Доступ сотрудников к информационным ресурсам

В 2020 году мы провели исследование, посвященное проблемам управления доступом к информации и корпоративным информационным ресурсам в российских компаниях. В ходе него были опрошены представители более 200 организаций. Выяснилось, что почти каждая пятая компания сталкивалась с инцидентами в сфере информационной безопасности, связанными с правами доступа работников к информационным ресурсам. При этом почти 56% респондентов указали, что полностью не удовлетворены или частично удовлетворены действующей у них в организациях системой управления доступом.

Проблемы, риски, связанные с доступом работников к информационным ресурсам

Любая компания может столкнуться с рядом типовых проблем, связанных с управлением и контролем доступа к корпоративным информационным системам (далее – ИС) и ресурсам.

Загруженность IT-персонала

На решение вопросов, касающихся организации прав доступа, тратится немало времени. На одну только регистрацию аккаунтов могут уходить десятки, а то и сотни часов ежемесячно, если на одну такую процедуру в среднем тратится 5 минут (в зависимости от особенностей целевой ИС). В компании численностью в несколько тысяч сотрудников ежедневно могут приниматься на работу / увольняться десятки сотрудников. Сюда добавляются и работники, уходящие в отпуск, те, кому нужны временные права и полномочия на выполнение определенных работ и т. д. Количество таких сотрудников, требующих внимания, в крупной компании достигает сотни человек, если не более. Часто одному работнику нужно создать, изменить или заблокировать «учетки» в нескольких корпоративных ИС (пусть их для расчета будет 5).

В итоге можно подсчитать минимальное время, которое уйдет на манипуляции с учетными записями и допуском сотрудников к информационным ресурсам:

100 (сотрудников) * 5 (ИС) * 5 (минут) = 2500 минут. Или почти 42 часа ежедневно понадобится на: создание учетных записей для новых, блокировку доступа уволенных сотрудников, предоставление временных полномочий и т. д. При 8-часовом рабочем дне для этого потребуется не менее 6 сотрудников, которые будут заниматься только вопросами доступа. Естественно, на такие траты идут немногие. Отсюда загруженность IT-персонала, которая приводит в том числе к появлению рассматриваемых далее проблем.

«Вечные» временные полномочия и права

Для решения определенных задач сотрудникам компании часто требуются дополнительные полномочия. Во многих компаниях они выдаются пользователям, а после выполнения работ не отзываются. Часто это возникает из-за загруженности IT-персонала. Причина появления таких проблем может крыться и в громоздкости матрицы доступов, либо вообще в ее отсутствии в компании.

Бесхозные учетные записи

Это довольно серьезная проблема для многих компаний. Возникает она из-за несогласованности действий кадровых службы и IT-подразделений. В компаниях не редки случаи, когда кадровые службы не сообщают IT-специалистам о необходимости блокировки доступа уволенных сотрудников. Такие «учетки» могут существовать в корпоративных ИС подолгу. Соответственно, уволенные сотрудники продолжают иметь доступ к информационным ресурсам бывшего работодателя.

Такие ситуации возникают из-за пробелов в политике информационной безопасности компании и из-за слабо отлаженных процессов взаимодействия между подразделениями.

Деперсонализированные учетные записи

Учетные записи общего пользования для доступа работников к информационным ресурсам, как правило, используются для экономии времени. Они передаются сотрудниками по смене. Такой подход – серьезная угроза информационной безопасности компании. В этом случае возрастает вероятность разглашения данных для аутентификации в ИС и их попадания в руки посторонних лиц. Причина банальна – в компании просто не задумываются о доступе уволенных сотрудников: они уходят и уносят с собой логин/пароль, которые в деперсонализированных учетных записях могут не меняться годами.

Решение проблем — автоматизация доступа сотрудников к информационным ресурсам

Избежать рассмотренных проблем (а также других) поможет автоматизация процессов контроля и управления доступом работников к корпоративным ИС и ресурсам. Для этого используются программы класса IdM/IGA. Такие решения:

  • Обеспечивают сбор информации из кадровых систем в режиме реального времени (в некоторых случаях, по расписанию). Это дает возможность специалистам, отвечающим за ИБ в компании, своевременно реагировать на события: осуществлять блокировку пользователей в корпоративных ИС при увольнении, формировать запросы на изменение прав доступа и т. д.

  • Сокращают время на предоставление/изменение требуемых прав, а также полномочий пользователей в целевых ИС. Опыт внедрения IdM-системы Solar inRights показывает, что с ее помощью время полной «прописки» новых сотрудников во всех корпоративных ИС может сокращаться с нескольких дней до пары часов.

  • Разгружают IT-специалистов и сотрудников, отвечающих за ИБ. IdM-решения интегрируются с целевыми информационными системами. Достаточно внести необходимые изменения только здесь, и они автоматически применяются во всех обслуживаемых ИС.

  • Исключают накопление в системах бесхозных аккаунтов и учетных записей с избыточными правами. IdM/IGA практически в режиме реального времени мониторят «учетки» и при обнаружении отклонений от заданных правил оповещают об этом специалистов, отвечающих за ИБ.

Такие решения – это еще и источник сведений, которые могут понадобиться при расследовании инцидентов, связанных с информационной безопасностью. Отсюда можно оперативно получить информацию, касающуюся прав доступа работников к информационным ресурсам организации в любой момент времени.

Наш опыт показывает, что такие решения целесообразно внедрять компаниям с количеством сотрудников свыше 1000 человек и несколькими ИС. Некрупным организациям можно подумать об использовании специальных скриптов с подобным функционалом или о совершенствовании ручного управления полномочиями (возможно, сочетание разных моделей, проработка матриц доступа или другие меры).

Поделиться

Предложи свою тему будущих публикаций

ОТПРАВИТЬ

Спасибо!

Мы обязательно рассмотрим ваше предложение.

Получить консультацию

Отправить

Если IGA-система - то Solar inRights

Решение класса IGA (Identity Governance and Administration) для компаний, которым уже недостаточно простой автоматизации управления правами доступа как отдельной функции.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах