Raggiungere gli obiettivi di Compliance, Audit e Risk Management è sempre difficile per le aziende e gli enti pubblici. Sul mercato, però, si stanno diffondendo efficaci strumenti che, come spiega Andrea Rossi, Founder e Evp Sales di CrossIdeas, offrono notevoli vantaggi soprattutto alle realtà che operano in ambito finanziario e assicurativo. L’accesso ai dati, spesso sensibili, non può però essere consentito in modo indiscriminato. Per questa ragione, come spiega lo stesso Rossi, Crossideas ha sviluppato di soluzioni specifiche per l’Identity & Access Governance.
Quali sono, tra quelli in possesso di un’assicurazione, i dati più sensibili e per i quali serve una maggior tutela?
La stragrande maggioranza. A livello europeo e non solo italiano, inoltre, la spinta normativa è molto forte. Per chiarire la “sensibilità dei dati” è opportuno fare riferimento a quali normative esterne sono soggette le aziende in ambito assicurativo. In particolare occorre ricordare le normative sulla corporate Governance e sulla integrità dei dati finanziari, che tutelano in particolare gli azionisti della azienda, siano essi grandi azionisti oppure azionariato diffuso. A queste si aggiungono le norme specifiche di settore. Nel settore assicurativo la direttiva UE denominata Solvency II impone alle assicurazioni un controllo del rischio finanziario ed operativo. Il governo degli accessi informatico è parte di questo approccio di controllo del rischio. In termini generali, in base alla normativa sulla Privacy per la tutela del dato personale, i dati in ambito assicurativo contengono informazioni molto sensibili, basti pensare a tutto il settore “Vita”.
Su quali strumenti vi basate per identificare l’identità degli accessi?
CrossIdeas offre Ideas, la nostra piattaforma di Identity Governance. Anche se, più che “identificare l’identità degli accessi” noi controlliamo che ogni persona abbia accessi informatici appropriati alla propria mansione rilevando, oppure prevenendo, situazioni di rischio. Il classico esempio di rischio è legato alla separazione dei compiti, ovvero controllare che attività incompatibili (es. emetti richiesta di acquisto/emetti ordine) non siano effettuati dalla stessa persona.
La nostra piattaforma Ideas è l’evoluzione del tradizionale Identity Management verso l’Identity Governance. A differenza del “vecchio” Identity management basato sui processi IT, come “user provisioning”, Ideas è concepito per gestire le esigenze di conformità, auditing e risk management, di cui tradizionalmente l’Identity Management è soltanto una parte assicurando, così, una gestione degli utenti più efficace ed economica. Tra le funzionalità tipiche di un sistema di Identity Governance ritroviamo funzionalità quali gestione delle policy di Segregation of Duty, Role Management e Role Mining, Certificazione degli accessi e Gestione dei processi di richiesta dei permessi informatici tra le principali.
Quali sono stati gli aspetti più delicati nello sviluppo? E con quali software è compatibile?
Il primo aspetto più delicato dello sviluppo prodotto è legato al definire un modello di Identity Data Model in ottica business. Anche Gartner, nel suo recente Gartner Magic Quadrant sulla tematica (Identity Governance and Administration) ha riconosciuto a CrossIdeas, nel panorama mondiale, una capacità di innovazione unica rispetto ai competitor. Il secondo, ma non meno importante, è stato ripensare l’interfaccia utente in ottica business. Questi software sono utilizzati anche da personale business e l’interfaccia deve essere semplice, sul modello Amazon. Il software integra, tramite connettori, dati provenienti dagli ambienti più disparati. Abbiamo realizzato una particolare integrazione con SAP, in quanto SAP è un ambiente di processi critici in cui il controllo sui rischi di accesso è particolarmente rilevante.
Voi avete sviluppato la piattaforma in Italia, quali sono le peculiarità degli sviluppatori italiani?
Si, interamente sviluppata mantenuta e supportata in Italia, e ne siamo orgogliosi. Siamo l’unica azienda europea presente nel quadrante Magico di Gartner nel lato ‘visionari/leader’, e questo per noi è ragione di orgoglio per dimostrare che in Italia si può fare innovazione e competere a livello mondiale anche nel software. Gli sviluppatori italiani sono come gli italiani, creativi e capaci di rimediare velocemente a situazioni critiche. C’è una grande opportunità, in particolare per il Sud Italia, nel creare centri di offshore development nel software. Abbiamo talenti eccezionali. Dobbiamo solo migliorare l’inglese a livello generale. Chiedo al nuovo governo di tagliare i costi di doppiatura dei film e lasciarli in lingua originale con sottotitoli, in 3 anni avremmo eliminato l’annoso problema dell’inglese nel sistema Paese.
L’essere italiani può essere un ulteriore fattore di garanzia per un’assicurazione?
Per quelle italiane sì, in quanto si ha una vicinanza tra cliente e centro di prodotto che è un indubbio vantaggio. Ma noi competiamo a livello mondiale, potremmo dire che l’essere l’unico player europeo è un fattore di garanzia per tutte le assicurazioni a livello europeo. Come dico spesso ai clienti europei: in meno di due ore siete nei nostri laboratori, e dovete andare a Roma non a Bangalore.
Una simile soluzione può essere estesa anche ad altri settori?
Assolutamente si, infatti i nostri clienti sono in tutti i settori: pubblico, privato, energia, trasporti, automotive, bancario. La tematica di Identity Governance è assolutamente trasversale.
