Według raportu firmy PWC „Cyber-ruletka po polsku. Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście” prawie 50% firm poniosło straty finansowe na skutek cyber-ataków, a ponad 60% odnotowało zakłócenia i przestoje w swojej działalności. Celem audytów bezpieczeństwa jest nie tylko sprawdzenie efektywnej ochrony wirtualnych zasobów firmy, ale także szkolenie pracowników i stworzenie przemyślanej polityki dostępu do informacji.
Audyt bezpieczeństwa systemu IT weryfikuje, czy system informatyczny we właściwy sposób chroni majątek firmy i utrzymuje integralność danych. Dobrze zaprojektowany proces zarządzania tożsamościami i dostępami pozwala dostarczyć szybko informacje na temat osób, które mają dostęp do systemów i mogą eksplorować poufne dane.
Jak wynika z raportu PWC niespełna 10% organizacji rozumie potrzebę zapewnienia bezpieczeństwa w swoim systemom informatycznym, a niemal połowa spółek nie ma wypracowanych żadnych procedur na wypadek awarii lub incydentów zagrażających bezpieczeństwu firmy. Oprócz cyberprzestępców, którzy mogą wykraść dane lub zniszczyć reputację firmy, mamy szereg bardzo pospolitych błędów dotyczących ciągłego udostępniania zasobów i poufnych danych nieupoważnionym do tego osobom.
Najczęstsze problemy z bezpieczeństwem ujawniane w trakcie audytów
Zapewnienie odpowiedniej jakości i bezpieczeństwa informatycznego w przedsiębiorstwach staje się priorytetem. Szczególnie teraz, w okresie zamieszania związanego z COVID-19, gdy wiele branż przeszło na zdalny tryb pracy. Jednak od lat firmy podlegają coraz większym wymogom w zakresie regulacji dostępu do danych osobowych i innych wrażliwych informacji. Weryfikację zgodności z surowymi normami (wynikającymi m.in. ze słynnego RODO) przeprowadzają wyspecjalizowane wewnętrzne jednostki audytujące, a także podmioty zewnętrzne.
Audytorzy bezpieczeństwa danych wymieniają kilka najczęstszych problemów związanych z zarządzaniem tożsamościami i dostępami, z jakimi borykają się organizacje. Należą do nich:
- nieprzejrzystość przepisów wewnętrznych organizacji
- niejasny sposób udzielania dostępu (brak oficjalnego systemu zgłoszeń i opisu)
- problem z certyfikacją przyznanych uprawnień
- trudność ustalenia osoby odpowiedzialnej za nadawanie dostępów
- duże obciążenie działów nadających i kontrolujących dostępy
- integracja pracowników i podmiotów zewnętrznych (B2B) korzystających z dostępu do systemów dziedzinowych
- brak jednolitego modelu nadawania i odbierania uprawnień
- trudności w przedstawieniu danych historycznych dla określonego czasu
- potrzeba generowania osobnych raportów z poszczególnych systemów
W trakcie przeprowadzonego audytu dużym problemem są również awarie poszczególnych systemów IT, z których chcemy wygenerować listę użytkowników oraz zakres dostępów, jaki posiadają. Jeden system IAM dla wszystkich aplikacji agreguje te dane i błyskawicznie wyświetla audytorowi.
IAM, jak działa
Wyobraźmy sobie organizację dostępu do pomieszczeń biurowych w przedsiębiorstwie opartą na fizycznych kartach dostępu. Każda z nich zawiera informacje potrzebne do otworzenia konkretnych obszarów w na terenie firmy. Ułatwiają one kontrolę nad tym, kto może przemieszczać się po terenie organizacji, a całość danych agreguje system, który łączy nazwiska i pełnione funkcje z możliwością dostępu.
System zapisuje również informacje o tym, kto korzystał z biura i w jakim czasie. W przypadku systemów informatycznych sprawa jest trudniejsza i również zasługuje na dedykowane rozwiązanie. Były pracownik może wciąż mieć dostępy do kont firmowych na różnych platformach. To samo dotyczy również osób, które zmieniły dział w wyniku awansu lub fuzji przedsiębiorstw. Wiedzę na temat uprawnień w poszczególnych systemach dziedzinowych możemy czerpać bezpośrednio z danych poszczególnych aplikacji lub wykorzystać do tego oprogramowanie IAM. Jak działa system IAM – do zarządzania tożsamościami i dostępami?
