Цифрова революція докорінно змінила вигляд робочого місця працівника будь-якого підприємства. Сьогодні жодне робоче місце не обходиться без комп’ютеризованої техніки. Більше того, інформаційні технології ще глибше інтегруються у наше життя і вимагають наявність комп’ютеризованої техніки навіть на низько-кваліфікованих робочих місцях, починаючи програми обліку продажів у «мобільній» кав’ярні закінчуючи відео-наглядом чи телефонією на пункті охорони.
Робоче місце касира в продуктовому магазині, як правило, не обходиться без комп’ютеризованого касового обладнання з доступом до централізованої бази обслуговування клієнтів. Робоче місце бухгалтера передбачає доступ до хмарних сервісів в використовуване програмне забезпечення передбачає регулярну звітність в режимі on-line.
Автоматизація, яку можуть забезпечити інформаційні технології, охоплює вже всі аспекти діяльності підприємства: бухгалтерський облік, складський облік, управління підприємством, документообіг, аналітичний сектор, фінансовий облік, управління бізнесом. Важко придумати сферу діяльності, яка б не передбачала використанні автоматизованих інформаційних систем.
Сучасне українське підприємство середнього-великого розміру володіє до 10 систем критичного рівня, та 20 – 30 підсистем чи систем для локального обслуговування. Кожна з таких систем потребує адміністрування, в першу чергу обліку користувачів, які мають доступ до таких систем.
Типовими прикладами таких систем критичного рівня є:
• Microsoft AD, LDAP – система облікових записів користувачів
• SAP, 1С, MeDoc – бухгалтерський облік
• SAP HR, Talent Management System – системи кадрового обліку
• Megapolis Docnet, SharePoint – системи документообігу та файлового обміну
• Jira, Confluence, MS Project – системи управління проектами та завданнями
• MS exchange – корпоративна пошта
• CRM – системи обслуговування клієнтів
• ServiceDesk – системи обслуговування звернень
• Складський облік
• Управління бізнесом та аналітика
Корпоративні системи активно використовується працівниками в щоденній роботі. А для забезпечення їх коректного функціонування використовуються значна кількість програмно-апаратних комплексів, включаючи:
• Операційні системи Window, Linux, Unix і т.п.
• Системи моніторингу ІТ інфраструктури
• Між-мережеві екрани для віддалених користувачів, підключень відділень в т.ч. хмарної інфраструктури
• Засоби віртуалізації, гіпервізори та т.п.
Для ефективної роботи працівнику потрібен доступ до систем, які передбачені його посадою. Різним працівникам передбачено доступ до різного набору систем із різними правами доступу. Підрозділ із обслуговування клієнтів має доступ до CRM та SAP у той час бухгалтерія – SPAі 1С. При цьому під «бухгалтерією» - потрібно розуміти набір користувачів із різними рівнями доступу.
Управління та контроль обліковими записами користувачів у корпоративних системах – серйозне завдання для ІТ підрозділу чи служби ІБ.
Оскільки системи слабо інтегровані один із одним, кожна система потребує окремого налаштування облікових записів користувачів та відповідні права доступу. Створення, зміна та видалення прав доступу до кожної із цільових систем – це тривале та серйозне завдання для ІТ відділу.
Ще складнішим завдання є ідентифікувати створені облікові записи на системах, визначити їх власників, класифікувати рівні прав доступу, і тим-більше, виявити перевищення прав доступу до систем та подальша перевірка відповідності дозволеного та фактичного рівнів доступу до цільових систем.
Виділяємо три критичних напрямки діяльності у управлінні доступом до критичних корпоративних систем:
Ідентифікація облікових записів систем – облікові записи важко однозначно «прив’язати» до працівника. В якості «Login ID» використовуються скорочені імена чи прізвища, та їх не можливо зв’язати із працівником компанії.
Управління обліковими записами - робота ІТ підрозділу по налаштуванню корпоративних систем, надання доступу, змін доступу при зміні посадових обов’язків чи звільнені працівника.
Відповідність вимогам (compliance) - робота служби інформаційної безпеки по виявленню порушень прав доступу, регулярним перевіркам налаштованих прав доступу, забезпечення авторизованого процесу затвердження прав доступу.
Управління обліковими даними користувачів
Для невеликих компаній, у яких роботодавець особисто знає свого працівника, чи для компаній із невеликим і сталим колективом – актуальність управління обліковими записами користувачів не висока.
Проте, для компаній із кількістю користувачів 500 та більше – налаштування доступів користувачів до кінцевих систем – серйозне завдання, яке потребує окремого штату людей (ІТ адміністраторів), прийом звернень в режимі 8*5 з встановленим часом реакції.
В зрілих організаціях, цей процес супроводжується оформленням заявок на обслуговування у системі сервіс-деск. Як правило КРІ на виконання такої заявки до 5 днів.
Практичний досвід показує, що обслуговування облікових записів користувачів у організації із 4000 працівників потребує формування підрозділу із 5 – 15 працівників. Завдання аудиту та ідентифікації облікових записів по системам, для такої компанії, настільки трудомістке, що потребує формування окремого проекту обстеження для служби ІБ.
Відповідність вимогам
Не менш критичним, завданням є проведення аудиту облікових записів користувачів, їх прав доступу до систем, визначення відповідальних осіб, які погоджували надання доступу.
