Řízení přístupu
Správné řešení řízení přístupu je základním kamenem řešení bezpečnosti informačních systémů, ať již malých společností nebo velkých korporací či státních organizací. Řešení musí splňovat následující podmínky:
- uživatel musí mít přístup k informacím, na něž má nárok a které potřebuje,
- uživatel nesmí mít přístup k ostatním informacím, a to ani zprostředkovaný,
- správa přístupu musí být efektivní a rychlá,
- uživatel nesmí být obtěžován více, než je bezpodmínečně nutné.
Správa přístupových oprávnění, jedná-li se o organizaci s více informačními systémy, není jednoduchou záležitostí, a pokud osoba, která přístupová oprávnění spravuje, není vybavena odpovídajícími prostředky, vzniká velké nebezpečí, že bude docházet k chybám a opomenutím, jež ve svých důsledcích mohou dříve nebo později způsobit nejrůznější bezpečnostní incidenty (únik citlivých informací, průnik škodlivého kódu, ovládnutí systémů nepovolanými osobami).
Optimálním řešením je využití systémů Identity Managementu, které zajišťují vzájemné propojení adresářových služeb, zabezpečení sítě a autentizace, zaopatření a správy uživatelů a jejich přístupových práv a technologií pro jediné přihlášení se do systému (single sign-on).
Rozdíl mezi správou přístupových oprávnění bez odpovídajících nástrojů a řešením na bázi IDM je vidět z následujícího srovnání:
situace |
řešení bez podpory IDM |
řešení s podporou IDM |
požadavek na přidělení přístupu |
často žádosti na různá oddělení |
pouze jediná žádost, oprávnění se schválí podle role |
přidělení přístupových oprávnění |
pro každý systém individuálně |
podle role systém přidělí oprávnění |
změna oprávnění při přechodu zaměstnance na jinou pozici |
nutné změny ve všech IS a aplikacích |
pouze přiřazení jiné role |
odchod zaměstnance |
nutno odebrat přístupy ve všech IS i aplikacích |
pouze odebrání role |
V případě, kdy pro správu přístupových oprávnění nejsou používány odpovídající nástroje, jsou velmi reálné hrozby chyb či přehlédnutí. V takových případech pak zpravidla platí, že:
Administrátor
- je přetížen rutinními úkoly,
- musí složitě ověřovat všechny přístupy,
- následně se může snadno dopustit nejrůznějších chyb („zombie“ přístupy, vyšší než potřebná oprávnění, apod.).
Zaměstnanec
- podstupuje schvalování změn na různých úrovních organizace,
- při zapomenutí hesla musí kontaktovat Help desk,
- je nucen si pamatovat přihlašovací údaje do různých systémů, což vede k tomu, že si pomáhá nepřípustnými způsoby a ohrožuje firmu.
Vedení společnosti
- není jednotná strategie v rámci společnosti,
- finanční ztráty v rámci prostojů,
- riziko zneužití informací s citelným finančním dopadem.
Naopak po nasazení nástrojů pro řízení přístupu platí, že:
Nový zaměstnanec
- data se zadávají v jediném systému,
- automaticky se vytvoří přístupy podle role,
- účet je ihned aktivní.
Zaměstnanec
- předání změn přístupových oprávnění je automatizované,
- sám může resetovat hesla,
- možnost využití Single Sign-on.
Administrátor
- disponuje jednotnou správou přístupových oprávnění přes webové rozhraní,
- complexnost řešení,
- competence lze delegovat (např. na HR),
- přesný přehled o přístupových právech,
- má možnost okamžitého zablokování všech přístupů,
- má jistotu o zrušení všech účtů bývalých zaměstnanců,
- má k dispozici auditing a reporting změn.
Vedení společnosti získává
- zvýšení produktivity,
- zvýšení úrovně služeb,
- zlepšení bezpečnosti,
- prokazatelná návratnost investic.
Popis řešení – viz Správa identit
