Когда организации имеют в своем штате более 1000 сотрудников, они уже с трудом могут эффективно управлять учетными данными и правами пользователей. А если компания имеет крупную, разветвленную гибридную ИТ-инфраструктуру и ее ресурсы используют поставщики, партнеры или клиенты, задача становится практически невыполнимой.

С другой стороны, отсутствие стратегии по управлению и контролю доступа повышает риски информационной безопасности. Фишинговые атаки, скомпрометированные учетные данные, несанкционированный доступ, потеря конфиденциальных данных – все это становится реальными проблемами для организации.

Очевидно, что в такой ситуации нужны определенные усилия по созданию единой концепции по управлению доступом, которая позволит решить задачи и проблемы как для руководства ИТ-направления, так и для ИБ-руководителей.

Постараемся разобраться, какое из подразделений наиболее заинтересовано в выстраивании и автоматизации процессов по управлению доступом и что можно улучшить с их помощью.

В зависимости от размера и структуры компании команда специалистов ИБ, которая в том числе отвечает за функционал по управления доступом, подчиняется либо директору по ИТ, либо директору по ИБ. В небольших и средних компаниях группа по информационной безопасности может быть не выделена в отдельное структурное подразделение, а находиться внутри ИТ-направления.

C учетом событий текущего года кибервойна выходит на новые рубежи, методы злоумышленников становятся наиболее изощренными. В свою очередь, это требует повышения уровня защиты. Поэтому все больше компаний выделяют группы сотрудников, отвечающих за информационную безопасность, в отдельные подразделения, увеличивают их численный состав и приобретают новые технологические решения, чтобы чувствовать себя более уверенно в такой нестабильной ситуации. На предприятиях крупного масштаба, в холдингах выделяют направление информационной безопасности, как правило, выделяют в самостоятельный департамент, кластер, дивизион или даже центр.

Руководство компаний должно быть уверено, что их сети, информационные системы, приложения, базы данных находятся в безопасности и работают без перебоев. В идеальной картине мира права доступа к соответствующим ресурсам имеют только уполномоченные работники, только в необходимом объеме и в определенное время. Крайне важно держать под контролем постоянно меняющиеся идентификаторы пользователей, когда одни из них приходят на смену другим; решать вопросы аутентификации и распределения прав; своевременно аннулировать права доступа в связи с увольнением сотрудников или прекращением договоров; оперативно отслеживать любые отклонения от согласованной и утвержденной политики доступа и вовремя на них реагировать, будь то нарушения в правах или атрибутах пользователей.

Одним словом, экосистемы управления доступом, включающие и бизнес-процессы, и технологические инструменты, должны обеспечивать высокий уровень безопасности, без которого сегодня не может функционировать ни один бизнес, ни одна компания и который позволит экономить время и ресурсы за счет автоматизации и централизации процессов.

Что происходит без IdM в ИТ

Основная задача ИТ-подразделений – обеспечить работоспособность и доступность ресурсов, т. е. систем, баз данных приложений и т. п., чтобы сотрудники могли выполнять свои задачи в полном объеме и в установленные сроки.

что происходит без idm в ит

В отсутствие автоматизированных решений подразделения ИТ сталкиваются с множеством проблем, в частности:

  • Запросы от пользователей идут сплошным потоком и выстраиваются в длинные очереди. Это касается запросов на предоставление прав доступа в связи с выполнением новых задач; на изменение прав, когда работник переходит с одной должности на другую; на прекращение доступа по запросу руководителя, если работник уволен или ему более доступ не требуется; запросов на сброс пароля и т. п.

  • В подразделения ИТ поступает множество обращений по разным каналам: почта, телефон, мессенджеры, связанные не только с консультациями по идентификации, аутентификации и авторизации, но и со статусами запросов, которые могут находиться в очереди на исполнении в течение нескольких дней и даже недель.

  • Работники ИТ вынуждены изо дня в день выполнять повторяющиеся рутинные задачи: обрабатывать заявки в заявочной системе, СЭД или в электронной почте – заявку нужно открыть, зарегистрировать, указать в ней решение, закрыть с соответствующими комментариями. Также это касается выполнения операций по предоставлению доступа: нужно создать учетную запись (идентификатор) по определенным правилам конкретной системы, предоставить ей необходимый объем прав. Если отсутствует роль, в которую уже включены необходимые права, то процесс предоставления атомарных прав может быть длительным и непростым. Часто требуется прописать дополнительные разрешения в нужных файлах определенных библиотек, чтобы все работало у пользователя корректно.

  • Когда запросы поступают по разным каналам, они, как правило, неформализованные – пользователь сам решает, что ему указать в запросе и в какой форме. Зачастую пользователи не знают, как правильно составить запрос, формулируют его некорректно и невнятно. В связи с этим сотрудник ИТ вынужден несколько раз возвращать запрос заявителю для выяснения подробностей и обоснования. Это отнимает ресурсы у обеих сторон, возникают простои в бизнесе и, естественно, падает удовлетворенность таким сервисом.  

  • Работники ИТ, получив заявку на доступ, иногда должным образом не согласованную, вынуждены брать на себя ответственность за предоставленные права, лишь бы вовремя обеспечить ее выполнение. Права могут быть предоставлены не те и не в полном объеме, что заставляет отправлять повторные заявки и вызывает раздражение. Но самое скверное, что может быть предоставлен излишний необоснованный доступ, в результате которого могут возникнуть инциденты ИБ, связанные с несанкционированным использованием прав: кражи, утечки, потери информации, нарушение работоспособности систем.

Учитывая перечисленные проблемы, понятно, что подразделение ИТ как никто заинтересовано в приобретении решений по автоматизации процессов управления доступом, потому что иначе они вынуждены в ручном режиме работать в постоянно меняющейся гибридной среде и испытывать огромные нагрузки.

Что происходит без IdM в ИБ

Естественно, когда много сотрудников и много систем, контролировать доступ в ручном режиме очень затруднительно. Все регламенты, тщательно разработанные и подробно описанные, так и остаются на бумаге и их никто не исполняет.

что происходит без idm в иб

С какими трудностями и сложностями сталкиваются подразделения безопасности:

  • У сотрудников ИБ нет возможности собрать исчерпывающие данные для аудита той или иной системы. Чтобы получить выгрузку-отчет с определенными полями по учетным записям и правам пользователей, они вынуждены обращаться в ИТ-подразделение. Не всегда с первого раза получается добиться того, что требуется в необходимом формате. На это тратится много времени и ресурсов.

  • При увольнении сотрудников часть учетных записей длительное время не блокируются, т. к. заявки на блокировку долго согласовываются и исполняются, а иногда и просто зависают в очереди заявок. Некоторые учетки уволенных и вовсе остаются в активном состоянии, что приводит к возможности использования их в злонамеренных целях.

  • При кадровых переводах старые полномочия не отменяются и у сотрудников происходит накопление излишних прав, которые уже не нужны для выполнения обязанностей на новой должности. Всегда есть соблазн и риск использования их не по назначению.

  • Не отслеживается и не прекращается доступ внешних подрядчиков, которые закончили свою работу по договору и покинули компанию. Если доступ для них был организован в удаленном режиме, то сохранение такого доступа – большая проблема для компании. Внешний работник, имея соответствующие права, может украсть конфиденциальную информацию, установить вредоносное ПО или нарушить работоспособность системы.

  • Часто о произошедших инцидентах становится известно постфактум, по прошествии длительного времени. У офицера ИБ нет возможности заглянуть в прошлое и узнать, кто и какие права имел в определенный день в определенной системе, на основании чего и кем они были предоставлены. В итоге расследования не приводят к желаемому результату или вообще не проводятся. И, соответственно, нет никакой гарантии, что подобный инцидент не повторится вновь.

  • Правила и регламенты, касающиеся безопасности в целом и доступа в частности, в компаниях, как правило, уже разработаны. Часто даже есть выстроенные ролевые модели, где каждой должности соответствует определенный набор полномочий в информационных системах компании. Но фактически они не исполняются и любой аудит – внутренний или внешний – постоянно выявляет нарушения. Это актуально, например, для финансовой сферы, которая остро нуждается в механизмах и технологиях для исполнения регламентов безопасности, так как над ними находится регулятор в лице Банка России, который может дать предписания, наложить штраф и даже отобрать лицензию на деятельность.

Противостояние

Помимо описанных трудностей, стоит отметить еще и извечное противостояние между подразделениями ИТ и ИБ, которое создает напряженность в их отношениях. Как сформулировал в прошлом веке вождь мирового пролетариата один из признаков кризисной ситуации накануне социального бунта: низы не хотят жить по-старому, а верхи не могут управлять по-старому. Хоть подразделения и находятся на одном уровне иерархии, «революционная ситуация» налицо. Сотрудники ИТ не хотят выполнять дополнительную работу для службы безопасности: постоянно отчитываться, готовить выгрузки, оправдываться за некорректный доступ. А сотрудники ИБ не могут в должной степени управлять процессом, контролировать права и любые отклонения от согласованного эталонного уровня.

Как решить

Для преодоления указанных проблем можно использовать разные методы и средства. Иногда компании прибегают к частичной лоскутной автоматизации, чтобы закрыть самые острые насущные задачи. Иногда расширяют штат администраторов, чтобы вовремя оказывать услуги для бизнеса, в соответствии с SLA (Service Level Agreement). Используют различные заявочные системы для оформления запросов, но, когда их несколько и в каждой свои требования, хаоса и непонимания становится только больше.

При изменении должности можно административными мерами обязать руководителей оформлять заявки на изменение доступа, что часто делается и даже закреплено в соответствующем регламенте. Но на деле процесс согласования и исполнения обычно затягивается, а зачастую запросы просто не оформляются.

Аудиты можно проводить в ручном режиме, с помощью выгрузок данных. Это дает необходимый результат, когда сотрудников и информационных систем не очень много. Но при большом количестве источников и нуждающихся в проверке данных для проведения таких работ требуется слишком много ресурсов. Пока идет сверка информации, полученной из информационных систем, с данными из кадрового источника по текущим функциональным обязанностям сотрудников, содержимое выгрузок устаревает и аудит становится неактуальным и бесполезным.

