gdpr governance delle identità in un sistema integrato di … gdpr... · 2018-04-10 · lo...
TRANSCRIPT
© N
etStudio – Materiale riservato
GDPR Governance delle identità in un
sistema integrato di gestione dei rischi
Andrea Foschi Net Studio S.p.A.
15/03/2018
Leintegrazionielerelazioni
GDPR
RiskAnalysis
BestPractice
ISO27001
ISO29151
ISO29134
SGSI
IdentityGovernance&Administration
DPIA
Regolamento679/2016 STDeSistemidiGestione Sistemidigestioneaziendali
SistemaQualità
MOG231
Ø Possobasarmisucodicidicondotta(art.40)odevoandareversounmodellodivalutazionedeirischiveroeproprio?
Ø Miorientoversounmodellodianalisidei rischi “classica”o seguostradesemplificatechepassanodall’adozionedibuoneprassi,fracui,inparte,quellesuggeritedaltestodilegge?
Ø E’possibileimmaginareun’analisiegestionedeirischiperilGDPRavulsadatuttoilrestodelcontestodellasicurezzadelleinformazionidibusinessdell’azienda?
Ø E’sufficienteuna“semplice”analisideirischierelativaapplicazionedellecontromisureoèopportuno integrarla all’interno di un più ampio sistema di gestione della sicurezza delleinformazioni?
ComeaffrontoilrischionelGDPR?
AssetModel(processi/servizi)
Vulnerabilitàeminacce
Dimensionidianalisi
AssetModel(Registrodeitratt.)
Misuretecnicheeorganizzativeadeguate
R,I,D…DP->GDPR
AnalisideiRischiISO27001 ARinambitoGDPR
AnalisideirischieGDPR
Contromisureepiano
GDPR,ISO27001ISO29151
PuntidicontrolloISO27001riconducibiliatematicheIGAA.6.1 OrganizzazioneinternaA.6.1.1 Ruolieresponsabilitàperlasicurezzadelleinformazioni A.6.1.2 SeparazionedeicompitiA.9.2 GestionedegliaccessidegliutentiA.9.2.1 Registrazioneede-registrazionedegliutentiA.9.2.2 ProvisioningdegliaccessidegliutentiA.9.2.3 GestionedeidirittidiaccessoprivilegiatoA.9.2.4 GestionedelleinformazionisegretediautenticazionedegliutentiA.9.2.5 RiesamedeidirittidiaccessodegliutentiA.9.2.6 Rimozioneoadattamentodeidirittidiaccesso
IGAvsISO27001
PuntidicontrolloISO27001riconducibiliatematicheIGA(…continua)A.9.4 Responsabilitàdell'utenteA.9.4.1 Limitazioneall’accessoalleinformazioniA.9.4.2 Proceduredilog-onsicureA.9.4.3 SistemadigestionedellepasswordA.9.4.4 UsodiprogrammidiutilitàprivilegiatiA.9.4.5 Controllodegliaccessialcodicesorgentedeiprogrammi A.13.1 GestionedellasicurezzadellareteA.13.1.1 ControllidireteA.13.1.2 SicurezzadeiservizidireteA.13.1.3 Segregazionenellereti
IGAvsISO27001
Oltre16controlliriconducibiliatematicheIGA!
ISO/IEC29151
Dafine2017èdisponibilelanormaISO/IEC29151“Codeofpracticeforpersonallyidentifiableinformationprotection”.Lanormadefiniscegliobiettividicontrollo,icontrollielelineeguidaperl'attuazionedeicontrolli,persoddisfareirequisitiidentificatidaunavalutazionedirischioediimpattoconnessiallaprotezionedelleinformazionipersonali.LostandardèbasatosullelineeguidadellaISO/IEC27002erecepiscebuonapartedeicontrollidellaISO/IEC27001aggiungendonealtrispecifici.IcontrollispecificisullaDPdella29151possonoessereintegratiinambito27001(Annex)peravereun’unicaanalisideirischicomprensivadegliaspettiGDPR
[A.4.2]Purposespecification[6.1.3]Segregationofduties (6.1.2)[A.7.1]Use,retentionanddisclosurelimitation[9.2.2]Userregistrationandde-registration (9.2.1)[9.2.3]Useraccessprovisioning (9.2.2)[9.2.4]Managementofprivilegedaccessrights (9.2.3)[9.2.6]Reviewofuseraccessrights (9.2.5)[9.2.7]Removaloradjustmentofaccessrights (9.2.6)[9.4.2]Informationaccessrestriction (9.4.1)[9.4.5]Useofprivilegedutilityprograms (9.4.4)[A.10.1]PIIprincipalaccess[A.11.4]Privacymonitoringandauditing[A.11.5]PIIprotectionawarenessandtraining
IGAeISO27001e29151Corrispondenti Controlli 27001
IcontenutidelDPIA
(art.35-estratto)Quandountipoditrattamento… puòpresentareunrischioelevatoperidirittielelibertàdellepersonefisiche,iltitolaredeltrattamentoeffettua,primadiprocederealtrattamento,unavalutazionedell'impattodeitrattamentiprevistisullaprotezionedeidatipersonali.7.Lavalutazionecontienealmeno:a) unadescrizionesistematicadeitrattamentiprevistiedellefinalitàdeltrattamento,compreso,oveapplicabile,l'interesselegittimoperseguitodaltitolaredeltrattamento;b) unavalutazionedellanecessitàeproporzionalitàdeitrattamentiinrelazioneallefinalità;c) unavalutazionedeirischiperidirittielelibertàdegliinteressatidicuialparagrafo1;d) lemisureprevisteperaffrontareirischi,includendolegaranzie,lemisuredisicurezzaeimeccanismipergarantirelaprotezionedeidatipersonaliedimostrarelaconformitàalpresenteregolamento,tenutocontodeidirittiedegliinteressilegittimidegliinteressatiedellealtrepersoneinquestione.
FasidiunprocessoDPIA
o Valutazionedellanecessità(oopportunità)disviluppareunDPIAo Identificazionedeitrattamentio Identificazionedelteamdilavoro(DPO,Riskmanager,esperti,ecc)o Identificazionedeirischio Identificazionedellesoluzioni(contromisureemitigazionedeirischi)o Formalizzazioneeapprovazionedelpianoo Applicazionedelpiano
ISO/IEC29134
E’statadabreverilasciataanchelanormaISO/IEC29134“PrivacyImpactAssessment–Methodology”LanormasibasasullaISO31000edefinisceinmodopiùapprofondito:
o UnprocessoarticolatoperlosviluppodelPrivacyImpactAssessmento Unprocessoperilriesameperiodicoo Unmodellodirapportoperlavalutazioneo Unesempioperlastimadegliimpatti
Definisceinoltreunelencodiquasi50minaccesucuivalutaregliimpattieleprobabilità(basatosuscaledi4valori)
NellaISO29134sitrovanoesplicitirichiamoallaintegrazioneconunSistemadigestionedellasicurezzadelleinformazioni(SGSI)Sievidenziailfattoche:o UnDPIApuòesseresviluppatoanchenell’ambitodell’implementazionediunSGSIbasatosu
unmodellodigestioneISO27001oequivalente.
o unDPIApuòincluderedocumentazioneeinformazioniariguardodellemisuregiàadottatedaunSGSIinambitoISO27001
o NelcasodisviluppodiunDPIAintegratoconunSGSIènecessarioevidenziarequalicontrollisonorealmenteapplicatiinconformitàallalegge
o UnDPIApuòesserecomunquesviluppatoinmodoindipendentedallosviluppodiunSGSIecomunquequest’ultimononèindispensabileperlarealizzazionediunDPIA
DPIAeSGSI/ISMS(nellaISO/IEC29134)
QualisonoivantaggidellapresenzadiunadeguatosistemaIGAnellaredazionediunDPIA?ü Semplicitànellaidentificazionedeipermessiconunprofilodirischio“GDPR”ü Identificazionedeicorrettipermessidelresponsabiledeltrattamentoü Identificazionedeicorrettipermessiassociatiallepersoneautorizzatealtrattamentodei
datipersonaliü Maggiorfacilitànelleverifichedifinalitàdeltrattamento(associazioneapplicazioni/
finalità)
…edèdiperseunaimportantemisuradiprevenzioneorganizzativaetecnicaalfinedellaprotezionedeidatipersonali.
IGAeDPIA
Buoneprassieapproccioa«RequisitiMinimi»
AutenticazioneStrong,Multilevel,
Federata
ControlloAccessi
RoleManagement
SOD
MinimoPrivilegio
LogManagementCriptazione
AnonimizzazionePseudonimizzazione
HardeningAccountability
Inunapprocciomoltosemplificatodovesiipotizzache:mancanzadiuncontrollodisicurezza=vulnerabilitàpotreiconcentrarmidirettamentesullecontromisure….
Ma:- Lemisureidentificatepotrebberoesserenonidonee- Nonriescoadimostrareunacorrelazionefrarischioecontrolli- Potreiimplementarecontromisureeccessive
…sonotuttebestpracticeallabasediunbuonSistemaperlaGestionedellaSicurezzadelleinformazioni
SoluzionidiIdentityGovernance
Èancheveroperòchesicuramente…
GDPRvs27001/29151/29134vsSGSIeIGA
GDPR
RiskAnalysis
BestPractice
ISO27001
ISO29151
ISO29134
SGSI
IdentityGovernance&Administration
DPIA
Regolamento679/2016 STDeSistemidiGestione Sistemidigestioneaziendali
SistemaQualità
MOG231
UnsistemaIGAcontribuisceagestirecorrettamente:o Lafinalitàedestinatari(ocategorie)deltrattamentoo Ildirittodiaccessodell’interessatoo Idirittiallaportabilitàdeidatio LagestionedeiruolioperatividelResponsabileeAutorizzatio Lacorrettaecompletacompilazionedelregistrodeitrattamentio Lacapacitàdicontribuiresubasepermanentelariservatezzao Lagestionedipotenzialiviolazionedidatipersonali(inriconciliazione)Contribuisceinoltrequale:ImportantestrumentodiAccountabilitynelmonitoraggiodegliaccessialleinformazionienellagaranziadelminimoprivilegio(garantedelrispettodelrapportofinalità-incaricati)
IGAvsGDPR
Ø Un azienda che ha la necessità di implementare soluzioni di conformità legislative sul fronte della sicurezza delle informazioni (es. GDPR) avrà, quasi sicuramente, anche problematiche di sicurezza di Business
Ø Nell’ambito della compliance non esiste solo l’aspetto del GDPR collegato alla sicurezza delle informazioni ... non ultimo il D.Lgs 231 (ma anche altro)
Ø I costi di adeguamento ad aspetti di conformità (es. DPIA e AR per GDPR; Protocolli 231, ecc) spesso non hanno ordini di grandezza differenti rispetto ad affrontare il tema della sicurezza delle informazioni in modo più esteso attraverso un SGSI
Ø Include valenze anche di Business nella gestione della sicurezza delle informazioni rende più efficace anche la parte di compliance
VisioneGDPRcentrica...oSGSI?
18
Approccioallasicurezzadelleinformazioni
E comunquemegliopartiredametodologiee strumenti acquisiti e consolidati, adattandoli econtestualizzandoliallanostrarealtà(es.ISO27001)anchequandositrattadicoprireaspettidiconformità
§ metodologia§ organizzazione§ esperienza
giocanounruolofondamentale
“Governare” lasicurezzasignificaprimadituttoavere laconoscenzadiquellochepuòaccadereedegli impatti che questo può provocare sulla nostra organizzazione sotto ogni punto di vista(businessecompliance)
SIGSI
Business GDPR 231 ……
© N
etStudio – Materiale riservato
GDPR & Governo delle Identità ed Autorizzazioni
GiacomoParraviciniIdentity&[email protected]
L’obiettivo della presentazione è quello di posizionare la disciplina dell’Identity Governance (IGA) in relazione ai principi, le prescrizioni e le responsabilità introdotte da GDPR.
q Qual’è il ruolo Identity Governance Administration «IGA»
q Qual’è la relazione tra IGA - GDPR e relative prescrizioni.
q Approccio progettuale
q Focus sulla gestione delle richieste di accesso «consapevoli» EasyRequest
AGENDA
q IGA è l’insieme delle procedure, delle policy e dei controlli che consentono una corretta gestione dei diritti di accesso a dati strutturati in «Applicazioni» e non «es: File Share»
q L’obiettivo principale dell’IGA è consentire l’applicazione delle regole in merito a:
§ Processi relativi al ciclo di vita delle Identità
§ Processi di richiesta e revisione delle abilitazioni
§ Identificazione dei rischi di Separation of Duty ed in generale compliance a policy aziendali e normative – GDPR, D.Lgs 231 etc.
q IGA offre strumenti di controllo e di mitigazione dei rischi correlati all’assegnazione agli utenti delle autorizzazioni
IDENTITY GOVERNANCE – PANORAMICA
Chi si occupa di IGA deve essere in grado di dare risposta alle seguenti domande:
q Sto adeguatamente tutelando (valutazione del rischio) l’accesso alle informazioni ed i dati, tra questi anche quelli personali?
q Sono in grado di identificare potenziali accessi non autorizzati alle informazioni?
q Sono in grado di certificare gli accessi e garantire l’accuratezza delle revoche?
q Posso quindi provare la conformità alle normative?
