Szőrszálhasogatás vagy kockázatcsökkentés?
„Az óvatosság, még ha túlzott volna is, mindig figyelmet érdemel, mert a túlzott merészség több kárt okozhat, mint a túlzott óvatosság.”
Deák Ferenc, magyar államférfi, politikus
Minél több alkalmazott dolgozik egy vállalatnál, annál nehezebb naprakészen tartani a felhasználók személyazonosságait és hozzáféréseit. Pedig rendkívül fontos, hogy mindenki csak azokat az adatokat és erőforrásokat érje el, amelyekre valóban szüksége van a napi munkájához, mert a túl sok jogosultságot könnyebben kihasználhatják a rosszindulatú támadók. Ennek fontosságára hívja fel a figyelmet a közelgő Személyazonosság-kezelés Napja is. A Micro Focus szakértői szerint nem elég, ha a hozzáférések kiosztását automatizálják és rendszeresen felülvizsgálják. Érdemes egy fejlett, teljes körű személyazonosság-kezelő rendszert is igénybe venni a valós kockázatok folyamatos értékeléséhez és az előírásoknak megfelelő gyakorlat kialakításához.
A cégek hagyományosan az onboarding folyamat részeként osztották ki az IT-rendszereikben a személyazonosságokat az új alkalmazottaknak, majd az elődjeik szerepkörének megfelelően rendelték hozzájuk a szükséges adatokhoz és információkhoz való hozzáféréseket. Ha pedig új volt a pozíció, akkor az új belépőéhez hasonló munkakört kerestek, és abból indultak ki a jogosultságok kiosztásánál. Természetesen ez hosszú távon nem volt fenntartható a nagyobb szervezeteknél, ezért a legtöbb helyen automatizálták a folyamatot. Ez azonban még mindig nem ideális megoldás, mivel hiányosságokhoz vezethet, és a szigorú előírások teljesítésénél is kívánnivalókat hagy maga után.
Rendszeres felülvizsgálat: csak részmegoldás
A szervezeteknél elkezdték tehát rendszeres időközönként felülvizsgálni a hozzáféréseket, hogy orvosolják az esetleges hibákat, és megfeleljenek a szabályozásoknak. Az összes problémát azonban ez sem oldja meg, hiszen a felülvizsgálattal megbízott személyek sokszor elfoglaltak, vagy nem rendelkeznek minden szükséges információval, ezért hajlamosak a szükségesnél több jogosultságot adni.
Minden egyes hozzáférés egy újabb lehetőséget nyújt a kiberbűnözőknek arra, hogy megpróbáljanak betörni a cég rendszerébe. Ha indokolatlanul sok jogosultságot osztanak ki, az növeli a szervezet infrastruktúrájának támadási felületét, ráadásul a potenciális rosszindulatú belső támadóknak is nagyobb esélyt kínál a károkozásra.
Egyszerűen sokoldalú személyazonosság-kezelés
Ezeket a problémákat segítenek kiküszöbölni az olyan teljes körű személyazonosság-kezelési rendszerek, mint például a NetIQ Identity Governance and Administration, amely lehetővé teszi a vállalatok számára, hogy részletes hozzáférési szabályokat hozzanak létre, és azokat automatikusan alkalmazzák. Így mindig naprakészek a hozzáférések.
Az eszköz támogatja a vezetőket abban, hogy megalapozott döntéseket hozzanak. Átfogó és könnyen áttekinthető összefoglalókat készít arról, hogy valóban használják-e az alkalmazottak azokat az alkalmazásokat, amelyekhez hozzáférésük van, és ha igen, milyen gyakran. A szoftver azt is értékeli, mekkora kockázatot jelent, ha hozzáféréseket biztosítanak egy alkalmazottnak vagy alvállalkozónak az egyes alkalmazásokhoz, adatbázisokhoz vagy eszközökhöz.
Komoly károkat előzhet meg
Az ilyen elemzések segítségével könnyen átláthatók a már szükségtelenné vált hozzáférések. Ha például egy junior könyvelőnek egy alkalommal szüksége volt érzékenyebb üzleti adatokra a cég pénzügyeivel kapcsolatban egy prezentációhoz, ám az anyag leadása után többet már nem használta azokat, és nem is volt rájuk szüksége, akkor ez világosan látszik a kimutatásban, így meg lehet szüntetni a hozzáférését az információkhoz. Ez csökkenti a kiberbiztonsági kockázatokat, hiszen ha esetleg ellopják az érintett kolléga mobiltelefonját, akkor is csak a mindennapi munkájához szükséges alkalmazások és adatok érhetők el a feltört készülékéről, az érzékenyebb pénzügyi információk védve maradnak. Egy teljes körű személyazonosság-felügyeleti megoldás nélkül azonban könnyű átsiklani az ilyen feleslegessé vált hozzáférések felett, amelyek jelentős mértékben növelik a kockázatokat.
Már az is időt takarít meg és fejleszti a biztonságot, ha a cégek automatizálják a hozzáférések kiosztását. Egy teljes körű személyazonosság-kezelési rendszer azonban ennél sokkal több előnyt kínál: biztosítja a szabályok állandó betartatását és az előírások teljesítését, értékeli a kockázatokat, és a vezetők számára átlátható és jól értelmezhető formában tálalja az információkat.
