Tag: IAM

Państwa Unii Europejskiej mierzą się z rosnącą liczbą coraz bardziej zaawansowanych cyberataków. Podniesienie poziomu cyberbezpieczeństwa stało się więc jednym z kluczowych priorytetów Unii. Nowe rozporządzenia i dyrektywy stawiają przed przedsiębiorstwami wyzwanie dostosowania praktyk bezpieczeństwa do wyższych standardów. Jednym ze sposobów na zachowanie zgodności z regulacjami jest wdrożenie programu Identity Governance & Administration. Czym jest IGA, jakie korzyści daje organizacjom i w jaki sposób pomaga w spełnieniu wymagań dyrektywy NIS2? NIS2 a program IGA – wyjaśniamy wątpliwości!

Czym jest dyrektywa NIS2 i kogo dotyczy?

Dyrektywa NIS2 (Network and Information Security Directive 2) jest następczynią dyrektywy NIS z 2016 roku i znacząco rozszerza zakres podmiotów zobowiązanych do wdrożenia określonych standardów cyberbezpieczeństwa. Celem tych zmian jest podniesienie ogólnego poziomu bezpieczeństwa w całej Unii.

– Dyrektywa NIS2 ma na celu zwiększenie odporności cybernetycznej krytycznej infrastruktury i usług cyfrowych w UE – dąży do usystematyzowania i zestandaryzowania praktyk bezpieczeństwa. Obejmuje znacznie szersze grono podmiotów niż jej poprzedniczka. Dotyczy nie tylko sektorów tradycyjnie uznawanych za krytyczne, takich jak telekomunikacja i bankowość, ale również innych podmiotów, zapewniających usługi krytyczne z punktu widzenia działania państwa i zaspokajania podstawowych potrzeb obywateli – na przykład produkcji i dystrybucji żywności, wywozu śmieci czy usług pocztowych. Co istotne, dotyczy również części dostawców tych podmiotów. Celem jest zabezpieczenie całego łańcucha dostaw, kluczowego dla funkcjonowania państw Unii – mówi Jan Macherzyński, Principal IGA Architect and Evangelist w Integrity Partners. 

NIS2 a program IGA. Wymagania dyrektywy a zarządzanie tożsamością

Dyrektywa NIS2 wprowadza podział na podmioty kluczowe i ważne, nakładając na nie szereg obowiązków w zakresie cyberbezpieczeństwa. Dokument zawiera dwa istotne punkty przybliżające te obowiązki. Jest to artykuł 21, który precyzuje, jakie środki bezpieczeństwa powinny wdrożyć przedsiębiorstwa. 

– Artykuł jest w tym zakresie dość ogólny. Mówi o tym, że środki te powinny być adekwatne, proporcjonalne do krytyczności usług, zagrożenia i skali przedsiębiorstwa. Ich dobór leży w gestii przedsiębiorstw. Dyrektywa wskazuje jednak pewne główne elementy, które należy wziąć pod uwagę – dodaje Jan Macherzyński.

Do tych kluczowych obszarów cyberbezpieczeństwa należą zarządzanie polityką bezpieczeństwa i ryzykiem bezpieczeństwa i ciągłością działania organizacji. A także wdrożenie odpowiednich technologii kryptograficznych czy zasad cyberhigieny.

Drugim istotnym punktem jest artykuł 23 dyrektywy, który dotyczy raportowania incydentów z zakresu cyberbezpieczeństwa. 

Dyrektywa nie precyzuje, czy i jakie systemy wspierające odporność cybernetyczną organizacje powinny wdrożyć. Na rynku dostępne są jednak rozwiązania technologiczne, które w znacznym stopniu wspierają podmioty w uzyskaniu zgodności z unijnymi regulacjami.

Są wśród nich między innymi technologie do zarządzania tożsamością i dostępem, których podstawowym zadaniem jest zabezpieczanie, zarządzanie i automatyzowanie dostępu do wszystkich zasobów cyfrowych przedsiębiorstw i organizacji. 

Wiodącym producentem tego typu rozwiązań jest firma SailPoint.

– Rozwiązania Identity Governance & Administration pomagają firmom w dostosowaniu się do wymagań dyrektywy. Z jednej strony pokrywają swoim działaniem obszar zarządzania politykami bezpieczeństwa i ryzykiem. Z drugiej wspomagają tworzenie raportów, które są wymagane w przypadku naruszeń bezpieczeństwa. W tym raportów pokazujących rzeczywiste skutki naruszenia – mówi Michał Misztela, Sales Executive w firmie SailPoint.

