le aziende che decidono di adottare i nuovi modelli di business proposti dal Web 2.0, SaaS e Cloud Computing, in cui le soluzioni IAM interne si devono integrare con repository esterni. Raccomandiamo in particolare di inserire i requisiti di sicurezza tra gli elementi di valutazione dei fornitori di servizi SaaS effettuando un accurato risk assessment.

ComplianceNet: Perché scegliere Spike Reply per l’IAM?

Giacomo Segalli: Il successo di una soluzione di IAM non risiede nel solo coinvolgimento del personale IT, ma dipende dal supporto e dall’impegno di tutta l’organizzazione aziendale. Spike Reply, avvalendosi anche della competenza diffusa all’interno del Gruppo Reply, si pone come interlocutore preparato sia dal punto di vista tecnologico, nella scelta della soluzione che meglio si adatti al business principale del cliente, sia dal punto di vista organizzativo, nell’analisi della metodologia di approccio alle tematiche dell’Identity and Access Management e nella revisione dei processi organizzativi che ne derivano. Le principali referenze sulla tematica IAM vedono Spike Reply impegnata su realtà complesse dei mondi Finance e Industry in progetti di ambito internazionale. In particolare citiamo il Case Study del progetto IAM realizzato per UGIS, società di servizi del Gruppo Unicredit, in cui l’esigenza principale è stata l’armonizzazione di diverse entità organizzative e geografiche e dei relativi sistemi di gestione delle identità in un framework integrato: il successo della realizzazione è ben rappresentato dai numeri che lo caratterizzano, che vedono un flusso di provisioning di meno di 3 ore per la movimentazione di 80.000 utenze e 3000 variazioni.

Partendo da una competenza consolidata sul campo da molteplici esperienze, dalla conoscenza approfondita delle tecnologie, degli operatori, degli standard di riferimento e delle leggi e operando poi una costante verifica delle contromisure adottate, delle procedure operative e organizzative, della configurazione dei sistemi, delle applicazioni e delle reti, Spike Reply è in grado di aiutare i Clienti a costruire lo “scudo” più efficiente contro qualsiasi tipo di minaccia e di fornire la massima garanzia su tutte le fasi di intervento.

ComplianceNet: Grazie Giacomo e buon lavoro.

Giacomo Segalli: Grazie a voi.

Altre interviste/articoli su Reply in questo sito

Link