Ochrana dat je byznysová příležitost, ne IT problém

25. srpna 2016

Ve stále propojenějším světě digitálního bankovnictví je klíčové udržet si kontrolu nad tím, kdo má přístup k jakým datům. Řešit tuto otázku pouze z perspektivy IT však znamená rezignovat na vlastní obchodní cíle a paradoxně i větší bezpečnostní rizika.

Gartner pro příští roky definoval tři největší technologická témata pro velké korporace – cloud, dvourychlostní IT a identity governance. Zatímco v případě prvních dvou oblastí už jsou byznysové přesahy a dopady poměrně dobře známé a v rámci institucí aktivně diskutované, správa identit je nadále považována za ryze IT otázku. A když má něco nálepku IT, obchodní část organizace o tom zpravidla pokud možno nechce slyšet. Protože IT je přece něco, co má, s nadsázkou řečeno, prostě fungovat a nikoho neobtěžovat – a ve skutečnosti je to předražené, nedělá to to, co má, a vždycky je to hotové pozdě (IT by nejspíš kontrovalo tím, že obchod zkrátka není schopen dodat pořádné zadání).

Dalším problémem je fakt, že identity governance spadá do oblasti security a tu jsme v naší části světa stále zvyklí brát pouze jako čistě nákladovou položku. A náklady se „jak známo“ musí vždy snižovat, nikoliv zvyšovat. Jen málo institucí umí realisticky vyhodnocovat pravděpodobnost rizik a jejich finanční dopady, a brát tak zabezpečení jako výhodnou investici, která těmto ztrátám za zlomek nákladů předchází. V případě identity governance by však společnosti měly udělat výjimku a velmi důkladně se podívat na přínosy, které byznysově orientovaný přístup ke správě identit nabízí.

Abyste se přestali bát auditu

S expanzí firem do cloudu, rostoucí oblibou SaaS služeb a uživateli, kteří se přihlašují z mnoha různých platforem a míst, je stále složitější zajistit, aby jen správní lidé uvnitř firem měli přístup k těm správným informacím a oprávněním. Stávající koncové zabezpečení infrastruktury přestává stačit a vytrácí se kontrola nad celkem a vzájemnými vazbami. Na tuto situaci reaguje právě oblast identity governance, která organizacím umožňuje centrálně nastavovat a řídit pravidla pro přístup a zajišťovat bezpečný přenos informací mezi aplikacemi a uživateli, kteří tato data potřebují. S důrazem na efektivitu, dodržování regulatorních standardů a eliminaci konfliktních požadavků.

Proč je to důležité? Pokud je například obchodník s akciemi povýšen a smí nově schvalovat transakce, ale zůstanou mu i předchozí oprávnění, snadno může dojít k vážnému porušení principů SoD (Segregation of Duty). To znamená nejen problémy při případném auditu, ale také riziko podvodu, finančních ztrát a poškození reputace. Když už je řeč o auditech – dobře nastavená správa identit umožňuje nejen pro účely kontrolingu rychle a bezbolestně získávat odpovědi o tom, jak se pracuje s firemními daty, jak jsou používána, kdy, kým a k jakému účelu. Samotná data jsou zároveň lépe chráněna před prolomením, zneužitím či krádeží zevnitř, což je nejčastější forma poškození firem. Systém umí rozpoznat varovné příznaky a včas správce varovat. Z jediné obrazovky mohou manažeři schvalovat nebo odmítat žádosti o přístupová práva, jsou automaticky upozorňováni na případná narušení SoD, mají přehled o platnosti certifikátů napříč celou organizací. Systém je navíc do značné míry autonomní a skrze komplexní algoritmy dokáže sám analyzovat a vyhodnocovat rizika jednotlivých oprávnění, udělovat či zamítat přístupy nebo podnikat kroky k nápravě či vyhovění novým regulacím.

Identity governance jako spojení byznysu a IT

Udělování přístupů je tradičně doménou IT profesionálů, což v praxi znamená, že zbytek organizace má jen minimální vhled do jeho fungování. Problém takového nastavení se zpravidla ukáže právě v okamžiku bezpečnostního auditu. Pak se odhalí, že IT oddělení nevidí všechny přesahy do oblasti finanční regulace, správci služeb si zase nejsou jistí, zda uživatelé mají správná oprávnění, a obchodní lídři nerozumí tomu, co všechno správa identit doopravdy umožňuje.

Nástroje identity governance dokážou identifikovat jednotlivé role a rizika uvnitř organizace z obchodního pohledu a pomáhají přetvořit technická povolení v uživatelsky přátelské a relevantní obchodní role. A zatímco dosavadní řešení jsou ušitá na míru IT uživatelům, zde jsou výstupem intuitivní dashboardy s přehledným rozdělením rolí, aktivit a oprávnění. To umožňuje povýšit správu identit z úzkého technického řešení na silný nástroj pro vyhodnocování a řešení rizik, efektivní zajištění compliance a udržení kontroly napříč aplikacemi a platformami.

Hlubší pochopení problematiky následně umožňuje, aby společnost reagovala na nové příležitosti s vysokou hodnotou, ale zvýšeným rizikem. Díky získanému sebevědomí v oblasti zabezpečení dat se například může ve větší míře opírat o progresivní technologie založené na cloudu nebo zkoušet nové obchodní přístupy, které zahrnují třetí strany. Bez identity governance je pravděpodobné, že na straně IT v takovém případě převáží obavy z možných rizik a konzervativní přístup v tomto směru organizaci částečně nebo zcela ochromí.

A jsou zde i další benefity. Identity governance zajišťuje, že technické řešení jde naproti obchodním potřebám, zlepšuje komunikaci mezi různými částmi organizace a současně zpřehledňuje a z velké části automatizuje vnitřní procesy. Skrze lepší kontrolu a monitornig snižuje riziko lidské chyby, podvodu nebo zneužití informací. Pochopením toho, co je a co není v pořádku, zase činí organizaci odolnější proti kyberútokům. Usnadňuje a zrychluje přizpůsobení se novým regulacím a implementaci nových pravidel. HR oddělení pak pomáhá jasně definovat jednotlivé role a jejich kompetence, aby nedocházelo k vytváření takzvaných toxických kombinací oprávnění.

Spolehlivé odvětví

Oblast identity governance je stále poměrně mladá, zdaleka se však nejedná o žádný experiment. Dnes je již považována za samostatný a zralý trh, kde existuje široká nabídka robustních řešení od velkých profitabilních poskytovatelů – my v Trask solutions se opíráme o IBM Security Identity Governance neboli ISIG. Do jediné platformy propojuje administraci identit, analytiku i správu přístupů. Při výběru konkrétního řešení identity governance je třeba především zhodnotit, nakolik pokrývá mimo jiné následující parametry:

  • Moderní rozhraní. Nabídnout uživatelům i správcům intuitivní a přátelské prostředí pro vyřizování žádostí o přístupová práva.
  • Pokrytí celého životního cyklu uživatele. Tedy spravovat jeho digitální identitu ve vztahu k organizaci od založení přes změny pozic a kompetencí až po zrušení a archivaci.
  • Vytvoření komplexního systému pravidel. Možnost definovat vlastní systém, který může automaticky přidělovat či odebírat oprávnění, vyhodnocovat případnou nekompatibilitu mezi nimi.
  • Vyřešení všech potřebných procesů. Funkce pro pohodlné ovládání systému – podávání žádostí a jejich schvalování, zasílání upozornění, integrace s dalšími nástroji, řízení vztahů mezi identitami a různými přístupovými právy, nastavení odpovědností…
  • Automatická recertifikace. Systém sám by měl sledovat a vymáhat pravidelnou recertifikaci oprávnění, aby byla zaručena jejich aktualizace a splnění nejnovějších požadavků.
  • Bezpečná správa hesel. Pokročilý samoobslužný systém pro získávání, aktualizaci a změnu hesel, synchronizovaný napříč účty a službami.
  • Podpora auditu. Kontrola identit a oprávnění podle platných obchodních pravidel a požadavků kontrolingu, automatické upozorňování na nedostatky a umožnění nápravy.
  • Analytika a reporting. Umožnit hlubší vhled do spravovaných dat, optimalizaci oprávnění na základě získaných zkušeností, poskytování operačních dat, upozornění na nestandardní uživatelské chování.