Zarządzanie prawami dostępu do zasobów przedsiębiorstwa, w tym systemów, baz danych czy aplikacji, jest jednym z kluczowych elementów strategii cyberbezpieczeństwa. Jak dobrze przygotować się do projektu zarządzania tożsamością cyfrową w organizacji? Czym ona w ogóle jest i jak ją uwidocznić? Odpowiadamy w tym artykule. Zapraszamy do lektury!
Czym jest cyfrowa tożsamość?
Zanim firma stworzy swoją definicję cyfrowej tożsamości, musi się zastanowić, czym chce zarządzać i po co chce to robić. Na pewno warto zarządzać człowiekiem w organizacji, czyli pracownikiem etatowym, na zlecenie, B2B, pracownikiem dostawcy zewnętrznego, audytorem itd. Każda z tych osób docelowo otrzymuje dostępy do systemów informatycznych, przetwarza w nich dane i występuje w nich jako jakaś tożsamość. Jest wewnątrz organizacji i występuje w procesach biznesowych.
Systemy kadrowe
W jaki sposób uwidacznia się w systemach informatycznych? Widać ją przede wszystkim w danych źródłowych (tam, gdzie ktoś po raz pierwszy wpisuje dane takiej tożsamości, gdzie ją rejestruje, osadza w strukturach, przypisuje pewne funkcje, role, stanowiska itd.). Najczęściej są to systemy kadrowe.
Systemy informatyczne
Drugim miejscem, w którym znajdują się informacje o tożsamości, są systemy informatyczne w przedsiębiorstwie wykorzystywane w ramach różnych procesów biznesowych. W tym przypadku mamy do czynienia z imiennymi kontami dostępowymi, kontami uprzywilejowanymi, funkcyjnymi, kontaktami, skrzynkami pocztowymi i adresami e-mail, rekordami personalnymi itp.
Baza CMDB
Pojęcie tożsamości można także rozszerzyć i objąć nim nie tylko człowieka, ale też system informatyczny, usługę biznesową czy instancję produkcyjną systemu. Wtedy źródłem danych będą między innymi bazy danych CMDB, w których usługi te są inwentaryzowane.
Finalnie tożsamość cyfrowa uwidacznia się jako zbiór danych o podmiocie, który ze względów bezpieczeństwa, efektywności biznesu i zgodności z regulacjami i politykami musi być odpowiednio zarządzany. Jeśli jest to człowiek, w skład jego tożsamości cyfrowej wchodzą jego dane kadrowe, informacje o jego imiennych kontach, z których korzysta, i konfiguracji dostępów. Tożsamość człowieka powinna być zdefiniowana ponad kontami i rekordami źródłowymi (np. umowami kadrowymi i „punktami zatrudnień”).
Po co zarządzać tożsamością?
Co jednak daje firmie uwidocznienie tożsamości i zarządzanie nią? Ogólnie rzecz ujmując – przewagę konkurencyjną i poważne obniżenie ryzyka prowadzenia biznesu. Patrząc głębiej, zarządzanie tożsamością cyfrową pomaga przedsiębiorstwu głównie w trzech obszarach:
- W obszarze zwiększenia efektywności i obniżenia kosztów operacyjnych
Żaden pracownik nie może dziś efektywnie wykonywać swoich obowiązków, jeśli nie ma skonfigurowanych kont i przydzielonych dostępów. Bez nich nie może się uwierzytelnić i przetwarzać danych i tym samym pracować. Sprawne nadawanie uprawnień i tworzenie odpowiednich profili w systemach jest kluczowe, zwłaszcza w procesie onboardingu pracownika czy zmiany jego stanowiska, zespołu, obowiązków. Włączanie pracowników w struktury organizacji, obsługa przemieszczeń między strukturami, managerami i związana z nimi rekonfiguracja kont czy uprawnień mogą odbywać się automatycznie właśnie dzięki dojrzałemu zarządzaniu tożsamością, a to z kolei prowadzi do zwiększenia efektywności i obniżenia kosztów.
- W obszarze bezpieczeństwa
Konieczność ochrony danych i zasobów wymaga od organizacji wielu działań związanych z dostępem pracowników do systemów i baz danych. Ważne jest to, by odebrać wszystkie dostępy osobom odchodzącym z firmy, zawieszać nieużywane dostępy podczas długich absencji, ale też natychmiastowo blokować czasowo konta i uprawnienia – do momentu wyjaśnienia np. podejrzenia incydentu naruszenia bezpieczeństwa. W każdym momencie istotne jest też to, by pracownicy mieli dostępy adekwatne do swoich stanowisk i obowiązków i nie większe niż potrzeba, gdyż to poważnie obniża możliwości działania ewentualnego intruza posługującego się w sposób nieuprawniony tymi dostępami.
- W obszarze zgodności z regulacjami
Zarządzanie tożsamością pomaga przedsiębiorstwu zapewnić i wykazać przed regulatorami zgodność z politykami i przepisami. Dzięki niemu można łatwo wykazać, że firma regularnie przegląda dostępy i przestrzega polityk, np. polityki SoD (segregation of duties, unikanie kolizji obowiązków) oraz właściwie nadzoruje dostęp do danych osobowych. Całość ma wpływ na ograniczenie ryzyka wystąpienia poważnych naruszeń mogących skutkować utratą reputacji oraz dużymi stratami finansowymi.
Program IGA, czyli szerokie spojrzenie na tożsamość i dojrzałość zarzadzania
Jak jednak sprawnie zarządzać tożsamościami cyfrowymi w przedsiębiorstwie? Wykorzystać do tego można oczywiście dojrzałe systemy klasy IAM (Identity Access Management), IdM (Identity Management), IGA (Identity Governance & Administration) – warto zauważyć, że terminy te bardzo często używane są zamiennie. Do ich wdrożenia można podejść na dwa sposoby: poprzez realizację dedykowanego projektu wdrożeniowego lub powołanie i prowadzenie dedykowanego programu Identity Governance & Administration (IGA).
Choć pierwsze podejście jest prostsze i wydaje się mniej czasochłonne i prostsze w zaplanowaniu i przeprowadzeniu, w dłuższej perspektywie przynosi jednak firmie wyraźnie mniej korzyści, przede wszystkim dlatego, że rozwiązuje zwykle najbardziej palące w danej chwili problemy często jednego działu (IT, HR, Compliance, bezpieczeństwa itp.). W podejściu tym brakuje holistycznego spojrzenia na potrzeby całej firmy.
Inaczej jest w przypadku powołania programu IGA, który od początku angażuje szeroko wiele departamentów i w sposób skoordynowany uwzględnia ich potrzeby – również te długoterminowe. Powołuje niezbędne projekty i inicjatywy, w tym wdrożenie i rozwój narzędzi wspierających zarządzanie tożsamością (IdM, IAM, AM). Wyznacza managera programu, który koordynuje wszystkie działania. To zapewnia szersze spojrzenie na tożsamość – zespół projektowy zastanawia się, gdzie jako organizacja jest, dokąd dąży, a wdrożenie narzędzia jest tylko jednym z celów.
Typowe zadania, projekty i inicjatywy w dojrzałym programie IGA:
- ustalanie celów i priorytetów na poziomie całej organizacji
- zdefiniowanie ról w programie oraz odpowiedzialności i komunikacji
- analityka biznesowa, przygotowanie dokumentacji i określenie wymagań dla zmian: procesy biznesowe, narzędzia IT, standardy, modele danych
- przygotowanie mapy drogowej działań, w tym powołanie, prowadzenie i nadzór nad:
– projektem zakupu, wdrożenia oraz ciągłego rozwoju konfiguracji narzędzia klasy IGA
– inicjatywą integracji systemów zarządzanych
– inicjatywą planowania i prowadzenia przeglądów dostępów
– inicjatywą modelowania ról biznesowych (łączenie różnych uprawnień w biznesowy sens)
– inicjatywą identyfikacji separacji obowiązków i wykrywania kolizji uprawnień (SoD)
Jak zacząć z głową?
Projekt IGA jest dużym przedsięwzięciem. By zakończyło się sukcesem, firma musi przede wszystkim zastanowić się, jakie ma aktualnie możliwości. Tempo prac musi być dostosowane do dostępności ludzi i do poziomu ich zaangażowania.
W projekt trzeba włączyć nie tylko pracowników wielu działów, które są zainteresowane przetwarzaniem tożsamości (IT, Security, HR, Compliance), ale również ludzi z kompetencjami analitycznymi – konieczne jest bowiem dokładne określenie potrzeb firmy i sprecyzowanie drogi, która ma doprowadzić do ich spełnienia.
Równie ważne jest przygotowanie nie tylko zespołu projektowego, ale i całej firmy do zmian, które nastąpią. Pokazanie korzyści, jakie osiągną poszczególne działy dzięki wdrożeniu nowych narzędzi (np. odciążenie helpdesku, zautomatyzowanie powtarzalnych czynności prowadzonych przez administratorów od tworzenia kont i ustawiania uprawnień). Ale też przygotowanie pracowników na ewentualne chwilowe niedogodności, np. konieczność składania wniosków w starym i nowym systemie w zależności od procesów i aplikacji, których dotyczą.
Na starcie warto odpowiedzieć sobie na kilka ważnych pytań:
- co jest teraz ważne dla organizacji
- co jest największym problemem i wyzwaniem, z którym firma się zmaga
- czy są jakieś szybkie quick-wins możliwe do osiągnięcia w najbliższym czasie
- czy są jakieś obszary obarczone dużym ryzykiem, którymi warto się zająć, żeby to ryzyko obniżyć
Na podstawie odpowiedzi można już założyć pierwsze zadania i zacząć działać iteracyjnie. To bardzo ważne przy tak dużym projekcie, w którym nie da się zrobić wszystkiego na raz. W IGA każdy mały krok na wartość. I każdy prowadzi do większego bezpieczeństwa i automatyzacji procesów, w których wykorzystywana jest cyfrowa tożsamość.
Myślisz o wdrożeniu programu IGA w swojej organizacji? Z przyjemnością pomożemy! Zapraszamy do kontaktu.