Управление правами доступа в корпоративной сети предприятия, прямо скажем, дело не самое увлекательное и не очень-то простое, однако необходимое. Если компания маленькая, то этот зажигательный процесс стараются организовать вручную. Что в итоге выходит, особенно с учетом роста бизнеса, и как этого положения удается выбраться, сэкономив людские и временные ресурсы, я и расскажу.
…Жил-был владелец одной маленькой компании. По старинным рецептам медовуху варил да горожанам к празднику поставлял. А как начал в продукт свой травки всякие полезные добавлять да разработал собственный рецепт, от клиентов отбоя не стало. Слава о его заведении далеко по области пошла.
Оснастил он свое производство заморским оборудованием с программным управлением, набрал пару десятков работников, посадил их за компы – сидят-трудятся. Хорошо-о-о-о…
Бизнес растет, года через три стало в компании уже пять сотен сотрудников. Появились руководители отделов, а у тех – подчиненные. Своего меда недостаточно стало, договорился с соседними пчеловодами на поставку сырья. Возникли в отделах разные бизнес-процессы, всякие утвержденные наверху регламенты и даже некоторые информационные системы. Понял владелец – надо всё это хозяйство как-то упорядочить, и написал указ. И принялись сотрудники друг к другу ходить, бумажками перекидываться, доступы с согласованиями просить. Стали тут всякие интересные казусы происходить. А какие, расскажем ниже.
Казус 1. Приходит маркетолог к сисадмину:
«Бью тебе челом, добрый человек, дай мне доступ в “2C:Предприятие”, надо мне договора с юристами и бухгалтерией согласовывать». «Не вопрос, – отвечает тот. – Только заполни ты мне бумажку по всей форме, да все 10 параметров непременно укажи».
Ушел маркетолог ни с чем и надолго – думу думать, информацию собирать да бумажку заполнять.
Казус 2. Озадачился как-то руководитель отдела по внешним связям, как бы поставщикам-пчеловодам доступ к своим системам организовать, чтобы они поставки свои отслеживали да с пополнением сырья не опаздывали. А дело это серьезное – поставщиков разных много развелось, абы кого во внутренние владения не пустишь, надо его с главным воеводой ИБэшником согласовать. А тот в отпуске оказался – огород в деревне Кукуево вскапывает. И остались поставщики гадать-горевать, ждать возвращения огородника.
Казус 3. Завел у себя в департаменте глава всея продаж специальную программку, в которой вся информация о клиентах и история взаимоотношений с ними хранилась и сейлами токмо использовалась. И так хорошо стало в продажах, так удобно: нужны какому бойцу данные о клиенте – зашел в программку, нашел заказчика и узнал всю его подноготную, все его хотелки с пожелалками.
Одно обидно: стали в эту программку доступ просить все, кому ни попадя: и маркетологи, и финансисты всякие, и другие-прочие. И вроде ведь для повышения продаж да улучшения обслуживания клиентов просят доступ – как дать? В итоге навыдавал глава всем страждущим разрешений, а через год понять не может, кто и зачем в его программку ходит и какие данные оттуда таскает. Год вручную вместе с технарями разбирались (по-модному «ресертификацию прав доступа» проводили), да так и не довели до конца – потонули в бумажках да процедурах.
Казус 4. Пять сотен работников – это вам не двадцать. Надо им учетки выдавать и блокировать, надо доступы в разные системы наподобие сейловой предоставлять – все ручками, ручками. И стали бедные полтора сисадмина (один на полставки работал) как рабы на галере: полдня на управление правами доступа работников тратят, а остальные полдня – на тушение пожара (сеть восстановить после сбоев и нарушений да оборудование подлатать). Все прочие рабочие повинности, как водится, сверхурочно да по выходным. Затосковали хлопцы…
Казус 5. Когда бизнес спорится, тут, как водится, и завистники появляются. Случилась как-то оказия: украл один из секретарей рецептуру новую и базу клиентов, да и передал конкурентам за мзду немалую. Заметили, как обычно, не сразу, а токмо когда заказчики принялись массово к конкуренту уходить. Стало быть, надо выяснить, как этот горе-работник доступ к тайнам получил, кто ему такой доступ дал и по какой такой причине. Эту ответственную задачу поручили работнику ИБ-службы: расследуй, мил человек, сей факт ручками да глазками. Долго копал безопасник – и вглубь, и вширь, да как тут разберешься: полгода прошло с момента злоумышления, уже и среда корпоративная поменялась, и бизнес-процессы. В общем, плюнули на это дело в компании и дальше пошли работать…
Вернемся, однако, от иносказания к реальности. В современной компании аналогичного масштаба вышеописанный процесс «управления» доступом будет выглядеть примерно так (см. схему 1):
Как видим, если компания уделяет недостаточное внимание администрированию доступа и управлению идентификацией, то ресурсные затраты на решение таких задач вручную могут оказаться колоссальными! Что делать? Конечно, менять подход. Ведь управление идентификацией и авторизацией является ключом к безопасности и имеет большое значение для всех подразделений. Посмотрим, как с этой задачей справился мудрый владелец нашей, уже немаленькой, компании.
