Jistě jste se již setkali ve vaší organizaci s požadavkem na řízení a správu identit. Identita je vlastně elektronická/digitální reprezentace osoby nebo objektu (např. počítač, mobil, …) z reálného světa v prostředí IT systémů.
Ve většině případů není problém se zřízením identity pro nastupujícího zaměstnance. Základní informace o novém zaměstnanci (kdy nastupuje, osobní údaje, oddělení, kam nastupuje, jeho budoucí vedoucí, …) má HR oddělení. Na základě poskytnutých informací zřídí IT oddělení novému zaměstnanci účet a nastaví požadovaná oprávnění na příslušné aplikace či data. Pokud potřebuje uživatel následně další přístupy (např. do aplikace, intranet, data, …) pošle požadavek na IT (možná schválený jeho nadřízeným) a oprávnění je nastaveno. Uživatel po nějaké době odejde a je tedy třeba jeho přístupy a oprávnění zablokovat/smazat/změnit. A to již bývá velký problém, který ve většině organizacích není řešen.
Z uvedeného krátkého a jednoduchého příkladu vyplývá několik otázek a rizik:
- Jsou při nástupu nového zaměstnance nastavena všechna potřebná oprávnění a přístupy?
- Existuje evidence přístupů a oprávnění pro daného uživatele?
- Může si uživatel sám požádat o nastavení nebo změnu oprávnění a přístupů?
- Existuje definovaný vlastník aplikace, který zodpovídá za přístupy?
- Se změnou pozice uživatele jsou správně nastavena nová a odebrána původní oprávnění?
- Musí být přístupy schvalovány?
- Chybovost a nepřesnost manuálních konfigurací (riziko lidského faktoru)
- Bezpečnostní riziko
- Jsou nastavena oprávnění jenom tam, kam je třeba?
- Jsou opravdu zablokována/odebrána veškerá oprávnění a přístupy po odchodu zaměstnance?
- Dokážu vypsat přehled aktuálně nastavených oprávnění pro konkrétního uživatele?
Právě s eliminací většiny rizik a zajištěním maximální automatizace celého procesu – životního cyklu uživatele, nám může pomoci Identity Management (IdM).
Co vlastně je IdM
Identity Management je řešení centralizující správu a řízení identit v průběhu jejich životního cyklu na jednom místě. Jinými slovy, umožňuje správným osobám přístup ke správným zdrojům, ve správný čas, ze správných důvodů a s plnou evidencí. Z pohledu bezpečnosti zajišťuje dodržení důvěrnosti, integrity a dostupnosti informací. Správa je prováděna zásahem administrátora nebo automatizovanými procesy v IdM.
V každé organizaci jsou požadavky a představy o životním cyklu rozdílné. Proto je tedy vždy nutné navrhnout řešení na míru. Při navrhování řešení je nezbytné vzít v úvahu identity, jejich role, oprávnění, potřeby, povinnosti a odpovědnosti. A dále je třeba nad celým řešením aplikovat bezpečnostní principy, aby byla minimalizována pravděpodobnost úniku citlivých dat.
Proč je IdM pro organizace důležitý
Trendem posledních let je extrémní nárůst systémů ve společnostech napříč různými typy technologických platforem. Uživatelé v současnosti používají velké množství hesel do různých systémů a aplikací. Navíc hesla jsou vyžadována stále složitější. V konečném důsledku se hesla zapomínají nebo si je uživatel musí někam zaznamenat, a to z hlediska bezpečnosti představuje nemalé riziko. Každý systém má různý způsob řízení oprávnění a uživatelských účtů. Postupem času už není možné vše řešit ručně, protože jednotlivá přiřazování oprávnění zabírají více času, peněz a zvyšují i riziko lidských chyb. To vše je navíc spojeno i s dalším trendem, kdy uživatelé jsou zvyklí na rychlé vyřešení jejich potřeb bez nutnosti složité administrace. Zvyšují se i legislativní požadavky na zajištění vyšší bezpečnosti přístupu k informacím uloženým v aplikacích pod hrozbou vysokých pokut (např. Kybernetický zákon, GDPR).
Velký význam má právě bezpečnostní riziko spojené s identitami. Většina útoků na organizace je vedena přes uniklé identity s vyššími právy nebo zapomenuté staré identity s nastavenými oprávněními k různým aplikacím a datům.
Organizace si také stále více uvědomují, že přístup k citlivým firemním datům mají nejen zaměstnanci, ale i dodavatelé informačních technologií, kteří mají účty s nejvyšším oprávněním. Proto IdM zavádí také efektivní správu privilegovaných účtů.
