Noreg Információvédelmi Kft.

Az informatikai rendszerek terjedése, komplexitása, a vállalatok működésében betöltött szerepe, az általuk kezelt adatmennyiség és az adatok „értékének” folyamatos növekedése egyre inkább megköveteli a rendszerekhez hozzáférő felhasználók jogosultságainak naprakész nyilvántartását. Erre a pénzügyi szektort, de más területeken működő vállalatokat is számos törvényi, iparági kötelezettség kényszeríti.

Azon vállalatoknál/szervezeteknél ahol több száz felhasználó számos rendszerben lévő jogosultságát kell több évre visszamenőlegesen nyilvántartani, ott ezen feladat megvalósítása egy személyazonosság-felügyeleti rendszer (IDM – IDentity Management) bevezetésével végezhető el hatékonyan. Ezek a rendszerek amellett, hogy az előírásoknak való megfelelést biztosítják a riporting funkciók segítségével, számos további előnyt jelenthetnek:

• a teljes jogosultságigénylési és jóváhagyási folyamat elektronizálható, így feleslegessé válik a hosszadalmas papír alapú igénylési folyamat, nem szükséges a nyomtatványok tárolása/megőrzése, az esetleges lekérdezés/keresés jelentősen felgyorsítható,
• a felhasználó már belépésekor rendelkezik a munkájához szükséges összes jogosultsággal (HR rendszer integráció révén), így belépésétől aktív munkával töltheti az időt, nem szükséges még a jogosultságok egyenkénti engedélyeztetése, beállítatása
• a felhasználó teljes életciklusa nyilvántartott, egy esetleges átszervezés, pozícióváltás során nem maradnak meg a felesleges jogosultságai,
• kilépéskor a felhasználó jogosultságai automatikusan megvonásra kerülnek,
• a rendszerek/alkalmazásának integrációja révén külön beavatkozás nélkül történik meg a jogosultságok megadása/megvonása, esetleges ideiglenes felfüggesztése,
• az elfelejtett jelszavak kezelése tipikusan az egyik legjelentősebb erőforrásigényt jelenti Helpdesk oldalon, ami egy integrált felhasználói felülettel minimalizálhatóvá válik.

 Milyen nehézségekkel kell számolni egy személyazonosság-felügyeleti rendszer bevezetésekor?

A legnagyobb problémát a rendszerek sokrétűsége, az integrálhatóság, a folyamatok szabályozatlansága és a felhasználók, az üzleti területek ellenállása okozza. A rendszer bevezetése minden esetben egy előzetes felméréssel indul, melynek során meg kell vizsgálni a meglévő kapcsolódó szabályzatokat, azokat szükség szerint módosítani kell. Meg kell határozni a jelenlegi folyamatokat, mint a belépés, kilépés, jogosultság igénylés, jóváhagyás, visszavonás folyamatát. Ez a lépés elengedhetetlen, hogy az üzleti/felhasználói/biztonsági igények kiválasztott technológiai megoldásra történő „átfordítása” és implementálása a kívánt eredményt hozza létre.

A rendszer bevezetésének tervezésekor másik kritikus szempont az integrálandó megoldások sokszínűsége. Minél több rendszert kell integrálni, a bevezetés annál tovább tart. Nagyon fontos ezért a bevezetés fázisokra bontása és a rendszerek ennek megfelelő bevonása: első lépésben a gyártói támogatással rendelkező, illetve a magas felhasználó számú és/vagy kritikus adatokat kezelő rendszereket célszerű bevonni.

Harmadik nehézségként az emberi tényezőt lehet kiemelni. Minden új bevezetés ellenállást vált ki a felhasználókból. Egy központosított, egységes jogosultság kezelési rendszer szabályozott mederbe tereli a folyamatokat, ami számos előnnyel jár ugyan, de bezárja a kiskapukat is. Eddig működő folyamatokat módosít, meglévő esetleges jogosítványokat korlátoz. Ezek pedig a felhasználókban, illetve egyes területekben ellenállást válthatnak ki.

Privilegizált felhasználók kezelése

A privilegizált felhasználók (pl. Windows server adminisztrátor, a UNIX szerver root) vagy a különböző alkalmazásokba vagy scriptekbe beágyazott kiemelt jelszavak kezelése, felülvizsgálata és ellenőrzése bonyolult eljárásokat és folyamatokat igényel. Ezeket a kiemelt jelszavakat a használatukra vonatkozó ellenőrző információkkal együtt a lehető legmagasabb biztonsági előírásoknak megfelelően kell védeni, hiszen ezek birtokában az adott rendszer teljes kontrollja átvehető. Legegyszerűbb megoldás ezen accountok megosztása, adminisztratív védelemmel való körülbástyázása, ami azonban adott esetben a gyakorlati használhatóságot korlátozza. Ezek accountok és a jogosultságok is kezelhetők az IDM rendszerekben, de célszerűbb azok egy speciális modulját vagy kifejezetten erre a célra szolgáló megoldást (PIM - Privileged Identity Management) alkalmazni.

Személyazonosság felügyeleti rendszerek a Noreg Kft.-től

A személyazonosság-felügyeleti rendszer bevezetése, mint az a fentiekből is kiderült komplex feladat, a megvalósítás időfüggvényét az IDM felügyelete alá bevonni kívánt szervezet és rendszerek „állapota” határozza meg. A megvalósítás illetve az előkészítés során - különösen nagyobb szervezetek esetében – célszerű az implementációt és a kapcsolódó tanácsadói feladatokat (integráció, folyamattervezés, szabályozások módosítása) különválasztani és külön-külön csapatokra bízni.