Upravljanje identitet v podjetju je temelj varnosti

Kdo potrebuje dostop, kdaj in kako, kaj sme tisti, ki do podatkov dostopa, z njimi početi.

Objavljeno
10. oktober 2014 19.31
Jože Polh
Jože Polh
Podjetja vseh velikosti se vsak dan srečujejo z vprašanji nadzora nad dostopom do informacijskih sistemov, prostorov in drugih ključnih virov organizacije. Ključna vprašanja, ki si jih postavljajo, so, kdo potrebuje dostop do katerih podatkov, za kakšno obdobje in pod katerimi pogoji ter kaj sme vsakdo, ki do podatkov dostopa, z njimi početi.

Trenutno stanje na področju IT v marsikaterem podjetju razkriva, da skrbniki sistemov IT porabijo preveč časa za rutinska opravila, kot je na primer upravljanje dostopov in pravic v posameznih sistemih (aktivni imenik, poštni strežnik, portalno okolje, poslovni sistem, proizvodni sistem, projektni sistem, fizični dostop do prostorov …).

Poleg številnih drugih nalog oddelek IT ne zmore zagotavljati upravljanja varnosti in sledljivosti sprememb na ustrezni ravni, saj to zanj postane praktično nemogoče. Posledice so lahko katastrofalne, saj se lahko kaj kmalu nevarno zmanjša nivo varnosti in s tem bolj izpostavi podjetje/poslovanje. V takšnih okoljih trpi tudi zagotavljanje skladnosti z zakonodajo, standardi in internimi pravili.

Oddelek IT namreč za ustrezno upravljanje potrebuje vrsto informacij, ki jih je mogoče zagotavljati le s sodelovanjem z drugimi oddelki, kot sta kadrovski oddelek, ki zaposluje delavce, reorganizira delovna mesta itd., ter oddelek za varnost, ki upravlja varnostno politiko podjetja. Praktično vsi oddelki v podjetju pa na drugi strani potrebujejo hitre odzive oddelka IT na svoje potrebe.

Pomoč v obliki sistemskih rešitev

Pri zagotavljanju varnosti in preprečevanju z njo povezanih tveganj so ključni sistemi za upravljanje identitet. Podjetje z uvedbo takega sistema ne pridobi le pregleda nad dostopom uporabnikov, temveč predvsem napredne možnosti izvajanja varnostne politike in njenega nadgrajevanja ter izvajanje in nadzor procesov za zagotavljanje ustreznega nivoja varnosti. Sistemi za upravljanje identitet omogočajo tudi sledljivost zahtev uporabnikov in odobritev.

»Z uvedbo sistema za upravljanje identitet vsaka organizacija pridobi višji nivo varnosti IT. Posledično je v takih okoljih manj napak in od njih odvisnih stroškov, na drugi strani pa podjetja zaznavajo povečano storilnost, sledljivost in preglednost procesov in nalog ter skladnosti teh procesov z vedno višjimi zahtevami regulative,« pojasnjuje Bojan Pirc, strokovnjak s področja vpeljave sistemov upravljanja identitet v podjetju Agito. Po njegovih izkušnjah se s tem, ko ima vsak uporabnik svoje zadolžitve in odgovornosti pri zagotavljanju varnosti znotraj organizacije, hkrati zviša nivo zavedanja potrebe po varnosti.

Upravljanje identitet naj bo celovito

Sistem za upravljanje identitet kot celovita rešitev močno pripomore k standardizaciji poslovnih in varnostnih pravil za celotno podjetje, na podlagi katerih lahko informatiki opredelijo pravila dodeljevanja dostopov in pravic ter jih avtomatizirajo. V primeru prihoda novega sodelavca ta prejme vse ključne pravice in dostope že z vnosom v kadrovsko evidenco in ustrezno potrditvijo odgovornih oseb.

Posledično se zmanjšata količina porabljenega časa in napak pri vzpostavljanju ustreznega okolja za nove zaposlene, hkrati pa vsak nov sodelavec (pri)dobi pravice šele ob prihodu v podjetje oziroma ko jih dejansko potrebuje. Velja tudi obratna povezava – vse pravice dostopa je zaposlenemu mogoče odvzeti na točno določen dan, na primer s prenehanjem ali spremembo delovnega razmerja ali spremembo lokacije opravljanja dela.

»Sistem za upravljanje identitet uporabljamo tudi v podjetju Agito,« pove direktor podjetja Mišo Brus in doda: »Vpeljava tega sistema nam je omogočila, da smo vzpostavili nadzor nad dodeljevanjem pravic v podjetju ter avtomatizirali okoli 80 odstotkov rutinskih opravil in tako prihranili veliko časa našega internega oddelka IT.«

Samopreskrba in revizijska poročila

Sistemi za upravljanje identitet delujejo različno, večina jih je v zadnjem desetletju prešla na tako imenovane portalne rešitve. Osnova je torej spletni portal, prek katerega lahko zaposleni sami oddajajo zahtevke za določeno pravico ali dostop, oddane zahtevke pa potrjujejo ustrezne odgovorne osebe, kot so vodje ali skrbniki sistemov. S tem se odgovornost upravljanja prenese na osebe, ki dostope dejansko potrebujejo, samo potrjevanje pa na osebe, ki vsebinsko skrbijo za vire in zanje odgovarjajo. Rezultat je višje zavedanje o potrebni skrbi za varnost, saj ima vsak udeleženec v procesu odobravanja svoje zadolžitve in odgovornosti.

Odgovore na najbolj pogosta vprašanja, povezana z varnostjo v podjetju, zajemajo revizijska poročila, ki dajejo celovito sliko trenutnega in preteklega stanja dostopov ter pravic za vse informacijske sisteme v podjetju. Z revizijskimi poročili lahko odgovorni ugotovijo, kdo ima dostop do katerih podatkov, kdaj je ta dostop uporabljal in kdo je dostop odobril.

Ob tem revizijska poročila omogočajo pregled nad vsemi potrebnimi uporabniškimi licencami za posamezne sisteme, saj so prek sistema vodeni vsi uporabniški računi. Z rednimi revizijami dostopa se za vsak uporabniški račun tudi utemelji, ali je oseba do tega računa upravičena in ali ga dejansko potrebuje. Z ustreznim upravljanjem uporabniških računov in posledično uporabniških licenc se lahko potrebe po licencah občutno zmanjšajo, kar bistveno zmanjšuje neposredne stroške celotne IT v podjetju.