Państwa Unii Europejskiej mierzą się z rosnącą liczbą coraz bardziej zaawansowanych cyberataków. Podniesienie poziomu cyberbezpieczeństwa stało się więc jednym z kluczowych priorytetów Unii. Nowe rozporządzenia i dyrektywy stawiają przed przedsiębiorstwami wyzwanie dostosowania praktyk bezpieczeństwa do wyższych standardów. Jednym ze sposobów na zachowanie zgodności z regulacjami jest wdrożenie programu Identity Governance & Administration. Czym jest IGA, jakie korzyści daje organizacjom i w jaki sposób pomaga w spełnieniu wymagań dyrektywy NIS2? NIS2 a program IGA – wyjaśniamy wątpliwości!
Czym jest dyrektywa NIS2 i kogo dotyczy?
Dyrektywa NIS2 (Network and Information Security Directive 2) jest następczynią dyrektywy NIS z 2016 roku i znacząco rozszerza zakres podmiotów zobowiązanych do wdrożenia określonych standardów cyberbezpieczeństwa. Celem tych zmian jest podniesienie ogólnego poziomu bezpieczeństwa w całej Unii.
– Dyrektywa NIS2 ma na celu zwiększenie odporności cybernetycznej krytycznej infrastruktury i usług cyfrowych w UE – dąży do usystematyzowania i zestandaryzowania praktyk bezpieczeństwa. Obejmuje znacznie szersze grono podmiotów niż jej poprzedniczka. Dotyczy nie tylko sektorów tradycyjnie uznawanych za krytyczne, takich jak telekomunikacja i bankowość, ale również innych podmiotów, zapewniających usługi krytyczne z punktu widzenia działania państwa i zaspokajania podstawowych potrzeb obywateli – na przykład produkcji i dystrybucji żywności, wywozu śmieci czy usług pocztowych. Co istotne, dotyczy również części dostawców tych podmiotów. Celem jest zabezpieczenie całego łańcucha dostaw, kluczowego dla funkcjonowania państw Unii – mówi Jan Macherzyński, Principal IGA Architect and Evangelist w Integrity Partners.
NIS2 a program IGA. Wymagania dyrektywy a zarządzanie tożsamością
Dyrektywa NIS2 wprowadza podział na podmioty kluczowe i ważne, nakładając na nie szereg obowiązków w zakresie cyberbezpieczeństwa. Dokument zawiera dwa istotne punkty przybliżające te obowiązki. Jest to artykuł 21, który precyzuje, jakie środki bezpieczeństwa powinny wdrożyć przedsiębiorstwa.
– Artykuł jest w tym zakresie dość ogólny. Mówi o tym, że środki te powinny być adekwatne, proporcjonalne do krytyczności usług, zagrożenia i skali przedsiębiorstwa. Ich dobór leży w gestii przedsiębiorstw. Dyrektywa wskazuje jednak pewne główne elementy, które należy wziąć pod uwagę – dodaje Jan Macherzyński.
Do tych kluczowych obszarów cyberbezpieczeństwa należą zarządzanie polityką bezpieczeństwa i ryzykiem bezpieczeństwa i ciągłością działania organizacji. A także wdrożenie odpowiednich technologii kryptograficznych czy zasad cyberhigieny.
Drugim istotnym punktem jest artykuł 23 dyrektywy, który dotyczy raportowania incydentów z zakresu cyberbezpieczeństwa.
Dyrektywa nie precyzuje, czy i jakie systemy wspierające odporność cybernetyczną organizacje powinny wdrożyć. Na rynku dostępne są jednak rozwiązania technologiczne, które w znacznym stopniu wspierają podmioty w uzyskaniu zgodności z unijnymi regulacjami.
Są wśród nich między innymi technologie do zarządzania tożsamością i dostępem, których podstawowym zadaniem jest zabezpieczanie, zarządzanie i automatyzowanie dostępu do wszystkich zasobów cyfrowych przedsiębiorstw i organizacji.
Wiodącym producentem tego typu rozwiązań jest firma SailPoint.
– Rozwiązania Identity Governance & Administration pomagają firmom w dostosowaniu się do wymagań dyrektywy. Z jednej strony pokrywają swoim działaniem obszar zarządzania politykami bezpieczeństwa i ryzykiem. Z drugiej wspomagają tworzenie raportów, które są wymagane w przypadku naruszeń bezpieczeństwa. W tym raportów pokazujących rzeczywiste skutki naruszenia – mówi Michał Misztela, Sales Executive w firmie SailPoint.
Zarządzanie tożsamością (IAM) a Zarządzanie Tożsamością i Uprawnieniami (IGA)
Czym są programy IGA? Pojęcie Identity Governance & Administration, czyli zarządzanie tożsamością i uprawnieniami, bardzo często jest dziś używane zamiennie z Identity and Access Management. Chociaż blisko się ze sobą łączą, to jednak znaczenie tych terminów jest inne.
– Identity and Access Management, czyli IAM, to według definicji Gartnera zbiór procesów i technologii, które służą temu, żeby odpowiednie osoby czy maszyny lub urządzenia w odpowiednim czasie i z odpowiednich przyczyn mogły uzyskać dostęp do odpowiednich zasobów. Dzięki IAM pracownicy mogą dostać się do potrzebnych im zasobów i wykonać w systemach takie operacje, jakie są niezbędne do wykonywania ich obowiązków – nie więcej i nie mniej – wyjaśnia Jan Macherzyński z Integrity Partners.
Tradycyjnie systemy IAM koncentrowały się na centralizacji zarządzania użytkownikami i ich uprawnieniami w złożonych środowiskach IT. IGA idzie o krok dalej. Dodaje do procesów IAM warstwę zarządzania, zgodności i audytu.
Nadrzędnym celem programu IGA jest zarządzanie tożsamościami i dostępem w zgodzie z politykami bezpieczeństwa i regulacjami. Zarówno wewnętrznymi, jak i narzuconymi z zewnątrz, np. przez dyrektywę NIS2.
Sztuczna inteligencja w rozwiązaniach IGA. Czy warto?
Na rynku dostępne są rozwiązania IGA, których działanie wsparte jest sztuczną inteligencją. Czy warto zwracać uwagę na tego typu technologie?
– Zdecydowanie warto. Dzięki AI rozwiązania IGA są łatwiejsze w implementacji, bardziej efektywne i wygodniejsze w użyciu. Sztuczna inteligencja wspiera użytkowników na wielu poziomach, począwszy od pomocy w podejmowaniu decyzji w procesach zarządzania uprawnieniami. Systemy IGA wyposażone w AI mogą analizować podejmowane przez użytkowników decyzje, obecne i historyczne dane o uprawnieniach w przedsiębiorstwie i na tej podstawie rekomendować akceptację lub odrzucenie wniosków o dostęp – wyjaśnia Michał Misztela z SailPoint.
Podobnie, podczas regularnych przeglądów uprawnień AI dostarcza informacji o tym, czy dane uprawnienie jest typowo potrzebne osobie o miejscu w strukturze organizacyjnej, stanowisku czy funkcji osoby, której dostępy poddawane są przeglądowi, co znacząco usprawnia proces audytu.
AI wspiera administratorów systemów IGA – pomaga budować i utrzymywać system ról organizacyjnych / standardy uprawnień, sugerując ich strukturę na podstawie analizy uprawnień typowo posiadanych przez użytkowników o określonych, zidentyfikowanych w ramach organizacji funkcjach.
Tak stworzony model ról jest dalej adaptowany do zmieniającej się organizacji. AI proponuje aktualizacje w oparciu o bieżące trendy w przyznawanych użytkownikom dostępach i zmieniające się stany uprawnień.
Osobom zajmującym się wdrożeniami AI pomaga m.in. poprzez automatyczne generowanie opisów uprawnień, czytelnych dla użytkowników biznesowych, co znacząco ułatwia im pracę z systemem IGA.
Wreszcie, AI wspomaga audytorów i administratorów w identyfikowaniu obszarów podwyższonego ryzyka. Wykrywa bowiem nietypowe lub nadmiarowe uprawnienia, które mogłyby stanowić potencjalne zagrożenie.