…А поглядел он на все эти казусы и понял: пора автоматизировать процесс управления доступом. К тому времени количество работников у него уже к тысяче душ приближалось.
Вызвал он на ковер добрых молодцев – технарей да безопасников – и говорит:
«Добудьте мне такую систему, чтобы как скатерть-самобранка работала. Чтобы сама учетки пользователям при приеме на работу создавала, базовые права доступа им выдавала, а при увольнении блокировала. Чтобы во время болезней да отпусков доступ блокировала. Чтобы работнику было немудрено в ней быстренько нужную заявку состряпать, да чтобы заявка эта сама кому надо на согласование уходила. И чтобы всякие нарушения правил выдачи доступа и конфликты разные сама выявляла да устраняла своевременно. Ну и чтобы быстро выдавала всю историческую информацию о предоставленном доступе – хочешь за месяц, хочешь за год – для отчетов всяческих аудиторам да регуляторам. Да для расследований оказий разных подходила».
Подумали-поспрошали безопасники да технари, что за система такая должна быть, и поняли: пришла пора внедрять IdM (identity management), а еще лучше – продвинутую IGA (identity governance and administration)! Что за чудо-юдо такое? А никаких чудес здесь нет: система сама выдает всем работникам доступ когда и куда надобно. Как она так хитро умеет? Да через автоматическое управление жизненным циклом пользователя. Да с помощью действующих политик и инфраструктуры, созданной для обеспечения этого процесса.
Что же она умеет, эта скатерть-самобранка? Во-первых, обнаруживает и анализирует права пользователей – когда, с какой-такой стати и кем выданы. Во-вторых, сама (по заданным политикам) решения принимает – выдать запрошенное право доступа или дать от ворот поворот. Сама же (по запросу) отчеты создает, ежели аудит какой или сертификация доступа потребны. И жизненный цикл контролирует, и их ролями во всяких информационных системах управляет да лишнего делать не дает. Вот такие чудеса!
И внедрил у себя в компании мудрый владелец эту чудо-систему. А как проанализировал эффект, так и ахнул:
- на 53% сократилось время, которое тратит деловой люд, дабы заявки согласовать, ревизию прав доступа (по-нашему – сертификацию) произвести и т. п.;
- в системах компании на 15% число лишних пользователей поубавилось, а количество заявок к сисадминам аж на 85% сократилось;
- плюс ко всему данные из систем для расследования хищений на 50% проще стало добыть.
И было в итоге всем работникам нашей уже немаленькой компании счастье!
…А теперь в реальности посмотрим, как изменился приведенный в схеме 1 процесс управления доступом в результате использования IGA-системы (см. схему 2):
Итого: когда процесс управления правами доступа разработан и автоматизирован, компании не нужно выделять все больше дополнительных средств и ресурсов, чтобы удержаться на плаву и обеспечивать для бизнеса необходимый уровень сервиса и безопасности. Это весьма и весьма ощутимый инструмент экономии ресурсных затрат на управление доступом.
Вот и сказке конец! И я там был, мед сладкий пил, да на ус мотал, как процесс управления доступом сделать простым и эффективным, чтобы понятен всем был да денежки экономил. И, само собой, безопасным – чтобы быстро доступ получать да регламенты не нарушать.
Источник материала: https://www.it-world.ru/tech/business/151161.html
Линейка продуктов «Ростелеком-Солар»:
Solar Dozor (DLP) – блокирует утечки информации, анализирует действия пользователей и помогает выявлять ранние признаки корпоративного мошенничества.
Solar webProxy (SWG) – контролирует доступ сотрудников и приложений к веб-ресурсам и защищает веб-трафик от вредоносного ПО и навязчивой рекламы.
Solar appScreener (SAST) – анализирует безопасность приложений методом «белого ящика», выявляя уязвимости и закладки в исходном коде и исполняемых файлах.
Solar inRights (IGA) – помогает построить удобные и эффективные процедуры исполнения регламентов управления доступом и расследовать инциденты, связанные с правами доступа.
Сервисы «Ростелеком-Солар»:
Solar JSOC – первый в России коммерческий центр по мониторингу и реагированию на инциденты ИБ, предоставляющий сервисы по защите от внешних и внутренних киберугроз по модели MDR (Managed Detection and Response).
Solar MSS — экосистема управляемых сервисов кибербезопасности (Managed Security Services), решающих задачи по защите от киберугроз в процессе цифровой трансформации российских организаций.
