Kategorie
Uncategorized

Jakie korzyści daje firmom sprawne zarządzanie dostępami i tożsamością

O tym, jak tego rodzaju rozwiązania wyglądają w praktyce, kiedy szczególnie warto je stosować i jakich problemów pomagają uniknąć, opowiada Dariusz Kupiec z firmy Cloudware Polska, która projektuje i wdraża systemy IAM w oparciu o wysokiej klasy sprzęt IBM Power.

Zarządzanie tożsamością to rozwiązanie z pogranicza IT, HR i biznesu, które staje się szczególnie istotne w obliczu coraz częstszych ataków hakerskich na zasoby firmy. Jest też bardzo ważne w kontekście obostrzeń związanych m.in. z regulacją rynków finansowych czy ochroną danych osobowych (RODO, PSD2). Jest to wreszcie także usprawnienie i zabezpieczenie pracy zdalnej i współpracy między różnymi oddziałami organizacji, a zatem wspieranie firmy w wyzwaniach związanych np. z pandemią Covid-19.

Kategorie
Uncategorized

System IdM i IAM – co to takiego

– Zarządzanie tożsamością to proces pozwalający administrować kontami, uprawnieniami, ale też rolami oraz osobami i ich dostępem do zasobów informacyjnych przedsiębiorstwa. Podkreślam, że to proces, a nie jednorazowe wdrożenie. Każda organizacja żyje, zmieniają się pełnione w niej role, a zatem system kontroli nad dostępami też musi być stale nadzorowany i aktualizowany – mówi Dariusz Kupiec, Dyrektor ds. Wdrożeń w Cloudware Polska.

W dużych organizacjach działa zwykle kilkadziesiąt systemów głównych i kilkadziesiąt pobocznych, z których korzystają pracownicy. Każda z osób loguje się do wielu różnych narzędzi, do których dostęp (pełen lub częściowy) zależy od przypisanej jej roli. – Taki rozrost sprawia, że w pewnej chwili po prostu ciężko jest tym wszystkim zarządzać i dochodzi do bardzo groźnych dla organizacji błędów. Żeby całość ustrukturyzować i uporządkować, żeby mieć pełną świadomość tego, kto ma do czego dostęp, stosuje się więc system zarządzania tożsamością – tłumaczy ekspert Cloudware Polska.

Jednym z poważniejszych zagrożeń, wynikających ze złego zarządzania tożsamością lub jego braku są kolizje uprawnień. To sytuacje, w których jedna osoba ma takie możliwości działania, które zdecydowanie powinny być rozdzielone, jak np. zlecanie i autoryzowanie przelewów.

– To typowa kolizja umożliwiająca fraud w organizacjach. Znane są głośne przypadki brytyjskiego i francuskiego banku, które straciły ogromne sumy właśnie dlatego, że ich pracownicy posiedli dostępy i uprawnienia, których absolutnie nie należy łączyć. Z tego rodzaju błędów biorą się też sytuacje, w których np. pracownik banku udziela kredytu osobie, której nie powinien. Jak to możliwe? Otóż wystarczy, że zmieniając stanowiska albo zastępując innego pracownika będącego na urlopie, posiądzie jakieś nowe uprawnienia, nie tracąc poprzednich – tłumaczy Dariusz Kupiec.

Innym problemem są audyty, zarówno wewnętrzne jak i zewnętrzne. Audytorzy chcą wiedzieć, czy pracownicy posiadają właściwe uprawnienia adekwatne do pełnionych funkcji. Pytanie kierowane jest do działu bezpieczeństwa, a ten musi posiłkować się informacjami od właścicieli aplikacji, którzy są w stanie powiedzieć, jakie ktoś ma uprawnienia, ale nie mają wiedzy o tym, czy są to uprawnienia właściwe. Z kolei skierowanie pytania do managerów kończy się najczęściej odpowiedzią, że np. nie są „na tyle techniczni, by określić poprawność posiadanych uprawnień”.

Na końcu warto zaznaczyć problem gromadzenia uprawnień. Pracownicy awansując czy zmieniając pełnione funkcje potrzebują nowych dostępów, by móc pełnić swoje obowiązki. Brak skutecznego systemu nadzoru powoduje sytuacje, w których pracownicy posiadają uprawnienia, których już nie potrzebują, co z kolei stwarza zagrożenie nadużyć (jest możliwość ich wykorzystania, bo cały czas są aktywne).

Tego typu niebezpieczne błędy pojawiają się szczególnie w firmach, w których jest duża fluktuacja pracowników. Zjawisko przybrało też na sile w dobie pandemii, kiedy firmy z dnia na dzień musiały uruchomić zdalny model pracy albo stanęły przed wyzwaniami w postaci ciągłych braków kadrowych i konieczności czasowego zastępowania kolejnych zatrudnionych.

Kategorie
Uncategorized

Jak w praktyce wygląda nadzór nad dostępami i tożsamością

– Przy zatrudnianiu np. nowego pracownika infolinii w tradycyjnym rozwiązaniu trzeba ręcznie wyklikiwać mu dostępy do kilkudziesięciu systemów. Tymczasem wystarczy zdefiniować jego rolę, jak np. infolinia basic i on automatycznie dostanie niezbędne dostępy, które będą mniejsze niż w przypadku roli infolinia professional. Jednocześnie organizacja zyskuje pełną świadomość tego, co może który pracownik. Osoba nadzorująca przydzielanie praw wykonuje swoje zadanie jednym kliknięciem i tak samo szybko ma też pełną wiedzę na temat dostępów danej osoby. Jeśli narzędzie zostanie sprzężone z systemem HR to np. można dodatkowo zdefiniować, jakie klauzule dotyczące poufności czy zabezpieczenia danych musi podpisać nowy pracownik. Wszystko odbywa się automatycznie, szybko i bez pominięcia któregokolwiek z niezbędnych elementów – opowiada Dariusz Kupiec z firmy Cloudware Polska.

System pozwala też szybciej i trafniej podejmować decyzje dotyczące poszerzenia lub ograniczenia uprawnień dla danej osoby. W dużej firmie osoba akceptująca wnioski o dostępy do systemów i praw może dostawać nawet kilkaset takich próśb dziennie. W takiej sytuacji ciężko jest zweryfikować poprawność każdej z nich. W systemie IAM na początku w szerszym gronie definiuje się zestaw ról i dostępów do nich przypisanych, dzięki czemu nowemu pracownikowi wystarczy tylko przypisać rolę, a nie trzeba za każdym razem zastanawiać się, do których systemów powinien mieć wgląd. Wypracowanie odpowiedniego schematu musi jednak być kompromisem, który będzie w stanie przyjąć cała organizacja.

– Czasami spotykamy się z przypadkami pracowników niezadowolonych z tego, że muszą stracić jakieś uprawnienia, które mieli od bardzo dawna. Najczęściej jednak po wytłumaczeniu, po co to robimy i jaka będzie korzyść dla całej firmy, udaje nam się przekonać ich do zmian – mówi Dariusz Kupiec i jako przykład podaje wieloetapowy proces akceptacji rożnego rodzaju wniosków przez kilka osób. Na pierwszy rzut oka takie narzędzie wygląda na bezpieczne. W praktyce jednak często się nie sprawdza, bo prowadzi do rozproszenia odpowiedzialności. Pierwsza z osób w łańcuchu ma nadzieję, że wnioskowi przyjrzy się ktoś kolejny, a ostatnia jest przekonana, że zrobił to ktoś przed nią. Efekt jest taki, że wszyscy bezwiednie wyrażają zgody nawet w sytuacji, gdy nie są one uzasadnione. Jeśli decyzję podejmuje jedna osoba, znacznie wzrasta prawdopodobieństwo, że przeanalizuje ona wniosek i przydzieli dostęp tylko w uzasadnionej sytuacji. Dlatego też tak ważne jest, aby odpowiedni administratorzy dostępów nie byli zarzucani niepotrzebnymi wnioskami, a jedynie mogli analizować te bardziej skomplikowane lub niestandardowe.

W systemie zarządzania tożsamością odpowiedzialność za przydzielenie praw jest bardzo jasno określona. Oczywiście nadal może nastąpić przekroczenie uprawnień, ale jest o to dużo trudniej, bo np. do grupy użytkowników zaawansowanych, z szerokimi dostępami, trafią tylko pracownicy z dłuższym stażem.

Kategorie
Uncategorized

Praktyczne ułatwienia, które widać na co dzień

Pracownicy dużych organizacji znakomicie znają sytuacje, w których nie są w stanie wykonać jakiegoś zadania, ponieważ nie mają odpowiednich dostępów, a ich wnioski czekają na autoryzację.

– Zdarza się też, że wracamy po urlopie i nie pamiętamy hasła. I jeśli potrzebuję w pracy dostępu do kilkunastu systemów, a hasła do nich – zgodnie z polityką bezpieczeństwa – powinny chociaż minimalnie się różnić, to pojawia się problem. Zwykle traci się wtedy cały poranek na to, żeby odtworzyć wszystkie dostępy. W przypadku centralnego zarządzenia tożsamością tego problemu nie ma, bo administrator jednym kliknięciem jest w stanie przywrócić wszystkie hasła do standardowego, które pracownik później może sobie zmienić – tłumaczy Dariusz Kupiec z firmy Cloudware Polska.

Prostszy jest też proces uzyskiwania dostępów, bo prawa są przypisane do stanowiska, dzięki czemu automatycznie wiadomo, o co wnioskować. Jeśli w zaprojektowanej roli zabraknie dostępu do jakiegoś obszaru, wniosek trafia na tzw. indywidulaną ścieżkę i jest możliwość dodania jednej osobie jakiegoś dodatkowego uprawnienia. System pilnuje także, aby w przypadku zmiany funkcji anulować pracownikowi zbędne lub potencjalnie niebezpieczne dostępy.

Wykorzystując analizę ilościową można dodatkowo znacząco usprawnić system IAM. Chodzi np. o sytuacje, w których 90 proc. wniosków o dany dostęp rozpatrywanych jest pozytywnie.

– Być może trzeba się wtedy zastanowić, czy nie powinien on być przyznawany systemowo wszystkim pracownikom z daną rolą, skoro wnioski w znakomitej większości i tak są zatwierdzane. Z czasem cała sekwencja takich drobnych usprawnień znacząco poprawia działanie organizacji – podkreśla Dariusz Kupiec.

Wszystko to pozwala m.in. na wygodną i bezpieczną organizację pracy zdalnej, ale też na szybkie zastępowanie pracowników np. na czas zwolnień czy na bezpieczne przenoszenie między oddziałami albo między stanowiskami.

Kategorie
Uncategorized

Podstawowe błędy w systemie IdM

Wiele problemów może też generować stosowanie różnej polityki zarządzania tożsamością w różnych działach.

– Decydując się na nowoczesny, zaawansowany system IAM trzeba mieć świadomość, że jego kształt będzie efektem pewnych ustępstw i kompromisów, bo narzędzie musi obejmować jednakowo wszystkie obszary organizacji. Im bardziej jest rozdrobione i zróżnicowane, tym mniej korzyści przyniesie przedsiębiorstwu – podkreśla Dariusz Kupiec z firmy Cloudware Polska.

Już na etapie analizy trzeba pamiętać, że system będzie tak mocny jak reguły, które zostały wdrożone. Te z kolei są tworzone przez ludzi. Jeśli więc od samego początku coś zostanie błędnie zaprojektowane, prędzej czy później ktoś tę lukę wykorzysta. Dlatego tak istotna jest współpraca z wiarygodnym i doświadczonym partnerem, jakim jest Cloudware Polska.

– Pracowaliśmy już przy wielu systemach IAM, dlatego bez względu na branżę czy wielkość firmy często jesteśmy w stanie doradzić coś optymalnego lub odradzić coś groźnego – mówi dyrektor Cloudware Polska.

Organizacja projektująca system zarządzania tożsamością musi pilnować, by każdy pracownik dostawał jak najmniejsze uprawnienia i jak najwęższe dostępy. Powinien on móc działać w systemie jedynie w takim zakresie, w którym jest to potrzebne do wykonywania obowiązków. Im mniej osób ma szerokie dostępy, tym mniejsze prawdopodobieństwo, że złamanie ich haseł narazi firmę na poważne konsekwencje.

Groźna jest także sytuacja, w której zbyt dużo osób ma prawo do zarządzania systemem tożsamości.

– Niestety może się okazać, że zagrożenie wcale nie przyszło z zewnątrz, ale od strony administratorów takiego systemu. Dlatego ważne jest, żeby oni też nie mieli wglądu do wszystkich informacji i baz danych, żeby nie mieli możliwości modyfikacji na każdym etapie. W takich sytuacjach warto wprowadzić dodatkowy system uwierzytelniania ryzykownych żądań – radzi Dariusz Kupiec.

Kategorie
Uncategorized

Jak podnieść poziom bezpieczeństwa w firmie?

Narzędzia IdM wspomagają też firmy w walce ze szpiegostwem przemysłowym.

– Ograniczone i ściśle monitorowane dostępy znacznie zmniejszają ryzyko możliwości wycieku cennych informacji technologicznych. Myślę tu nie tylko o celowym wykradaniu ich poprzez włamanie na konto jakiegoś pracownika, ale też o sytuacjach, w których może dojść do tzw. szkody pośredniej. To m.in. przypadki, gdy z pracy odchodzi osoba posiadająca wiedzę, do której nie powinna była mieć dostępu. Jeżeli jestem młodszym konsultantem w firmie produkującej elementy sprzętów kosmicznych i mam zajmować się prostym tworzeniem dokumentacji, to nie powinienem mieć dostępu np. do rysunków technicznych i szczegółów technologicznych rozwiązań, bo nie jest mi to niezbędne do wykonywania obowiązków – tłumaczy Dariusz Kupiec z firmy Cloudware Polska.

Ekspert podkreśla wreszcie, że dużym błędem w polityce IAM jest też brak stałego monitoringu systemu.

– Nie wolno spocząć na laurach. Wdrożenie systemu to dopiero początek i nie wystarczy do pełnego bezpieczeństwa. Zarządzanie tożsamością to ciągły proces. Bo jeśli dojdzie np. do wycieku danych klientów, nawet zwolnienie odpowiedzialnego za to pracownika nie wystarczy, jeśli nie zastanowimy się, jak to było możliwe. Natomiast jeżeli się uczymy, łatamy dziury i wychwytujemy potencjalne ryzyka, to system staje się coraz lepszy i pewniejszy -tłumaczy ekspert.

Kategorie
Uncategorized

Sztuczna inteligencja poszerza możliwości IdM

Jednym z przykładów wykorzystania tego rodzaju nowoczesnych narzędzi jest analiza raportów po kątem wyłapania groźnych sytuacji. – Wykorzystując do tego sztuczną inteligencję IBM czyli IBM Watson, można niemal online wykrywać różnego rodzaju anomalie, jak np. niestandardowo wysoka liczba wniosków o jakieś dostępy. Uczenie maszynowe sprawia, że im więcej danych, tym lepiej będzie pracował algorytm. Dla ludzi analiza ogromnych zbiorów informacji jest zbyt czasochłonna, a maszyny radzą sobie z tym coraz lepiej – opowiada Dariusz Kupiec.

Narzędzia wykorzystujące sztuczną inteligencję mogą też analizować, jak dane osoby używają swoich uprawnień i czy one wszystkie są im potrzebne. – Ale możliwych rozwiązań jest bardzo dużo i te aspekty z pewnością w najbliższym czasie będą się mocno rozwijały. A to pozwoli usprawnić pracę nadzorców systemów IdM – dodaje ekspert Cloudware Polska.

Eksperci firmy Cloudware Polska przygotowują audyty rozwiązań IdM, doradzają jak poprawnie je zaimplementować, a także projektują i wdrażają. Pomagają też firmom, które wprowadziły już system zarządzania tożsamością, ale chciałyby go zmodyfikować lub rozbudować.

Jeżeli zastanawiasz się, co na wprowadzeniu rozwiązań z obszaru IdM może zyskać Twoja firma, skontaktuj się z nami! Przygotujemy fachową analizę, zaprojektujemy i wdrożymy optymalne kosztowo rozwiązanie oraz odpowiemy na Twoje pytania!

Kategorie
Uncategorized

Wdrożenie IdM w branży finansowej

Główna korzyść, jaką w organizacji dało to wdrożenie, to skonsolidowanie zarządzania wieloma użytkownikami (od konsultantów na infolinii, przez analityków, po pracowników oddziałów), co okazało się szczególnie istotne w przypadku częstych zmian personalnych w zespołach.

– Teraz odbieranie i przydzielanie uprawnień odbywa się o wiele sprawniej, także między oddziałami. Ale dla banku to też wymierne oszczędności na poziomie procesów w organizacji, czyli np. lepsze obłożenie pracą i zadaniami danych jednostek czy likwidacja procesów niepotrzebnych. Szeregowy pracownik na pewno szybciej dostanie dostępy, nie musi też już w kilkunastu miejscach zapamiętywać różnych haseł. Przy zamianie stanowiska odpowiednie uprawnienia już na niego czekają i są nadawane natychmiast – tłumaczy ekspert.