Upravljanje identitetom i pristupom

Upravljanje identitetima i pristupom je vrlo bitan element sigurnosti vašeg IT sustava. Cilj je imati automatizirano i na politikama temeljeno upravljanje životnim ciklusom korisničkih računa i kontrole pristupa u cijelom poduzeću.

Kvalitetnim i organiziranim pristupom upravljanju pristupom povećava se sigurnost IT okruženja u organizaciji, a mogu se smanjiti troškovi i vrijeme uvođenja novih poslovnih aplikacija jer se za pristup korisnika tim aplikacijama brine poseban sustav za upravljanje pristupom.

CROZ ima iskustva sa uvođenjem IBM Security Identity and Access Manager rješenja, koje omogućuje:

  • Automatizirano upravljanje životnim ciklusom korisničkih računa, čime se optimizira produktivnost i smanjuju troškovi vezani uz upravljanje korisničkim računima i resetiranje zaporki (što je jedna od najčešćih aktivnosti administratora).
  • Osiguravanje pristupa web aplikacijama i podacima.
  • Evidencija promjena, korelacija i izvještavanje
  • Single Sign-on mogućnosti

Identity Governance

Dok se „klasični“ sustavi za upravljanje identitetima i pristupom bave uglavnom upravljanjem životnim ciklusom identiteta i pravima pristupa na tehničkoj razini, sustavi za Identity Governance su nadgradnja koja omogućuje organizacijama definiranje,  pregled i izvještavanje (npr. za potrebe revizije) politika za upravljanje identitetima i pristupom, te omogućuje mapiranje funkcija sustava za upravljanje identitetima i pristupom na zahtjeve koje postavljaju standardi s kojima organizacija treba biti usklađena.

CROZ-ov tim ima iskustva s IBM Security Identity Governance (ISIG) rješenjem koje ima za cilj pomoći organizacijama da učinkovito upravljaju identitetima i pristupom aplikacijama i premoste jaz između potreba za usklađenošću, poslovnih aktivnosti i IT aktivnosti. Rezultat toga je smanjenje rizika od prijevara, konflikata uloga i ljudskih pogrešaka u provođenju poslovnih procesa.

ISIG na upravljanje identitetima i pristupom gleda iz poslovne perspektive, čime se olakšava revizija i certifikacija korisničkih prava pristupa. Također, moguća je detaljna analiza uloga i prava i njihove usklađenosti s poslovnim procesima i pravilima. Ovo je moguće zbog načina na koji ISIG upravlja ovlastima korisnika – sve ovlasti (engl. Permissions) koje korisnici na raznim sustavima imaju se pohranjuju u ISIG-ov centralni repozitorij. Na temelju tih podataka mogu se identificirati uloge koje su poslovno bitne, rizike koji su povezani s njima i veza između ovlasti koje neki korisnik ima i njegove poslovne uloge (role). Ove informacije se prikazuju u pregledan način u sučelju kroz koje je jednostavnije ocijeniti rizike koji proizlaze iz prava pristupa korisnika, kao i rizike koji proizlaze iz pravila o razdvajanju dužnosti (Separation of DutiesSoD).

Uključene su i  funkcionalnosti  tzv. rudarenja uloga  (Role-mining), čime se mogu optimizirati poslovne uloge kako se poslovni procesi mijenjaju i unaprjeđuju.

ISIG promatra SoD kontrole iz perspektive poslovnog svijeta (i revizora) i temelji se na predefiniranim aktivnostima koje pripadaju poslovnim procesima, a ne, kako je to do sada često bilo, iz perspektive pojedinih ovlasti na aplikacijama koje su više tehničke prirode.

Poseban naglasak pritom je stavljen na ERP sustave – primarno SAP, za koji postoji podrška za upravljanjem ulogama s predefiniranim pravilima koja sežu do razine SAP transakcija i autorizacijskih objekata. Konflikti se mogu jednostavno otkriti i opisati u poslovnom kontekstu koristeći pristup temeljen na modeliranju aktivnosti.  Ocjenjivanje rizika može biti dio workflowa za zahtjev pristupa, gdje specifični konflikti mogu biti eskalirani ili odobreni, čime se pažnja usmjerava na područja s najvećim rizikom.

ISIG predstavlja korisnu nadogradnju na postojeće IBM-ove (i ne samo IBM-ove) produkte za upravljanje identitetima i pristupom, koja omogućuje da se upravljanje identitetima vrši na višoj razini od one koja je sada uobičajena (tipično razina sistemskih administora ili operatera), čime je olakšano praćenje stvarnog stanja korisničkih uloga i ovlasti, olakšano postizanje usklađenosti sa standardima i postavljena osnova za lakšu detekciju i upravljanje rizicima.

Tagovi: