Bezsprzecznie zadania, które realizowane są przez systemy klasy IAM\IGA mogą być wykonywane ręcznie lub, jak mawiają administratorzy IT, za pomocą interfejsu białkowego. Efekt finalny może być podobny do tego uzyskanego za pomocą rozwiązań, które oferują pełną automatyzację – pytanie tylko, jakim kosztem. I nie chodzi tutaj wyłącznie o czas poświęcony na manualne realizowanie czynności administracyjnych, ale również o jakość i porządek danych oraz osiągnięcie i zachowanie odpowiedniego poziomu bezpieczeństwa w organizacji.
Jak w praktyce działa ręczne zarządzanie uprawnieniami?
Bez systemu, który wspomaga proces rejestrowania i przydzielania zadań pracownikom, zlecenie utworzenia konta, nadania uprawnień, odebrania uprawnień są tworzone przez osobę, która w sensie organizacyjnym odpowiada za pracownika, czyli najczęściej przez bezpośredniego przełożonego. Co do samej formy, to naprawdę może być ona różna i wbrew pozorom nie zależy bynajmniej od wielkości organizacji, spotykamy się często z sytuacją, gdzie jest to mail z prośbą o nadanie uprawnień czy wypełniony arkusz Excel wysyłany w postaci załącznika z prośbą o wykonanie czynności, które skutkują nadaniem opisanych w nim uprawnień. Zauważmy, że takie zlecenie musi być wykonane dla każdego procesu (Identity i JML, czyli o tożsamości w systemach zarządzania tożsamością) i dla wszystkich podległych pracowników. Nietrudno sobie wyobrazić sytuację, gdy kierownik w natłoku obowiązków odkłada wysłanie zlecenia o odebranie uprawnień dla zwolnionego pracownika lub takiego, który zmienia stanowisko.
Jakie ryzyko i problemy związane są z ręcznym zarządzaniem uprawnieniami?
Manualne zarządzanie uprawnieniami niesie za sobą wiele problemów i zwiększa ryzyko powstania potencjalnie niebezpiecznych sytuacji. Możemy tutaj wymienić następujące przykłady:
- Manualne zarządzanie znacząco wydłuża czas potrzebny na uzyskanie prawidłowych uprawnień koniecznych do realizacji zadań przez pracownika, zamiast minut czekamy kilka dni, albo i więcej (w praktyce to może być nawet dłużej niż tydzień) na utworzenie konta z uprawnieniami. Zwiększa to koszty funkcjonowania firmy.
- Generowanie zleceń w różnych systemach (mail, zgłoszenie w service-desk, telefon) powoduje, że nie ma jednego miejsca, w którym zebrane byłyby wszystkie wnioski, na podstawie których uprawnienia zostały przydzielone pracownikom. Powoduje to powstanie problemów związanych z audytem uprawnień.
- Jeżeli osoby odpowiedzialne za generowanie zleceń nie tworzą ich na czas, to pozostają konta, które mają przypisane niepotrzebne, czasem nadmiarowe uprawnienia czy konta, które powinny być wyłączone, ponieważ są powiązane z pracownikami, którzy już nie pracują w organizacji. Zwiększa to ryzyko przejęcia nieużywanych kont i wykorzystania nadmiarowych uprawnień przez atakujących.
- Gromadzenie uprawnień bez ich odbierania, np. w związku ze zmianami stanowiska, powoduje powstanie ryzyka łączenia uprawnień, które nie powinny być łączone dla jednego pracownika (SOD – Segregation of Duties). Przy ręcznym zarządzaniu wykrywanie konfliktów uprawnień jest bardzo trudne i czasochłonne.
- Okresowe przeglądy uprawnień nie są wykonywane prawidłowo, ponieważ brakuje informacji o tym, dlaczego dla danego konta zostały przypisane dane uprawnienia (np. brak historii wnioskowania w przypadku zleceń mailowych).
Powyższa lista to najbardziej oczywiste przykłady, z którymi możemy się jeszcze spotkać w wielu organizacjach. We współczesnych realiach, gdzie dynamika zmian jest duża, nie możemy opierać się na ręcznych procesach zarządzania uprawnieniami, ponieważ są one nieefektywne i generują zbyt duże zagrożenia. Przy rosnącej liczbie aplikacji, do których pracownik ma mieć dostęp, przy korzystaniu z zasobów chmurowych do hostowania usług i aplikacji oraz przy jednoczesnym braku odpowiedniego personelu, poświęcanie czasu na manualne realizowanie zadań związanych z zarządzaniem uprawnieniami i dostępem jest po prostu nieopłacalne.