Jaké jsou přínosy IdM pro organizace
IdM pomůže organizacím řešit tyto požadavky:
- centralizace správy identit do jednoho místa pro všechny typy účtů
- zvýšení přehlednosti správy identit
- zajištění jednotné identity přes všechny používané technologie
- snížení doby nezbytné pro řízení a správu identit
- jednotnost uživatelských práv a rolí
- minimalizace rizik
- vytvoření katalogu rolí a pravomocí pro jednotlivé systémy a aplikace
- minimalizace chyb ze strany člověka díky automatizaci
- snížení možnosti úniku chráněných informací díky striktnímu řízení přístupů na základě bezpečnostních principů
- velmi rychlá auditovatelnost
- výrazné snížení nákladů
Zefektivnění práce podle rolí v organizaci:
Management organizace
- Úspora času kompetentních pracovníků
- Snížení počtu požadavků na IT support
- Zvýšení bezpečnosti citlivých dat
- Auditní reporty
Vedoucí pracovník
- Přehled o oprávněních podřízených
- Možnost měnit/požádat o změnu bez zásahu IT
- Časové omezení oprávnění např pro externisty při spolupráci na projektu
- Rychlé zřízení účtu pro nové zaměstnance/externisty
Běžný uživatel
- Reset hesla do systémů bez zásahu IT
- Žádost o přístupy bez nutnosti kontaktovat IT
- Přehled o svých oprávněních
IT oddělení
- Snížení operativy, více času na rozvoj a údržbu
- Přehled o účtech a oprávněních
- Rychlé podklady pro audity
- Automatizace procesů a administrace
Bezpečnost
- Schvalovací procesy pro přidělování a odebírání oprávnění
- Řízené rušení účtů a oprávnění po odchodu zaměstnance
- Dodržení a řízení oprávnění v souladu s legislativou a bezpečnostních norem
- Centrální auditní nástroj
- Řízení dočasně povolených účtů a privilegovaných účtů
Co je třeba brát v úvahu při zavádění IdM
K tomu, aby IdM pomohl organizaci se správou a řízením identit, je třeba nejprve projít řadou přípravných kroků, které povedou k jeho správnému a efektivnímu nasazení. Zde uvádím stručný přehled potřebných kroků:
- analýza procesů, pracovních pozic a pracovních náplní
- analýza aplikací a dat, které jsou v organizaci používány
- analýza přístupových práv uživatelů v jednotlivých aplikacích
- analýza uživatelů a procesů pro jejich vytváření, změn a mazání
- určení klíčového zdroje informací o zaměstnancích (ve většině případů HR systém)
- určení klíčového zdroje informací o kompetencích, oprávnění a pravomocích
- rozdělení informací a aplikací dle závažnosti a citlivosti uchovávaných informací
- analýza souladu s legislativou
- návrh na řízení identit
- návrh způsobu vytváření a přidělování oprávnění
- návrh způsobu schvalování požadovaných oprávnění
- návrh procesů přidělování, změn a odebírání uživatelů
- návrh automatizace procesů
- návrh procesů kontroly a auditu
Dále je třeba pamatovat na možnost připojení spravovaných systémů do IdM. Obecně lze říct, že k IdM lze připojit jakýkoli systém, který je dostupný po síti a je známa jeho struktura identit. Pro připojení k IdM jsou používány Identity konektory. Jedná se o malý programový nástroj na straně IdM, který využívá nativní rozhraní API (REST API) připojovaného systému. Stejné rozhraní má i IdM a připojené systémy ho mohou též využívat. Pokud není možné systém k IdM připojit přímo, existují i jiné cesty, jak řídit identity těchto systémů. Např. odesílané požadavky mailem na správce systému a zpětné potvrzení provedení požadavku. V těchto případech je nutné mít správně nastavený celý proces od vzniku požadavku až po potvrzení změn.
Kdy nasadit IdM
Nasazení IdM pro organizace může být finančně i časově náročné. Nicméně, pokud organizace roste (z hlediska uživatelů) nebo se rozšiřuje portfolio používaných aplikací, je nasazení IdM velmi vhodné. Návratnost investice v těchto případech je rychlá a je vyvážena přínosem IdM. Pro jak velké organizace má smysl IdM nasadit je velmi těžké určit.
První pohled je z hlediska velikosti organizace, kdy IdM je doporučeno nasadit již od střední velikosti organizace (do 250 zaměstnanců).
Druhý pohled, kdy nasadit IdM je, když správa a řízení identit je nepřehledná a ztrácíte informace o nastavených oprávněních a informace, zda někde nezůstal aktivovaný účet po odchodu zaměstnance/externisty. Opět zmiňuji velké bezpečnostní riziko.
Závěr
Existuje mnoho dodavatelů i výrobců IdM systémů. Každý může řešit něco jiného, podporovat jiné platformy aplikací, být zaměřen pouze na jednoho výrobce OS atd. Při výběru doporučuji nespěchat a dobře si rozmyslet, co od IdM očekáváte. Pro jaké účely, aplikace a procesy chcete IdM využít. Nechte si IdM předvést ve vašem prostředí (třeba formou PoC). Existují i české firmy, které vyrábí a dodávají IdM.
