Интеграция IdM с другими системами ИБ
Узнать большеВ 2020 году мы провели исследование, посвященное проблемам управления доступом к информации и корпоративным информационным ресурсам в российских компаниях. В ходе него были опрошены представители более 200 организаций. Выяснилось, что почти каждая пятая компания сталкивалась с инцидентами в сфере информационной безопасности, связанными с правами доступа работников к информационным ресурсам. При этом почти 56% респондентов указали, что полностью не удовлетворены или частично удовлетворены действующей у них в организациях системой управления доступом.
Проблемы, риски, связанные с доступом работников к информационным ресурсам
Любая компания может столкнуться с рядом типовых проблем, связанных с управлением и контролем доступа к корпоративным информационным системам (далее – ИС) и ресурсам.
Загруженность IT-персонала
На решение вопросов, касающихся организации прав доступа, тратится немало времени. На одну только регистрацию аккаунтов могут уходить десятки, а то и сотни часов ежемесячно, если на одну такую процедуру в среднем тратится 5 минут (в зависимости от особенностей целевой ИС). В компании численностью в несколько тысяч сотрудников ежедневно могут приниматься на работу / увольняться десятки сотрудников. Сюда добавляются и работники, уходящие в отпуск, те, кому нужны временные права и полномочия на выполнение определенных работ и т. д. Количество таких сотрудников, требующих внимания, в крупной компании достигает сотни человек, если не более. Часто одному работнику нужно создать, изменить или заблокировать «учетки» в нескольких корпоративных ИС (пусть их для расчета будет 5).
В итоге можно подсчитать минимальное время, которое уйдет на манипуляции с учетными записями и допуском сотрудников к информационным ресурсам:
100 (сотрудников) * 5 (ИС) * 5 (минут) = 2500 минут. Или почти 42 часа ежедневно понадобится на: создание учетных записей для новых, блокировку доступа уволенных сотрудников, предоставление временных полномочий и т. д. При 8-часовом рабочем дне для этого потребуется не менее 6 сотрудников, которые будут заниматься только вопросами доступа. Естественно, на такие траты идут немногие. Отсюда загруженность IT-персонала, которая приводит в том числе к появлению рассматриваемых далее проблем.
«Вечные» временные полномочия и права
Для решения определенных задач сотрудникам компании часто требуются дополнительные полномочия. Во многих компаниях они выдаются пользователям, а после выполнения работ не отзываются. Часто это возникает из-за загруженности IT-персонала. Причина появления таких проблем может крыться и в громоздкости матрицы доступов, либо вообще в ее отсутствии в компании.
Бесхозные учетные записи
Это довольно серьезная проблема для многих компаний. Возникает она из-за несогласованности действий кадровых службы и IT-подразделений. В компаниях не редки случаи, когда кадровые службы не сообщают IT-специалистам о необходимости блокировки доступа уволенных сотрудников. Такие «учетки» могут существовать в корпоративных ИС подолгу. Соответственно, уволенные сотрудники продолжают иметь доступ к информационным ресурсам бывшего работодателя.
Такие ситуации возникают из-за пробелов в политике информационной безопасности компании и из-за слабо отлаженных процессов взаимодействия между подразделениями.
Деперсонализированные учетные записи
Учетные записи общего пользования для доступа работников к информационным ресурсам, как правило, используются для экономии времени. Они передаются сотрудниками по смене. Такой подход – серьезная угроза информационной безопасности компании. В этом случае возрастает вероятность разглашения данных для аутентификации в ИС и их попадания в руки посторонних лиц. Причина банальна – в компании просто не задумываются о доступе уволенных сотрудников: они уходят и уносят с собой логин/пароль, которые в деперсонализированных учетных записях могут не меняться годами.
Решение проблем — автоматизация доступа сотрудников к информационным ресурсам
Избежать рассмотренных проблем (а также других) поможет автоматизация процессов контроля и управления доступом работников к корпоративным ИС и ресурсам. Для этого используются программы класса IdM/IGA. Такие решения:
-
Обеспечивают сбор информации из кадровых систем в режиме реального времени (в некоторых случаях, по расписанию). Это дает возможность специалистам, отвечающим за ИБ в компании, своевременно реагировать на события: осуществлять блокировку пользователей в корпоративных ИС при увольнении, формировать запросы на изменение прав доступа и т. д.
-
Сокращают время на предоставление/изменение требуемых прав, а также полномочий пользователей в целевых ИС. Опыт внедрения IdM-системы Solar inRights показывает, что с ее помощью время полной «прописки» новых сотрудников во всех корпоративных ИС может сокращаться с нескольких дней до пары часов.
-
Разгружают IT-специалистов и сотрудников, отвечающих за ИБ. IdM-решения интегрируются с целевыми информационными системами. Достаточно внести необходимые изменения только здесь, и они автоматически применяются во всех обслуживаемых ИС.
-
Исключают накопление в системах бесхозных аккаунтов и учетных записей с избыточными правами. IdM/IGA практически в режиме реального времени мониторят «учетки» и при обнаружении отклонений от заданных правил оповещают об этом специалистов, отвечающих за ИБ.
Такие решения – это еще и источник сведений, которые могут понадобиться при расследовании инцидентов, связанных с информационной безопасностью. Отсюда можно оперативно получить информацию, касающуюся прав доступа работников к информационным ресурсам организации в любой момент времени.
Наш опыт показывает, что такие решения целесообразно внедрять компаниям с количеством сотрудников свыше 1000 человек и несколькими ИС. Некрупным организациям можно подумать об использовании специальных скриптов с подобным функционалом или о совершенствовании ручного управления полномочиями (возможно, сочетание разных моделей, проработка матриц доступа или другие меры).