IDENTITY GOVERNANCE – PANORAMICA
q Diritto di accesso e modifica dei dati
q Diritto alla cancellazione (oblio) “per i dati resi pubblici”
q Diritto alla limitazione al trattamento
q Diritto alla portabilità (es: N° telefonico)
GDPR – I DIRITTI DELL’INTERESSATO
GDPR – PRINCIPI, CRITERI ED ADEMPIMENTI
q Registro dei trattamenti
q Misure di sicurezza adeguate
q Notificadelleviolazionididatipersonali
q NominadeiResponsabiledellaProtezionedeidati-DPO
AdempimentiPrincipi e criteri
q Responsabilizzazione – «Accountability»
q Valutazione del rischio
q Data protection by default and by design
GDPRKeyquestions
1. Come identifico dove sono presenti dati personali (Structured/Unstructured data)
2. Come identifico coloro che hanno accesso ad informazioni personali?
3. Come autorizzo l’accesso ad informazioni personali
4. Come identifico(ex-post) ed Autorizzo(ex-ante) gli Owner dei Dati Personali?
5. Come riduco la probabilità di breach rimuovendo accessi non necessari ad informazioni personali?
6. Sono in grado di documentare le violazioni ?
GDPR – USE CASES
PeopleAccessPersonalInformation
Applicationcontent
Recordsandattributes
UnstructuredData
Files&Folders
StructuredData
Databasetablesandcolumns
The“Rights”Layer:E’necessarioconsentirefornireunostrumentoconilqualel’interessato“CittadinoEuropeo”abbiaaccessoaipropridatielapossibilitàdiesercitareIpropridiritti(opt-in/out,‘forgetme’,etc.)
The“Control”Layer:Consisteinuninsiemediprocessiecontrollifinalizzatiaminimizzareilrischiodiviolazionedeidatipersonalieconseguentisanzioni.
GDPR – 2 LIVELLI, 3 PILASTRI
PeopleAccess
Discover1 • Discoverdeidatipersonali,
classificazioneinbasealGDPR-risklevel
• Identificarecolorochehannoaccessoaidatipersonali
• Identificareaccountshared
Baseline • Archiviare/Eliminaredatichenonsonopiùnecessari
• EseguireReviewdegliaccessiesistenti
• Disattivaregliaccountdormienti
2
Secure • Encryption• Masking
• AssegnareaccessitenendocontodellepolicydirischioGDPR
• Assegnareagliaccountsharedadidentità
3
Enforce • Tracciareaccessi,modifiche,cancellazioni,transferimentididati
• Gestionedellifecycle• certificareautorizzazioneadaccessi
sullabasedipolicyGDPR-Risk
4
GDPR – STACK DEI CONTROLLI
PersonalInformation
I requisiti funzionali di un progetto di Identity Governance sono:
IDENTITY GOVERNANCE – REQUISITI DI BASE
Identità
Privilegio Minino
Ciclo di Vita
Richieste e Revisione Business Oriented
Controllo del rischio Tracciabilita
Compliance
Automazione
IDENTITY GOVERNANCE - PROCESSI
Richieste Accesso & Revisioni
Ciclo di Vita Identità, Applicazioni e Ruoli
Controllo del rischio Provisioning
Identity Governance Warehouse
• Identity Collection • Account & Entitlement Collection
• Identity Correlation
Conoscenza
• Catalogue • Process Review & Request
• Risk Policy (SoD, CA)
Design • Revisione Accessi • Richieste Accessi • Report
Mitigazione
• Account orfani o dormienti
• SoD & CA • Out of band ( request or Role)
Controlli
IDENTITY GOVERNANCE - METODOLOGIA
IDENTITY GOVERNANCE – SCENARIO DI PARTENZA
Responsabile
applicativo
PuoiverificarecheMBsiaopportunamenteprofilato?
2
ITSecurity
Puoidimostrareche‘MarioBianchi’hapermessi“appropriatiallesue
mansioni”,cosìcomedefinitonei‘libri’
1
TipossodirequalipermessiMBha–nonpossovalutarnela
‘appropriatezza”3
ManagerdiMB
PuoiverificareseMBèopportunamenteprofilato?
4Potrei…sesolopotessicapirecosa
voglionodirequestipermessidescrittiintecnichese……..
5
ComplianceManager
SiamoapostoconlenormativeABC?Comegestiamoemitighiamo
irischi?
0
Auditor
Per governare occorre conoscere:
q Non esiste una visione unica e complessiva (su tutte le applicazioni), sempre consultabile, delle identità e delle autorizzazioni rilasciate (“chi” fa “cosa”)
q Molto spesso i profili presenti sui sistemi non sono conosciuti e/o non parlanti e la verifica risulta di difficile attuazione da parte di un responsabile di ufficio.
q Non esiste un modello di riferimento per la progettazione del catalogo delle autorizzazioni
q I Dati non strutturati «File Share» rappresentano una sfida per tutti i progetti di Gestione delle Autorizzazioni. Meritano di essere trattati adeguatamente.
IDENTITY GOVERNANCE – CRITICITA IN MERITO AI DATI
Diritti di accesso “eccessivi” rispetto agli effettivi compiti aziendali:
q Le logiche di richiesta di risorse applicative sono spesso eseguite sotto il profilo della necessità funzionale ed operativa e quasi mai sotto una logica di sicurezza.
q Le richieste di autorizzazioni sono effettuate tramite moduli di richiesta indicando un utente di riferimento da cui copiare le abilitazioni.
q Le abilitazioni di accesso aumentano sempre al variare degli incarichi delle persone. (meglio qualcosa il più che qualcosa in meno !)
IDENTITY GOVERNANCE – CRITICITA IN MERITO AI PROCESSI
IdentityCollection
AccountCollection
Permission&AssignmentCollection
IdentifyUnmatchedAccount
CorrelateIdentity&account
AutomaticProvisioning
Integration
DesignAccessRequest
DesignAccessReview
LifeCycleProcess
PermissionTranslation&Classification
Roledesign/Mining
SoD&OtherPolicyDesign
Design
SoDUser&RoleCheck
OutofbandAssignment
InbandAssignmentnotcompleted
Orphan/DormantAccount
PreventiveSoDCheck
Control
MitigationControl
Report&Notify
PeriodRole&Userreview
AccessrequestForm
Mitigation
IDENTITY GOVERNANCE – FASE 1 – REVISIONE ACCESSI
Identity Governance and Administration in ITAS
Milano,15/03/2018RiccardoRonconResponsabilesicurezzaIT
Chi siamo
ITAS è la più antica compagnia assicuratrice italiana. Nasce nel 1821 in Südtirol, per far fronte ai danni degli incendi che distruggevano interi paesi. Nel tempo abbiamo conservato integra la nostra natura mutualistica e la nostra assoluta indipendenza. La sede della direzione generale si trova nel quartiere Le Albere a Trento, quartiere ecosostenibile certificato Casa Clima e progettato da Renzo Piano.
I numeri di ITAS
La forza di ITAS 5.600 agenti, subagenti e personale d’agenzia 756 dipendenti 195 delegati dei soci
929.855 soci e
assicurati
Siamo tra i primi 10 gruppi assicurativi italiani
La solidità 13,9 milioni di euro utile netto 1.134 milioni di euro di raccolta premi (danni e vita)
Dati 31.12.2016
Perché un progetto di questo tipo?
OBIETTIVI
• Compliancecondisposizioniinmateriadigestioneaccessi(Reg.Ivass,privacy,ecc.)• Complianceconpolicyaziendalicheimpongonounagestioneutenzescrupolosa• Facilitàdiprodurreevidenzeincasodiaudit/report
COMPLIANCE
• Rimozionevulnerabilitàderivantidallagestioneaccount«manuale»• Diminuzionerischioutilizzoillecitodiapplicazioniinformatiche• Tracciaturaerevisionedelleoperazionidirichiesta,approvazioneecreazioneaccount
GOVERNANCEeSICUREZZA
• SemplificareleattivitàITedHRsuitemidellagestioneutenze• RidurreilcaricosulserviziodiHelpDesk
SEMPLIFICAZIONEPROCESSI
Come ottenere il budget necessario?