Как видим, перечисленные средства не всегда достигают поставленных целей. Лоскутная автоматизация покрывает не все процессы, возникают издержки из ФОТ, не все активности получается держать под контролем, ручной режим контроля данных отнимает много времени и ресурсов, между ИБ и ИТ нет согласованности, и они часто мешают друг-другу в проведении отдельных задач.

Автоматизация и централизация – объединение усилий

Есть решение, которое объединит усилия со стороны ИТ и ИБ, примирит эти направления и даст вектор для совместного развития. Это решение Identity Management. Рассмотрим, как оно работает, на примере Solar inRights.

 автоматизация и централизация

В концепцию решения заложено централизованное управление и контроль доступа. Основные преимущества – это автоматизация процессов, включая полный жизненный цикл учетных записей, процессы управления правами доступа и информационными активами. С помощью IdM становится возможным внедрение и исполнение общих политик и процедур для пользователей всех категорий и всех разрозненных ресурсов компании. И, конечно, это удобные механизмы работы сотрудников с централизованной системой, включая средства самообслуживания для конечных пользователей – заявки на доступ, сброс паролей, получение справочной информации, а также администраторские и контрольные функции в части настройки процессов и получения консолидированной отчетности.

Польза для ИТ

Если рассматривать преимущества, которые получает ИТ-подразделение, то они в первую очередь связаны с автоматизацией операционных процессов.

Судите сами, до внедрения решения сотрудникам ИТ приходилось в ручном режиме обрабатывать заявки на доступ. Теперь же базовые права система IdM назначает автоматически, опираясь на разработанную и утвержденную ролевую модель. Таким образом, сотрудник при приеме на работу оперативно получает все необходимые полномочия. Аналогичная ситуация с изменением базового набора, в связи со сменой должности и с аннулированием прав при увольнении.

Сокращается до нуля время на рассмотрение и обработку заявок на сброс пароля, т. к. сотрудник самостоятельно, без оформления запроса, может сделать это через интерфейс IdM.

Ресурсы ИТ не будут затрачиваться на подготовку и выгрузку данных для аудитов и на бесконечные переговоры о параметрах этих отчетов. Теперь инструменты по формированию отчетов можно передать в соответствующие контролирующие подразделения – информационной безопасности или внутреннего контроля, и они самостоятельно в несколько кликов запустят отчет по необходимым параметрам.

Количество времени, которое персонал ИТ тратил на консультации пользователей о статусе запросов, тоже стремится к нулю, т. к. теперь через интерфейс и инструменты системы можно получить всю справочную информацию: на какой стадии находится заявка, у кого на согласовании, и если получен отказ, то по какой причине.

Польза для ИБ

Централизованное решение по управлению доступом предоставляет широкие возможности и для подразделений информационной безопасности. Прежде всего, сотрудники ИБ получают информацию о доступе всех пользователей – внутренних и внешних – за любой период через единый удобный интерфейс.

Система дает возможность принимать любые оперативные решения по прекращению доступа – мгновенной блокировке всех учетных записей сотрудника, отзыву всех или определенных прав, изменению паролей. Это позволяет предупреждать негативные сценарии развития событий и злонамеренные действия в экстренных ситуациях.

Проведение регулярных аудитов больше не представляет трудностей, т. к. сотрудники безопасности могут самостоятельно получать срез любых данных по доступу из всех подключенных к IdM систем, проверять актуальность предоставленных прав для всех категорий сотрудников и предоставлять необходимые отчеты по запросу внешних проверяющих аудиторов.

Автоматизированное решение позволяет четко исполнять все регламенты и политики за счет встроенных механизмов. Это касается создания и поддержания в актуальном состоянии ролевой модели компании, исключения накопления прав, разграничения конфликтующих полномочий SoD (Segregation of Duties), контроля уровня рисков, выявления любых отклонений и реагирования на них и тому подобное.

Безопасность – это всегда про снижение рисков. Решение IdM позволяет минимизировать риски ИБ за счет блокировки учетных записей уволенных сотрудников, исключения несогласованных прав доступа, своевременного удаления временных прав, недопустимости избыточного доступа, использования деперсонифицированных учетных записей и проч.

Единая сильная команда по управлению доступом

Мы рассмотрели, как автоматизированное решение по управлению доступом закрывает потребности как ИТ-, так и ИБ-подразделений. Автоматизация и централизация сокращает рутинные операции, устраняет дорогостоящие ошибки, сокращает расходы, оптимизирует процессы и повышает их прозрачность для всех участников.

Кроме того, с использованием единого решения синхронизируются цели между различными заинтересованными сторонами, и они теперь не мешают друг другу, а могут плодотворно выполнять свои задачи, опираясь как на современное технологичное решение, так и на опыт сотрудников этих подразделений. Такая позиция сторон позволяет составить общую дорожную карту по развитию процессов управления доступом и стать частью общей стратегии по развитию компании. Ведь управление доступом – это не только про передовые технологии, но и про людей.


Автор:
Людмила Севастьянова, эксперт центра продуктов Solar inRights компании «Ростелеком-Солар»