Pełna kontrola nad dostępami
Podczas audytu informacje na temat dostępów nie mogą leżeć jedynie w sferze deklaracji lub prawdopodobieństwa. Nie powinniśmy ich odtwarzać post factum na podstawie dokumentów wygenerowanych przy okazji innych procesów. Wiedza na temat dostępu do zasobów organizacji powinna być szybko dostępna dla osoby odpowiedzialnej i audytora.
Po co system do zarządzania dostępami i tożsamościami
Kontrola tego, kto i w jakim zakresie oraz do ilu obszarów ma dostęp jest złożonym procesem, który stwarza wiele problemów – technicznych i organizacyjnych. Zastosowanie oprogramowania do zarządzania tożsamościami i dostępami pozwala szybko zorientować się, kto może logować się swoją tożsamością elektroniczną do systemów dziedzinowych, takich jak systemy ERP, Jira, czy system do obsługi zleceń klientów. Porządkuje również proces nadawania uprawnień zgodnie ze ścieżką certyfikacji. (Jeśli interesuje Cię więcej informacji o nadawaniu uprawnień, zapoznaj się również z tym artykułem: Po co wdrażać systemowe zarządzanie tożsamościami i dostępami (IAM)?)
Uporządkowanie procesu nadawania dostępów do systemów za pomocą systemu PASK
Łatwo dostępne dane historyczne podczas audytu
Weryfikacja podczas audytu jest wyzwaniem dla osób sprawujących kontrolę nad dostępami. Analiza tego, jak przebiegał dostęp do poszczególnych zasobów, powinna odbywać się bezzwłocznie. Audytorzy wymagają nie tylko szybkiego przedstawienia informacji na temat tego, kto miał (i w jakim momencie) dostęp do naszych systemów, ale także jak długo go miał i co działo się wcześniej. To wymaga ogromnych możliwości analitycznych. Dane historyczne muszą opierać się na faktycznie rejestrowanych dostępach do wszystkich używanych aplikacji.
Zapis historii dostępów w formie migawek rejestrujących stan uprawnień w danym momencie nie spełnia już wymogów szczegółowego audytu. Osoba przeprowadzająca audyt bezpieczeństwa systemów IT może poprosić nas o wykaz dostępów w dowolnym czasie przeszłym. Rejestracja dostępów tylko w określonym interwale czasowym – niczym okiem kamery przemysłowej – będzie niewystarczająca.
Nie wynika to ze złośliwości audytora i przesadnego dbania o szczegółowość informacji. Użytkownicy w systemach często uzyskują pośrednią rolę w dostępie do informacji. Jeśli dana tożsamość zyskuje prawo dostępu do określonej roli, która zawiera w sobie podgrupę ról podrzędnych, niosących określone uprawnienia, to musimy te wszystkie połączenia między obiektami rozpatrywać konkretnym czasie. Taka analiza powinna obejmować zmienione przypisania, a także definicje uprawnień z uwzględnieniem dokładnej chronologii.
System PASK spełnia wszystkie potrzeby zarządzania tożsamościami i dostępami oraz pomaga sprostać wymogom nowoczesnego audytu. Jego prosty i wydajny silnik analityczny jest lekki i nie wymaga dużych mocy obliczeniowych. Intuicyjny interfejs ogranicza się tylko do rzeczy niezbędnych. System umożliwia błyskawiczny dostęp do archiwalnych danych z perspektywy historii użytkownika, a także analizę historii praw dostępu pod dowolnym kątem. Dzięki temu rozwiązaniu możesz spokojnie podchodzić do najtrudniejszych pytań audytora.
Jeśli zależy Ci na tym, aby kontrola tożsamości i dostępów w Twojej organizacji przebiegała sprawnie, zgodnie z procedurami i spełniała wymagania norm bezpieczeństwa, skontaktuj się ze mną.