OBIETTIVI
Come abbiamo affrontato il progetto?
q Individuati i sistemi nel perimetro di progetto
q Assessment sull’azienda per capire i processi «as is»
q Effettuata analisi del rischio ed individuate azioni di rimedio
q Condiviso il rischio con le funzioni di controllo aziendale e poi con la Direzione aziendale
q Effettuate analisi di dettaglio coinvolgendo tutti gli «stakeholder» (HR, BPM, Business, IT ecc.)
q Definiti tutti gli oggetti in ambito di profilazione e pubblicati a catalogo (Easy Request) comprensibili ad un utente finale espressi in termini funzionali e non tecnici (attenzione alla terminologia)
q Condivisi con il business «workflow» autorizzativi su profilazione critica
Cosa abbiamo fatto?
q Individuata «fonte autoritativa» del ciclo di vita degli utenti (dipendenti e consulenti) ed assegnata «ownership» ad HR per il mantenimento
q Pubblicato un catalogo strutturato di risorse e servizi comprensibili all’utilizzatore finale («Easy Request» application)
q Create connessioni tra sistema «Easy Request», sistema di gestione delle Identità, sistema di Governance, sistema HR e sistemi target
q Tutti i responsabili di unit (inclusi responsabili IT) effettuano le richieste tramite «Easy Request» attraverso specifici «workflow» definiti
q «Easy Request» non è solo una console di richiesta ma anche di verifica delle abilitazioni esistenti da parte di tutti i responsabili di unit
q Report e audit direttamente su «Easy Request»
Suggerimenti e punti di attenzione
q Definire bene il progetto in fase iniziale chiarendo le aspettative con tutti gli «stakeholder»
q Affrontare il progetto “step by step” e non volere tutto e subito
q Non stravolgere i processi aziendali per adattarli al progetto ma cercare di trovare una sintesi
q Prevedere una ragionevole flessibilità
q Creare un «core team» multifunzione composto da membri di HR, Project Office, IT, Information Security e Business Process Management
q E’ anche un progetto tecnologico…
IDENTITY GOVERNANCE – METODOLOGIA
IdentityCollection
AccountCollection
Permission&AssignmentCollection
IdentifyUnmatchedAccount
CorrelateIdentity&account
AutomaticProvisioning
Integration
DesignAccessRequest
DesignAccessReview
LifeCycleProcess
PermissionTranslation&Classification
Roledesign/Mining
SoD&OtherPolicyDesign
Design
SoDUser&RoleCheck
OutofbandAssignment
InbandAssignmentnotcompleted
Orphan/DormantAccount
PreventiveSoDCheck
Control
MitigationControl
Report&Notify
PeriodRole&Userreview
AccessrequestForm
Mitigation
IDENTITY GOVERNANCE – FASE 1 – REVISIONE ACCESSI
IdentityCollection
AccountCollection
Permission&AssignmentCollection
IdentifyUnmatchedAccount
CorrelateIdentity&account
AutomaticProvisioning
Integration
DesignAccessRequest
DesignAccessReview
LifeCycleProcess
PermissionTranslation&Classification
Roledesign/Mining
SoD&OtherPolicyDesign
Design
SoDUser&RoleCheck
OutofbandAssignment
InbandAssignmentnotcompleted
Orphan/DormantAccount
PreventiveSoDCheck
Control
MitigationControl
Report&Notify
PeriodRole&Userreview
AccessrequestForm
Mitigation
IDENTITY GOVERNANCE – FASE 2 – LIFECYCLE E RICHIESTE ACCESSI
IdentityCollection
AccountCollection
Permission&AssignmentCollection
IdentifyUnmatchedAccount
CorrelateIdentity&account
AutomaticProvisioning
Integration
DesignAccessRequest
DesignAccessReview
LifeCycleProcess
PermissionTranslation&Classification
Roledesign/Mining
SoD&OtherPolicyDesign
Design
SoDUser&RoleCheck
OutofbandAssignment
InbandAssignmentnotcompleted
Orphan/DormantAccount
PreventiveSoDCheck
Control
MitigationControl
Report&Notify
PeriodRole&Userreview
AccessrequestForm
Mitigation
IDENTITY GOVERNANCE – FASE 3 – CONTROLLI SOD