Adwertorial
Rozmowa z Łukaszem Kuflewskim, architektem, projektantem, analitykiem i wdrożeniowcem systemów zarządzania tożsamością i dostępem. Ma ponad 10-letnie doświadczenie w tym obszarze. Pracuje na stanowisku IAM Architect w Cloudware Polska. Rozmawiamy o tym, jak w nowoczesny i bezpieczny sposób zarządzać tożsamością i uprawnieniami w organizacji.
Coraz więcej organizacji korzysta z usług IT podmiotów zewnętrznych. Czy Pana zdaniem podmioty sektora publicznego potrafią zarządzać dostępem zewnętrznych użytkowników? Jak sobie radzą z tym wyzwaniem?
Największym problemem wielu organizacji jest brak jednego, spójnego rejestru pracowników zewnętrznych. W przypadku pracowników etatowych najczęściej wszystko jest dobrze usystematyzowane za pomocą powszechnie stosowanych systemów kadrowych. Jednak współpracownicy zewnętrzni często są ujęci tylko w prowizorycznych rejestrach tworzonych np. w arkuszu kalkulacyjnym. Skoro nie ma rejestru, to nie ma też szans na spójność i jednolite procesy w zakresie nadawania dostępów pracownikom i podmiotom zewnętrznym. Podmioty publiczne mierzą się w tym zakresie z tymi samymi problemami, które dostrzegam w sektorze prywatnym – potrzebne są tu odpowiednie narzędzia i know-how, które jako Cloudware jesteśmy w stanie dostarczyć.
Z jakimi złymi praktykami w zarządzaniu tożsamością i uprawnieniami spotyka się Pan najczęściej? Jak powstają luki w zarządzaniu dostępem użytkowników?
Podczas wdrożeń często spotykamy się z tym, że nawet jeśli system zarządzania dostępem i tożsamością został wdrożony, to sprowadza się on jedynie do informacji, kto i jakie uprawnienia otrzymał. Brakuje jednak weryfikacji, czy dostęp jest konieczny, uzasadniony i czy w ogóle pracownik z niego korzysta. Nierzadko zdarza się, że jakaś osoba otrzymuje dostęp np. do kilku systemów, aby wykonać nowe zadanie. Powinien to być dostęp tymczasowy, ale w praktyce często nikt tego nie sprawdza i okazuje się, że np. przez rok pracownik miał dostęp do systemów, które były mu potrzebne przez miesiąc. Najczęściej nikt w organizacji nie zajmuje się ważnym procesem, jakim jest recertyfikacja uprawnień. Istotne jest też to, żeby nie udzielać dostępu w sposób atomowy, lecz tworzyć zdefiniowany katalog ról i w sposób ciągły go aktualizować.
Dobrze znane w organizacjach są praktyki w obszarze zarządzania tożsamością i dostępem (IAM) oraz uprzywilejowanym dostępem (PAM). Jak w kontekście IAM i PAM należy rozumieć wspomnianą usługę IGA? Co zapewnia i jak działa?
Najprościej usługę IGA (Identity Governance and Administration) można określić jako połączenie IdM (Identity Management) oraz szeroko pojętego compliance, czyli systemu zgodności z normami i regulacjami. IGA zawiera w sobie wszystkie cechy IdM: cykl życia tożsamości, nadawanie uprawnień, rekoncyliację, automatyzację itd. Uzupełnieniem tego jest nadzór nad uprawnieniami: cykliczne kampanie certyfikacyjne, kategoryzacja uprawnień pod kątem ryzyka, reguły uprawnień wzajemnie wykluczających się. Dzięki tym cechom system IGA kompleksowo rozwiązuje problem nadawania uprawnień oraz ich kontrolowania. To niejako uzupełnienie Privilege Access Management oraz Access Management.
Jak wygląda modelowe wdrożenie i jakie przynosi korzyści?
Podczas wdrożenia zawsze zwracamy uwagę na to, aby projekt był „wysoko umocowany” w organizacji. Zależy nam na tym, żeby osoba odpowiedzialna za wdrożenie ze strony klienta miała możliwość efektywnego wspierania naszych działań. To niezwykle istotne, bo wdrożenie IGA jest rozległe i systemowe – ma wpływ na wszystkie działy. Uważam, że za udane wdrożenie w 80% odpowiada dobrze przeprowadzona analiza. Podmioty bardzo się od siebie różnią, więc musimy dokładnie poznać ich potrzeby, sposób działania, aplikacje, procesy HR itd. W ramach analizy wypracowujemy jednolite procesy, które pozwalają dostosować się do zastanych warunków. Kolejnym krokiem jest wyznaczenie etapów wdrożenia – najpierw uwzględniamy kluczowe systemy i procesy, m.in. decydując, które systemy będą wdrażane manualnie, a które automatycznie. Warto podkreślić, że liczba użytkowników nie ma wpływu na czas wdrożenia. Istotny wpływ ma natomiast liczba systemów do integracji. Minimalny czas wdrożenia to średnio rok.
Dlaczego Pana zdaniem systemy IGA powinny być wdrażane w administracji publicznej?
Skuteczne zarządzanie kontami i uprawnieniami to podstawa bezpieczeństwa dostępu do danych i minimalizowanie ryzyka wycieku informacji. Dane, którymi zarządzają podmioty publiczne, są często kluczowe, dlatego stają się też celem cyberataków. W jednostkach pracownicy często pracują przez wiele lat, co powoduje, że bez odpowiedniego zarządzania kumulują dostępy, które są nie używane, ale wciąż aktywne. To sprawia, że pracownik stwarza niepotrzebne zagrożenie, czasem nawet nieświadomie.
Więcej informacji:
Karolina Matusiak
602 336 076
karolina.matusiak@cloudware.pl
www.cloudware.pl