На практиці, це виглядає так: працівник, або його керівник, ініціює звернення у службу ІТ на надання доступу до тієї чи іншої системи. Протягом деякого часу працівнику створюють обліковий запис у системі та встановлюють одноразовий пароль. Завершальний крок при видачі доступу – заміна користувачем одноразового паролю на власний.
Складніша ситуація із працівниками, які ідуть із компанії. Оскільки контроль неактивних користувачів ускладнений, як правило облікові записи колишніх працівників залишаються активними ще тривалий термін,. Такі ситуації створюють суттєву загрозу інформаційній безпеці, оскільки облікові записи «без власників» вразливі до зламів. Так як обліковий запис не заблокований і в нього немає власника, його компрометацію важко виявити стандартними інструментами – легітимний користувач отримує доступ до системи. Важко запідозрити компрометацію облікових записіва в масштабах 1000 легітимних користувачів.
Для служби ІБ важливим є така звана сертифікація користувачів - оперативні та регулярні перевірки відповідності фактично наданих прав внутрішніми чи зовнішніми вимогами.
Автоматизація управління правами доступу
Як правило, процесс отримання доступу до корпоративних систем чітко регламентований. Як правило керівник відділу ініціює запит до відповідних спеціалістів на надання доступу до певного корпоративного сервісу, який необхідний працівникам з його відділу. Якщо система критична чи знаходиться під бізнес-управлінням сусіднього підрозділу – запускається процес погодження доступу до такої системи. Як правило у форматі електронного листування.
Оскільки за роботу систем, наприклад 1С та SAP, в компанії відповідають різні підрозділи, для організації доступу до таких систем необхідно задіяти декількох спеціалістів, а часто – декілька підрозділів. З метою фіксації події із видачі нових прав користувачам, усі дії по створенню чи зміні облікових записів фіксуються у електронному листуванні або у серві-деск системах. Оскільки відповідальні профільні спеціалісти, як правило зайняті поточними завданнями, відпрацювання запитів триває від декількох годин до декількох тижнів.
Весь процес роботи із обліковими записами створює значні затримки та додаткові завдання в повсякденній роботі працівників та ІТ спеціалістів.
Автоматизація процесу видачі та зміни облікових записів на корпоративних системах:
скоротити час створення чи зміни прав доступу
підвищить ефективність роботи ІТ
створить передумови для контролю прав доступу до систем.
Нові можливості для бізнесу, які несе в собі системи автоматизації:
портал самообслуговування
створення бізнес-процесу замовлення та затвердження прав доступу
формування вимог до облікових записів та створення інструментів контролю
аудит видачі та затвердження прав доступу, перевірка відповідності наданих прав внутрішнім чи зовнішнім регуляторам.
Портал самообслуговування
Сучасна концепція роботи із корпоративними системами полягає у формуванні сервісної моделі на базі використовуваних корпоративних систем. З точки зору сервісної моделі, компанія надає працівнику певний сервіс на базі існуючих корпоративних систем. Прикладом корпоративного сервісу можуть бути:
Корпоративну пошту
Доступ до мережі інтернет
Доступ до системи SAP
Доступ до системи CRM
Тощо
В більш розвинутій сервісній моделі можливе навіть таке розділення сервісів:
Необмежений доступ до мережі інтернет
Доступ до мережі інтернет з обмеженням (Facebook, YouTube, інше)
Доступ до мережі інтернет з 9:00 до 18:00
Працівник, чи його керівник, знає які сервіси йому необхідні для роботи. Тому, маючи можливість «замовити» відповідні сервіси, працівник автоматично запускає процедуру погодження доступу чи, якщо доступ надано, автоматично запускає механізм налаштування доступу до сервісу.
Кроком в перед у автоматизації управління доступом є створення порталів самообслуговування, де працівник може ознайомитись із переліком корпоративних сервісів доступних для нього та запросити до них доступ в автоматизованому режимі.
При замовленні працівником доступних йому сервісів, автоматично запускається процес погодження доступу до тих чи інших систем відповідальній особі. Відповідальна особа, чи колектив осіб, авторизує надання доступу. В такій системі можливо реалізувати процес багато-векторного погодження доступу – де декілька людей повинні погодити (не заперечувати проти) отримання доступу до системи.
Завдяки такій автоматизації, працівник служби безпеки має змогу втрутитись в процес, зупинити погодження сервісу, переглянути обґрунтування надання сервісу та інше.
Результати погодження будуть зафіксовані та збережені для подальшого опрацювання.
Аудит доступних сервісів
Одне із ключових завдань служби інформаційної безпеки – контроль правильності виданих доступів по системам.
Хто, до яких систем, який доступ має і хто йому цей доступ затвердив?
Як перевірити рівні доступів всіх користувачів на всіх системах як на рівні додатків, так і на рівні операційних систем.
Зібрати та підсумувати таку інформацію видається складним завданням, оскільки кількість та різноманітність цільових систем така, що потребує проектної команди для виконання такого завдання в обмежений термін.
Після збору та об’єднання інформації по користувачам та системам, важливо зрозуміти, який обліковий запис якому працівнику належить із подальшим визначення правомірності виданого доступу.
Comments