W każdej organizacji dla pracowników zakładane są konta i nadawane, zmieniane lub odbierane uprawnienia, do różnych aplikacji i danych. To element bezpieczeństwa w danej organizacji i bardzo ważny aspekt zarządzania usługami IT. ITIL, również nie pomija tego zagadnienia i w wersji 3, zwraca nie niego szczególną uwagę. Powołany jest dedykowany proces zarządzanie dostępem, który odpowiada, za obszar nadawania dostępu i uprawnień. W organizacjach różnie może być nazywany: zarządzanie dostępem, zarządzanie uprawnienia lub zarządzanie tożsamością. Zobaczmy jakie elementy wskazuje jako kluczowe.
Cele
Głównym cele procesu zarządzania dostępem jest, zapewnienie nadania uprawnień dla użytkowników do określonej usługi lub grupy usług. Proces odpowiada za wykonanie polityk i działań zdefiniowanych w procesie zarządzania bezpieczeństwem informacji, który funkcjonuje na etapie projektowania usługi. Dla porządku podam, że proces zarządzania dostępem, funkcjonuje na etapie utrzymania operacyjnego usługi. Cele szczegółowe procesu zarządzania dostępem to:
- Zarządzanie dostępem do usług w oparciu o polityki i procedury, określone jest w procesie zarządzania bezpieczeństwem informacji. Musimy zadbać aby wszystkie zasady, reguły i wymagania były zapisane w odpowiednich politykach, które znajdą następnie odzwierciedlenie w procedurach i instrukcjach operacyjnych.
- Efektywna obsługa żądań o nadanie dostępu do usług, zmiany nadanych uprawnień lub ich odebranie, mająca na celu poprawne nadanie, zmianę lub odebranie uprawnień. Dostęp do aplikacji lub danych może być kluczowym elementem dla działania organizacji, dlatego trzeba zapewnić aby procedury i instrukcje były sprawnie i efektywnie wykonywane, szczególnie w zakresie odbierania uprawnień.
- Nadzorowanie dostępu do usług i zapewnienie właściwego wykorzystania nadanych uprawnień. Nie wystarczy tylko nadać uprawnienia. Trzeba jeszcze pilnować i kontrolować czy są one odpowiednio nadawane i wykorzystywane zgodnie z przeznaczeniem.
Zakres procesu
Proces zarządzania dostępem:
- Wykonuje polityki określone w procesie zarządzania bezpieczeństwem informacji w celu zarządzania poufnością, dostępnością i integralnością danych organizacji.
- Zapewnia nadanie odpowiednich uprawnień do usług ale nie zapewnia dostępności tych usług dla użytkowników. Za to odpowiada proces zarządzania dostępnością.
- Wykorzystuje do nadawania uprawnień Service Desk lub zespół utrzymania. Przełożeni użytkowników składają zgłoszenia (service request) o nadanie uprawnień.
- Oprócz nadawania uprawnień bardzo częstymi zgłoszeniami od użytkowników jest resetowanie lub zmiana hasła do istniejących kont. To jest bardzo absorbujące zajęcie, ponieważ mimo polityki haseł, którą wszyscy powinni znać oraz komunikatów, przypominających o zmianie hasła, część użytkowników nie stosuje się do nich. Niestety później zwraca się o reset hasła do Service Desku. Można oczywiście wdrożyć automatyczny system, który w bezpieczny sposób będzie resetował hasła użytkowników aby zmniejszyć ilość zgłoszeń do Service Desk.
Wartość dla biznesu
Jakie korzyści i wartość dla biznesu daje prawidłowe funkcjonowanie procesu zarządzania dostępem?
