Con una parola forse non bellissima ma efficace, cloudificazione, potremmo riassumere alcune delle tendenze tecnologiche forti degli ultimi anni, che hanno stravolto il modo di lavorare in azienda, nonché le infrastrutture sottostanti: la parziale fuga dall’on-premise, l’utilizzo di applicazioni a supporto dello smart working, il definitivo sgretolamento del vecchio “perimetro”. Ha usato questa parola Alberto Dossena, regional sales director per Italia, Svizzera, Grecia, Croazia e Ungheria di Saviynt, in un recente incontro con la stampa: “L’infrastruttura aziendale punta alla cloudificazione e questo processo di cambiamento ha sicuramente impatti anche sulla gestione degli eventi aziendali. Come sottolineato da Gartner, questa evoluzione fa sì che la gestione delle identità sia diventata il nuovo perimetro di sicurezza delle aziende. All’interno di questo perimetro le aziende devono poter continuare a fare quello che facevano prima, attraverso infrastrutture di proprietà oppure esterne”.
In questo scenario, non nuovissimo ma oggi molto più accentuato rispetto all’era pre pandemia, l’identity management e in particolare la gestione dell’utenza privilegiata sono temi che riguardano tutti i mercati, tutti i settori d’azienda orizzontalmente. La tecnologia di Saviynt, proposta come Software as-a-Service (SaaS), realizza una gestione delle identità particolarmente sicura, a detta di Dossena, e diversa da quella di alcuni concorrenti.
“La proposta Saviynt”, ha spiegato il manager, “è caratterizzata dall’implementazione del concetto di utenza privilegiata secondo principi di ‘just in time’ e del ‘just enough privilege’. Ovvero, a differenza di quanto fatto da altre soluzioni, il sistema di Saviynt concede i diritti di utente privilegiato solo per la specifica attività per cui viene fatta richiesta. Una volta terminata l’attività, vengono revocati i privilegi e si ripristina lo status di utente semplice. Inoltre non vengono mai concessi privilegi superiori a quelli necessari per la specifica attività. “Questi due principi, insieme, riducono di molto i rischi, cioè sia la finestra temporale sia l’ambito in cui l’utenza privilegiata può essere sfruttata per compiere abusi”, ha sottolineato Dossena.
L’identity management nelle aziende italiane
Ma quanto viene presa sul serio la gestione delle identità nelle aziende italiane? “In Italia, rispetto ad altri paesi della regione Emea, l’approccio al tema della sicurezza e dell’identity rimane ancora essenzialmente tattico e non strategico. Ciò pone dei freni allo sviluppo di quest’area”, spiega il regional sales director. In sostanza, nella maggior parte dei casi le aziende pensano ad adottare una soluzione di gestione delle identità solo dopo aver avuto un problema di sicurezza oppure se hanno necessità di rinnovamento tecnologico. Non c’è, alla base, una visione di cambiamento più profonda.
“Un altro limite del mercato italiano”, ha proseguito Dossena, “è che molte aziende nella gestione delle identità sono ancora legate a processi manuali. Le soluzioni in uso richiedono ancora una forte customizzazione, e la customizzazione è un fattore che rallenta i processi di adozione delle tecnologie nuove. Un limite attuale del mercato italiano è proprio questo, la fatica di abbandonare un approccio di customizzazione e passare a un approccio standardizzato. Qualche azienda ha, però, cominciato a farlo e speriamo che la tendenza continui”.
Oltra alla proposta “orizzontale” per l’identity management, la società commercializza anche soluzioni rivolte a mercati verticali. Una di esse è Data Access Governance, strumento che basandosi sull’identità definisce che tipo di accesso l’utente debba avere per un determinato oggetto; definisce, inoltre, il livello di sensibilità dei dati. In base a questi due parametri viene determinato il livello di accesso da concedere. Lo strumento include capacità di analytics e prevede anche la possibilità di intervenire in “near real-time” (ovvero in seguito a segnalazione ricevuta) per bloccare le attività non consone in atto.
Che cosa differenzia Saviynt dalla concorrenza? “Gli elementi distintivi della nostra proposta sono molteplici”, ha illustrato Dossena. “Innanzitutto la user experience: l’interfaccia, sia per l’utente sia per l'amministratore, non richiede competenze tecniche e offre un tipo di interazione simile a un portale consumer. L’utenza business quindi è fortemente facilitata e motivata all’uso di questa interfaccia. Altro elemento importantissimo per noi è il calcolo del rischio come processo alla base delle richieste di autorizzazione all’accesso. Il calcolo è il risultato di intelligenza artificiale e analytics comportamentali, presenti all'interno della nostra soluzione”.
Alberto Dossena, regional sales director per Italia, Svizzera, Grecia, Croazia e Ungheria di Saviynt
“Un terzo elemento”, ha proseguito il manager, “è che non c’è necessità di customizzazione: per implementare la piattaforma e integrarla con la rete del cliente non c’è bisogno di script aggiuntivi. Noi proponiamo l’uso di configurazioni, altamente granulari, e librerie già pronte per l’utilizzo. L’ultimo elemento distintivo è il fatto che, trattandosi di una soluzione SaaS, non è richiesta ai clienti l’installazione di hardware o software di terze parti all’interno delle loro infrastrutture. Dunque, una volta definito il progetto il go-live è molto rapido e inoltre la manutenzione è molto facile: c’è quindi un risparmio di denaro, da un lato, e di risorse e tempo dall’altro”.
La strategia di canale di Saviynt
Lanciata nel 2015, la piattaforma di Savyint ha sviluppato integrazioni con Aws, Google Cloud, Microsoft Active Directory, Azure, Office 365, Teams, Salesforce, Sap, ServiceNow, Infor e altre applicazioni. In Italia l’azienda ha una presenza diretta dal maggio del 2021, grazie all’incarico assegnato a Dossena, e punta a consolidare un ecosistema di canale composto soprattutto da grandi system integration (che aiutano le aziende clienti a definire progetti di identity management) e da piccoli integratori (che si occupano della parte tecnica) .
“L’obiettivo per l’Italia”, spiega il direttore vendite, “non è quello di stringere un numero alto di accordi nel canale bensì quello di selezionare una manciata di system integrator, tra grandi e piccoli. I lavori sono partiti e stiamo sottoscrivendo alcuni accordi con partner che rientrano in queste due tipologie. Abbiamo definito un numero limitato di partner perché vogliamo stringere partnership forti e supportarli nella parte di training ma soprattutto nel deployment. Il modello Software as-a-Service ci obbliga a non demandare al partner tutta l’attività di delivery, ma a dare supporto anche su questo”.