Articoli
- identity access management
Gestione identità e accessi: pubblico e privato a confronto
Cosa si intende per gestione identità e accessi alle risorse aziendali o Identity and Access Management (IAM)?
Si intende il processo strutturato e le soluzioni informatiche che permettono di gestire in modo centralizzato ed automatizzato gli accessi e le relative autorizzazioni di dipendenti e collaboratori che devono accedere a varie risorse aziendali (posta, cartelle, applicativi, strumenti, database etc) da diversi dispositivi (desktop, tablet, smartphone, etc).
Ogni dipendente e collaboratore ha un ruolo, che viene definito in base alla sua qualifica o per assegnazione da parte del suo responsabile, e ciò gli permette di accedere ad informazioni diverse, trattare dati più o meno sensibili. E’ importante quindi che ogni utente acceda a ciò che deve, né più né meno, per un discorso di responsabilità, privacy e sicurezza. Sembra semplice, vero?
Purtroppo però, nella gran parte delle aziende private e pubbliche la gestione delle identità e degli accessi non è un processo strutturato ma talvolta manuale, che fa emergere 2 grandi criticità:
- scarsa sicurezza -> perché non avere il controllo o una gestione centralizzata lascia spazio ad accessi non autorizzati o, peggio, ad accessi fraudolenti da parte di estranei che possono appropriarsi di informazioni sensibili;
- scarsa efficienza -> perché la gestione manuale degli accessi -spesso coordinata attraverso richieste di assistenza o ticket- sovraccarica l’operatività del comparto IT e la relativa evasione delle richieste.
A tal proposito, abbiamo chiesto ad alcuni nostri clienti, sia nel settore privato che pubblico, quali sono stati i benefici nella riprogettazione del processo e successiva implementazione di una soluzione di Identity and Access Management e ci hanno confermato che:
- è possibile gestire tutti i profili di accesso ai sistemi IT e ai dati aziendali grazie al repository centralizzato, anche per utenti in diverse sedi aziendali o Paesi (e di conseguenza rispettare standard di sicurezza internazionale come l’ISO 27001);
- è possibile configurare processi automatici di provisioning e removal degli account, aumentando il livello di sicurezza dell’infrastruttura IT;
- è possibile liberare le risorse del team IT da task a basso valore e coinvolgerle in attività a maggior beneficio per l’azienda;
- è possibile automatizzare il processo documentale legato alle lettere di incarico degli utenti e dei responsabili protezione dati (DPO) nonchè supportare i consulenti nel redigere il registro dei trattamenti e della valutazione d’impatto sulla protezione dei dati (DPIA).
In estrema sintesi, è difficile stabilire quali vantaggi sono più importanti per il settore privato e quali per il settore pubblico. Dipende dall’azienda e dagli ambiti che vuole migliorare: sicurezza, efficienza, compliance.
Misurare l’impatto ed i benefici della riprogettazione di un processo o dell’implementazione di un software è possibile, anche attraverso l’esperienza maturata negli anni in decine di progetti. Vuoi sapere quali sono i benefici concreti che potresti avere nel tuo caso, nell’azienda dove lavori?
Prenota subito un’ora di consulenza gratuita con il nostro esperto compilando il form qui sotto.