Zarządzanie tożsamością (IAM) a Zarządzanie Tożsamością i Uprawnieniami (IGA)

Czym są programy IGA? Pojęcie Identity Governance & Administration, czyli zarządzanie tożsamością i uprawnieniami, bardzo często jest dziś używane zamiennie z Identity and Access Management. Chociaż blisko się ze sobą łączą, to jednak znaczenie tych terminów jest inne. 

– Identity and Access Management, czyli IAM, to według definicji Gartnera zbiór procesów i technologii, które służą temu, żeby odpowiednie osoby czy maszyny lub urządzenia w odpowiednim czasie i z odpowiednich przyczyn mogły uzyskać dostęp do odpowiednich zasobów. Dzięki IAM pracownicy mogą dostać się do potrzebnych im zasobów i wykonać w systemach takie operacje, jakie są niezbędne do wykonywania ich obowiązków – nie więcej i nie mniej – wyjaśnia Jan Macherzyński z Integrity Partners.

Tradycyjnie systemy IAM koncentrowały się na centralizacji zarządzania użytkownikami i ich uprawnieniami w złożonych środowiskach IT. IGA idzie o krok dalej. Dodaje do procesów IAM warstwę zarządzania, zgodności i audytu. 

Nadrzędnym celem programu IGA jest zarządzanie tożsamościami i dostępem w zgodzie z politykami bezpieczeństwa i regulacjami. Zarówno wewnętrznymi, jak i narzuconymi z zewnątrz, np. przez dyrektywę NIS2. 

Sztuczna inteligencja w rozwiązaniach IGA. Czy warto?

Na rynku dostępne są rozwiązania IGA, których działanie wsparte jest sztuczną inteligencją. Czy warto zwracać uwagę na tego typu technologie?

– Zdecydowanie warto. Dzięki AI rozwiązania IGA są łatwiejsze w implementacji, bardziej efektywne i wygodniejsze w użyciu. Sztuczna inteligencja wspiera użytkowników na wielu poziomach, począwszy od pomocy w podejmowaniu decyzji w procesach zarządzania uprawnieniami. Systemy IGA wyposażone w AI mogą analizować podejmowane przez użytkowników decyzje, obecne i historyczne dane o uprawnieniach w przedsiębiorstwie i na tej podstawie rekomendować akceptację lub odrzucenie wniosków o dostęp – wyjaśnia Michał Misztela z SailPoint.

Podobnie, podczas regularnych przeglądów uprawnień AI dostarcza informacji o tym, czy dane uprawnienie jest typowo potrzebne osobie o miejscu w strukturze organizacyjnej, stanowisku czy funkcji osoby, której dostępy poddawane są przeglądowi, co znacząco usprawnia proces audytu. 

AI wspiera administratorów systemów IGA – pomaga budować i utrzymywać system ról organizacyjnych / standardy uprawnień, sugerując ich strukturę na podstawie analizy uprawnień typowo posiadanych przez użytkowników o określonych, zidentyfikowanych w ramach organizacji funkcjach. 

Tak stworzony model ról jest dalej adaptowany do zmieniającej się organizacji. AI proponuje aktualizacje w oparciu o bieżące trendy w przyznawanych użytkownikom dostępach i zmieniające się stany uprawnień.

Osobom zajmującym się wdrożeniami AI pomaga m.in. poprzez automatyczne generowanie opisów uprawnień, czytelnych dla użytkowników biznesowych, co znacząco ułatwia im pracę z systemem IGA. 

Wreszcie, AI wspomaga audytorów i administratorów w identyfikowaniu obszarów podwyższonego ryzyka. Wykrywa bowiem nietypowe lub nadmiarowe uprawnienia, które mogłyby stanowić potencjalne zagrożenie.

Nie tylko zgodność z NIS2. Praktyczne korzyści z wdrożenia programu IGA

Program IGA, obejmujący zarówno technologię, jak i powiązane procedury i polityki, przynosi przedsiębiorstwom wymierne korzyści. Także w kontekście prac zmierzających do zapewnienia zgodności z zapisami dyrektywy NIS2 i ogólnego wzmocnienia cyberbezpieczeństwa. NIS2 a program IGA:

Zwiększenie bezpieczeństwa: Centralne zarządzanie tożsamościami i uprawnieniami minimalizuje ryzyko nieautoryzowanego dostępu do kluczowych zasobów.

Wygoda pracy: Automatyzacja procesów nadawania i odbierania uprawnień znacząco upraszcza zarządzanie systemami IT. Skraca także czas potrzebny na wdrożenie nowych pracowników.

Oszczędność czasu i pieniędzy: Efektywniejsze zarządzanie uprawnieniami redukuje potrzebę ręcznych interwencji administratorów i optymalizuje wykorzystanie licencji.

Elastyczność organizacji: Sprawny system IGA ułatwia wprowadzanie zmian w infrastrukturze IT i szybkie nadawanie uprawnień nowym grupom użytkowników.

Wsparcie w raportowaniu incydentów: IGA ułatwia zbieranie danych i tworzenie raportów wymaganych przez dyrektywę NIS2 w przypadku naruszeń bezpieczeństwa.

Zgodność z regulacjami: IGA pomaga w udokumentowaniu i egzekwowaniu polityk bezpieczeństwa, ułatwiając spełnienie wymogów prawnych.

IGA. Jak wybrać odpowiednie rozwiązanie?

– Warto pamiętać, że IGA to podróż, dlatego podchodzimy do niego jak do programu, a nie jednorazowego projektu. Od czegoś jednak trzeba zacząć. Początkowe wdrożenie – MVP – trwające najczęściej kilka miesięcy ma na celu szybkie dostarczenie wartości biznesowej i zaadresowanie najbardziej palących problemów. Później ten program, a razem z nim system, jest stopniowo rozbudowywany. Obejmuje kolejne aplikacje i procesy, w zależności od zmieniających się potrzeb organizacji. Może to trwać wiele lat. Tym bardziej warto wybrać dobre rozwiązanie i sprawdzonego dostawcę – wyjaśnia Jan Macherzyński.

Wybierając rozwiązanie IGA i dostawcę, przedsiębiorstwa powinny kierować się kilkoma kluczowymi kryteriami:

Sprawdzone rozwiązania: Wybór rozwiązania, które ma historię, zostało wdrożone i funkcjonuje z sukcesem w różnych organizacjach, najlepiej na lokalnym rynku.

Dopasowanie do potrzeb: Wybór systemu, który rzeczywiście odpowiada specyficznym wymaganiom i skali organizacji.

Opinie społeczności: Zasięgnięcie opinii innych firm z branży, które wdrożyły podobne rozwiązania.

Wiarygodność dostawcy: Wybór partnera, który oferuje wsparcie i doradztwo na każdym etapie wdrożenia i eksploatacji systemu.

– Wybór dostawcy i partnera w programie IGA jest często ważniejszy niż sama technologia. Najgorsze, co można zrobić, to wybrać przypadkową firmę, która obieca natychmiastowe spełnienie wszystkich wymogów. Wdrożenie IGA wymaga kompromisów, zrozumienia przyczyn leżących u podstaw wymagań i optymalnego sposobu ich realizacji – podkreśla Jan Macherzyński z Integrity Partners.

Wdrożenie programu Identity Governance and Administration pomaga organizacjom w procesie dostosowania się do wymogów dyrektywy NIS2. 

Podsumowując, IGA nie tylko wspiera przedsiębiorstwa w dążeniu do zapewnienia zgodności z regulacjami. Przede wszystkim wzmacnia bezpieczeństwo organizacji, zwiększa efektywność operacyjną i buduje zaufanie klientów.

NIS2 a program IGA – chcesz dowiedzieć się więcej? Posłuchaj rozmowy z Janem Macherzyńskim na kanale IntegriTV.

Dyrektywa NIS 2 nałożyła na organizacje obowiązek wdrożenia nowych, bardziej rygorystycznych środków ochrony przed cyberatakami. Jak dostosować się do tych wymagań? Jednym ze sposobów jest implementacja programu IGA, czyli Identity Governance & Administration. Czym jest IGA, jakie korzyści daje firmom i jak wybrać rozwiązanie i dostawcę? NIS 2 a IGA – o tym w najnowszym odcinku „NIEbezpiecznych rozmów”.

Prowadzący kanał IntegriTV – Łukasz Pietrzak i Łukasz Kopeć – tym razem zaprosili do rozmowy Jana Macherzyńskiego. To Principal IGA Architect and Evangelist w Integrity Partners. Gość odcinka wyjaśnił, jakie wymagania stawia przed organizacjami NIS 2 i jak IGA może pomóc w dostosowaniu do nowych przepisów.

– Dyrektywa NIS 2 dąży do usystematyzowania i zestandaryzowania praktyk bezpieczeństwa. Obejmuje znacznie szersze grono podmiotów niż jej poprzedniczka. Dotyczy nie tylko sektorów tradycyjnie uznawanych za krytyczne sektorów, takich jak telekomunikacja i bankowość, ale również podmiotów działających w obszarach produkcji i dystrybucji żywności, a co istotne, także części ich dostawców. Celem jest zabezpieczenie całego łańcucha dostaw, kluczowego dla funkcjonowania państw Unii – mówi Jan Macherzyński, Principal IGA Architect and Evangelist w Integrity Partners, gość „NIEbezpiecznych rozmów”.

IGA a IAM – podobieństwa i różnice
IGA jest często mylona z Identity Access Management (IAM). Oba rozwiązania różnią się jednak od siebie. Głównym celem IAM jest operacyjne zarządzanie tożsamościami cyfrowymi (użytkowników, urządzeń, aplikacji) oraz kontrolowanie ich dostępu do zasobów IT (systemów, aplikacji, danych).

IGA idzie o krok dalej niż IAM, dodając warstwę zarządzania, zgodności i audytu do procesów IAM. Głównym celem rozwiązań IGA jest zapewnienie, że zarządzanie tożsamościami i dostępem jest zgodne z politykami bezpieczeństwa, przepisami prawa i potrzebami biznesowymi organizacji.

NIS 2 a IGA – co trzeba wiedzieć
W odcinku znajdziecie także odpowiedzi na pytania:

Jak program IGA pomaga implementować wymagania dyrektywy?
W jakim stopniu IGA wspiera organizacje i jakie korzyści im daje?
Jak skutecznie wdrożyć program IGA i dlaczego jest to podróż, a nie krótkofalowy projekt?
Jak wybrać odpowiednie rozwiązanie IGA i jak przekonać do niego pracowników?
Co jest przeszkodą w implementacji?

Zapraszamy na kanał IntegriTV: IntegriTV – NIEbezpieczne rozmowy – YouTube

Więcej o programie IGA: Zarządzanie tożsamością cyfrową. Od czego zacząć? – Integrity Partners

A jeśli zainteresowały Cię rozwiązania IGA lub masz dodatkowe pytania, skontaktuj się z naszymi ekspertami!

System IGA – czym jest i jak go wdrożyć? Zapewnienie dostępu pracownikom do odpowiednich zasobów firmowych. Nadawanie im właściwych ról oraz kontrolowanie tego, czy i jak korzystają z przyznanych uprawnień. To kluczowe procesy podnoszące bezpieczeństwo firm i ich danych. Jak skutecznie zarządzać takim procesem i dlaczego jest on ważny nie tylko dla działów HR? O tym Łukasz Pietrzak i Łukasz Kopeć rozmawiają z ekspertem SailPoint na kanale IntegriTV.

Jaka jest różnica między systemami IAM, IGA, PIM oraz PAM? Dlaczego wdrożenie rozwiązania IGA jest procesem, który nigdy się nie kończy? I w jaki sposób IGA może pomóc działom HR, finansów i marketingu? Te i inne tajemnice zarządzania tożsamością przybliża Michał Misztela, Sales Executive w firmie SailPoint.

– W działach HR często brakuje świadomości tego, jak ważna jest ich rola w całym procesie. Gdy wytłumaczymy im, jak jakość ich danych, jak ich procesy wpływają na działanie całego systemu IGA, wtedy zmienia się perspektywa. Natomiast zespoły IT często jeszcze nie umieją rozmawiać z HR-ami. Wymagają, nie tłumacząc. I to też jest moja rola w procesie wdrażania rozwiązania IGA, aby spojrzeć na cały projekt holistycznie – mówi Michał Misztela.
Czym jest system IGA?
IGA (Identity Governance and Administration) to zarządzanie tożsamościami i ich uprawnieniami w systemach IT. Obejmuje automatyzację procesów nadawania i odbierania dostępu, a także zapewnia zgodność z regulacjami. Wspiera proces onboardingu, dzięki czemu pracownik może zacząć wykonywać swoje obowiązki już pierwszego dnia. Pozwala zmniejszać koszty oraz minimalizować niebezpieczeństwo wykorzystania uprawnień odchodzących pracowników. Pomaga zidentyfikować i usuwać martwe, nieużywane konta oraz dbać o to, by jedna osoba nie gromadziła zbyt wielu uprawnień.

Jak skutecznie wdrożyć system IGA? Zapraszamy na IntegriTV!