Czy system IGA rozwiązuje problemy manualnego zarządzania uprawnieniami?
W poprzednich wpisach na KH opisywaliśmy systemy IAM i IGA (Czym są IGA oraz IAM i jaka jest między nimi różnica?), podkreślaliśmy różnice pomiędzy nimi (Identity Management czy Access Management? Jakie są różnice?) czy zwracaliśmy uwagę na różne podejścia do automatyzacji zarządzania uprawnieniniami (Co to jest RBAC? Porównanie RBAC z ABAC). Jak prawidłowo zaprojektowany i wdrożony system IGA zwiększa poziom bezpieczeństwa? Spróbujmy sobie odpowiedzieć na to pytanie, wymieniając następujące punkty:
- Przyśpieszenie i automatyzacja nadawania uprawnień zgodnie z rolą pracownika w organizacji. Jeżeli system IGA może dla każdego nowego pracownika automatycznie utworzyć konto, nadać mu właściwe uprawnienia i wysłać inicjalne poświadczenia do odpowiedniej osoby, a wszystko to w ciągu kilku minut, to już z pierwszym dniem pracy nowy pracownik może realizować swoje podstawowe obowiązki.
- Informacja, dlaczego pracownik posiada dany zestaw uprawnień, przechowywana jest w jednym, centralnym miejscu – bazie danych systemu IGA, bez względu na to, w jaki sposób uprawnienie zostało nadane, czy wynika z wniosku, z przypisania pracownika do struktur organizacyjnych czy związane jest z rolą dynamiczną działającą na określonym zestawie atrybutów tożsamości pracownika. Audyt uprawnień, raportowanie i odpowiedź na pytanie, dlaczego i od kiedy pracownik posiada uprawnienia, są realizowane w jednym miejscu.
- System IAM\IGA nadzoruje generowanie zdarzeń dla obsługiwanych procesów kadrowych (JML) na podstawie wartości atrybutów tożsamości pracownika określonych w zaufanych źródłach danych (np. system kadrowo-płacowy), bezpośredni przełożony nie musi już pamiętać o wygenerowaniu odpowiednich zleceń i wniosków – system IAM\IGA automatycznie wyłącza konta zwolnionych pracowników i odbiera uprawnienia, które nie są potrzebne na danym stanowisku.
- System IAM\IGA może analizować uprawnienia pracownika pod kątem łączenia uprawnień toksycznych, czyli nadzorować realizację reguł opisanych w matrycach SOD (Segregation of Duties) – raportować konflikty oraz rejestrować odstępstwa od zasad, może również proaktywnie pilnować, żeby nie można było złożyć wniosków o uprawnienia wzajemnie się wykluczające.
- Automatyczne, okresowe generowanie kampanii recertyfikacyjnych (przegląd uprawnień) przez system IGA na podstawie danych zapisanych w bazie systemu IGA powoduje, że przegląd uprawnień jest w pełni świadomy, ponieważ możemy prześledzić historię ich przypisania, odpowiedzieć na pytanie, dlaczego pracownik posiada dane uprawnienie i zadecydować o tym, czy powinno być ono zachowane czy odebrane. Cały przegląd uprawnień jest monitorowany w systemie IGA w celu zapewnienia, że kampania recertyfikacyjna jest realizowane zgodnie z przyjętym harmonogramem.
Powyższa lista nie wyczerpuje wszystkich zalet, jakie niesie za sobą wdrożenie systemu klasy IAM\IGA w firmie. Zwróćmy uwagę również na to, że obecnie coraz większy nacisk kładzie się na rozwiązania, które pomagają biznesowi na sprawną realizację zadań, a te, jak wiemy, są zależne od szybkiego przydzielenia uprawnień pracownikowi, co ma szczególne znaczenie w środowiskach hybrydowych i multi-cloud, gdyż konta i uprawnienia przechowywane są w wielu różnych systemach (automatyzacja jest tu kluczem do sukcesu). Z drugiej strony równie mocny nacisk kładzie się na dostosowanie organizacji do zasad Zero-Trust (co to oznacza w świecie IAM – o tym już wkrótce), co bez odpowiednich systemów wspomagających jest wręcz niemożliwe do osiągnięcia.
Jeżeli interesuje Cię, jak w praktyce wygląda automatyzacja zarządzania uprawnieniami w systemie IGA, zapraszamy do kontaktu z firmą Prolimes.