Nie tylko zgodność z NIS2. Praktyczne korzyści z wdrożenia programu IGA
Program IGA, obejmujący zarówno technologię, jak i powiązane procedury i polityki, przynosi przedsiębiorstwom wymierne korzyści. Także w kontekście prac zmierzających do zapewnienia zgodności z zapisami dyrektywy NIS2 i ogólnego wzmocnienia cyberbezpieczeństwa. NIS2 a program IGA:
Zwiększenie bezpieczeństwa: Centralne zarządzanie tożsamościami i uprawnieniami minimalizuje ryzyko nieautoryzowanego dostępu do kluczowych zasobów.
Wygoda pracy: Automatyzacja procesów nadawania i odbierania uprawnień znacząco upraszcza zarządzanie systemami IT. Skraca także czas potrzebny na wdrożenie nowych pracowników.
Oszczędność czasu i pieniędzy: Efektywniejsze zarządzanie uprawnieniami redukuje potrzebę ręcznych interwencji administratorów i optymalizuje wykorzystanie licencji.
Elastyczność organizacji: Sprawny system IGA ułatwia wprowadzanie zmian w infrastrukturze IT i szybkie nadawanie uprawnień nowym grupom użytkowników.
Wsparcie w raportowaniu incydentów: IGA ułatwia zbieranie danych i tworzenie raportów wymaganych przez dyrektywę NIS2 w przypadku naruszeń bezpieczeństwa.
Zgodność z regulacjami: IGA pomaga w udokumentowaniu i egzekwowaniu polityk bezpieczeństwa, ułatwiając spełnienie wymogów prawnych.
IGA. Jak wybrać odpowiednie rozwiązanie?
– Warto pamiętać, że IGA to podróż, dlatego podchodzimy do niego jak do programu, a nie jednorazowego projektu. Od czegoś jednak trzeba zacząć. Początkowe wdrożenie – MVP – trwające najczęściej kilka miesięcy ma na celu szybkie dostarczenie wartości biznesowej i zaadresowanie najbardziej palących problemów. Później ten program, a razem z nim system, jest stopniowo rozbudowywany. Obejmuje kolejne aplikacje i procesy, w zależności od zmieniających się potrzeb organizacji. Może to trwać wiele lat. Tym bardziej warto wybrać dobre rozwiązanie i sprawdzonego dostawcę – wyjaśnia Jan Macherzyński.
Wybierając rozwiązanie IGA i dostawcę, przedsiębiorstwa powinny kierować się kilkoma kluczowymi kryteriami:
Sprawdzone rozwiązania: Wybór rozwiązania, które ma historię, zostało wdrożone i funkcjonuje z sukcesem w różnych organizacjach, najlepiej na lokalnym rynku.
Dopasowanie do potrzeb: Wybór systemu, który rzeczywiście odpowiada specyficznym wymaganiom i skali organizacji.
Opinie społeczności: Zasięgnięcie opinii innych firm z branży, które wdrożyły podobne rozwiązania.
Wiarygodność dostawcy: Wybór partnera, który oferuje wsparcie i doradztwo na każdym etapie wdrożenia i eksploatacji systemu.
– Wybór dostawcy i partnera w programie IGA jest często ważniejszy niż sama technologia. Najgorsze, co można zrobić, to wybrać przypadkową firmę, która obieca natychmiastowe spełnienie wszystkich wymogów. Wdrożenie IGA wymaga kompromisów, zrozumienia przyczyn leżących u podstaw wymagań i optymalnego sposobu ich realizacji – podkreśla Jan Macherzyński z Integrity Partners.
Wdrożenie programu Identity Governance and Administration pomaga organizacjom w procesie dostosowania się do wymogów dyrektywy NIS2.
Podsumowując, IGA nie tylko wspiera przedsiębiorstwa w dążeniu do zapewnienia zgodności z regulacjami. Przede wszystkim wzmacnia bezpieczeństwo organizacji, zwiększa efektywność operacyjną i buduje zaufanie klientów.
NIS2 a program IGA – chcesz dowiedzieć się więcej? Posłuchaj rozmowy z Janem Macherzyńskim na kanale IntegriTV.
Czytaj więcej