- Zapewnia kontrolowany dostęp do usług, pozwalający na zachowanie poufności danych
- Zapewnia wymagane uprawnienia dla użytkowników, niezbędne do realizacji ich obowiązków zawodowych
- Zmniejsza ilość błędów we wprowadzaniu danych lub korzystaniu z krytycznych systemów przez pracowników o niewystarczających kompetencjach
- Zapewnia możliwość audytu wykorzystania usług lub śledzenia ich nadużyć
- Zapewnia możliwość odebrania uprawnień, w krótkim czasie (ważne ze względu bezpieczeństwa)
- Zapewnia zgodność z regulacjami (np. SOX, HIPAA, COBIT)
Co powinna zawierać polityka zarządzania dostępem?
Najważniejsze elementy, jakie powinny znaleźć się w polityce zarządzania dostępem to:
- Administrowanie dostępem i związane z tym aktywności powinny być ściśle określone i wynikać z polityk zarządzania bezpieczeństwem informacji
- Logowanie i śledzenie wszystkich prób dostępu do usług, w celu weryfikacji czy usługi są wykorzystywane zgodnie z przeznaczeniem. Należy zapewnić mechanizmy, które będą rejestrować zdarzenia, w przypadku nieautoryzowanego dostępu lub nadużycia usług.
- Zarządzanie dostępem powinno odbywać się w bliskiej współpracy z działem HR, który odpowiada za zmiany kadrowe. Wymagana jest bardzo dobra komunikacja pomiędzy HR i IT aby przekazywać na czas informacje o nadaniu, zmianie lub odebraniu uprawnień.
- Określenie zasad zarządzania historią zdarzeń. Kto miał dostęp lub próbował mieć dostęp do usług. Są to niezbędne działania w celach audytowych. Należy również przechowywać informację, jakie uprawnienia zostały nadane, do jakich usług, przez kogo i kiedy.
- Zdefiniowanie jasnych i zrozumiałych procedur związanych z obsługą, eskalacją i komunikowaniem o zdarzeniach bezpieczeństwa.
Podstawowe zasady
Najważniejsze zasady, których powinniśmy przestrzegać.
- Uprawnienia powinny być nadawane do usług zdefiniowanych w katalogu usług. W samym katalogu usług, należy umieścić informacje związane z dostępem do usługi, polityką haseł itp.
- Dostęp odnosi się do poziomu i zakresu funkcjonalności usługi lub danych, do którego użytkownik jest uprawniony. Ważne jest, aby na etapie projektowania usługi, pamiętać o zasadach i wymaganiach bezpieczeństwa, które później pozwolą prawidłowo i z odpowiednią gradacją zarządzać dostępem do usługi.
- Tożsamość związana jest z informacjami o użytkowniku i powinna go jednoznacznie identyfikować w organizacji. Wymagane jest zdefiniowanie atrybutów użytkownika, które będą dla niego unikalne.
- Uprawnienia odnoszą się do aktualnych ustawień, na podstawie których użytkownik ma dostęp do usługi lub grupy usług. Typowe uprawnienia lub poziom dostępu to odczyt, zapis, wykonywalność, zmiana, usuwanie.
- W zarządzaniu dostępem i uprawnieniami należy wspierać się narzędziami, które pozwolą zastosować obowiązujące polityki i sprawnie nadawać, zmieniać lub odbierać uprawnienia. Nie są to łatwe zagadnienia. Nie efektywnie działające narzędzie może znacznie utrudnić i wydłużyć proces zarządzania uprawnieniami, a co gorsza może wpływać na obniżenie poziomu bezpieczeństwa w organizacji.
Bezpieczeństwo w IT zawsze było bardzo ważne a w ostatnim czasie jego rola jeszcze wzrosła. Zarządzanie dostępem do aplikacji i danych, to jego bardzo ważny element. Należy na niego zwrócić szczególna uwagę. Dzięki podjętym wysiłkom, możemy zwiększyć poziom bezpieczeństwa w organizacji oraz uniknąć zagrożeń, które są jak najbardziej realne i częstsze niż kiedykolwiek przedtem.
Pytanie: Na jaki aspekt bezpieczeństwa zwracasz szczególną uwagę w zarządzaniu dostępem?