Ne abbiamo parlato all'evento di SailPoint intitolato "Identity Days" il 19 febbraio 2020 a Milano, assieme a NetStudio.
Una giornata dedicata alle tematiche di gestione delle identità. Ma di cosa si è parlato e quali sono stati i principali spunti di riflessione?
Approccio Agile
La gestione dei progetti di Identity viene spesso vista come una montagna da scalare.
Questo per le complicazioni tecnologiche che il progetto può portare con se (anche in relazione alla complessità aziendale) e per le difficoltà a livello business ed organizzativo, diversi team aziendali vengono infatti coinvolti nel progetto.
Sicuramente non si tratta di progetti semplici.
L'esperienza porta tuttavia a fare una riflessione sulla gestione di questi progetti. Ovvero viene suggerito un approccio graduale ed in forma "Agile" ovvero piccoli passi e piccoli traguardi tangibili per i diversi stakeholder o sponsor del progetto.
È tramite questo modo che in scenari complessi, si portano a casa dei risultati concreti impiegando meno risorse (tempo, persone, economiche) rispetto a definire dei progetti faraonici che spesso non decollano, nella maggior parte dei casi non per motivi tecnici.
La differenza tra il target nella gestione delle identità
Ma quali sono le viste che devono essere tenute presenti. Perché devi fare un progetto di gestione delle identità e chi te lo commissiona?
Anche questo aspetto deve essere chiarito per capire quale è il nostro "cliente" interno aziendale.
Si tratta di andare ad automatizzare il processo di provisioning e de-provisioning delle varie utenze?
Attenzione, con utenze si intendono tutti gli attori coinvolti ovvero:
- Utenti interni aziendali (dipedenti/employee)
- Utenti esterni es. consulenti, fornitori o collaboratori esterni
- Clienti, si perché anche loro possono essere gestiti in un sistema delle identità aziendali, nel paradigma CIAM Customer Identity and Access Management. Nel caso di SAP il prodotto Customer Data Management and Data Cloud (in passato conosciuto anche come SAP Gigya) ma ne esistono anche diversi altri sul mercato come Iwelcome
Quindi uno scenario di Identity Management. Ovvero dove il motivo principale di questa scelta è l'automatizzazione dei processi di gestione del ciclo di vita dell'utente. Migliorare la gestione degli accessi.
Oppure uno scenario di Identity and Access Governance, quindi un controllo e governo degli accessi oltre che una "mera" gestione automatica del ciclo di vita delle utenze?
In questo ultimo caso il target di riferimento primario diventa il business.
Non si tratta di un progetto ma di un programma o roadmap
Legato al primo punto ovvero quello dell'approccio agile, dividi in vari step l'adozione di questi strumenti, ipotizzando di partire in maniera graduale, non necessariamente dalle parti ritenute più semplici.
Spesso partire da quelle più complicate permette di vedere subito ed affrontare le difficoltà adattando a seguito la pianificazione e quasi sempre permettendo in azienda di risolvere davvero un problema "sentito".
Pianifica per tempo quindi come vuoi adottare queste soluzioni, qual è il tuo obiettivo e come pensi di affrontarle.
Ricordati che le profilazioni degli ambienti target, ovvero quelli che saranno collegati ad un sistema di Identity Management, rivestono un aspetto fondamentale nella definizione di un disegno complessivo nella gestione delle identità.
Chi si trova a scegliere cosa dovranno fare le persone (o nei processi di ri-validazione o ri-certificazione periodica), deve capire cosa si sta rilasciando o rimuovendo alle utenze.