Artykuł
Identity & Access Management
Czyli zarządzanie tożsamością i dostępem - o co chodzi?
Zarządzanie Ryzykiem 2023
W cyfrowym świecie ochrona danych i wszelkich wrażliwych zasobów ma ogromne znaczenie. Organizacje, niezależnie od ich wielkości, stoją przed ciągłym wyzwaniem związanym z ochroną swoich danych i zasobów cyfrowych przed nieautoryzowanym dostępem. Zarządzanie tożsamością i dostępem (Identity & Access Management = IAM) pełni kluczową rolę w walce z tymi zagrożeniami. W poniższym artykule przedstawiamy wprowadzenie do IAM, jego komponenty oraz znaczenie dla ogólnego bezpieczeństwa cyfrowego.
Zarządzanie tożsamością i dostępem (IAM) to zestaw procesów oraz narzędzi dedykowanych do administrowania cyfrową tożsamością i kontrolowania dostępu do zasobów (danych, systemów i aplikacji IT oraz lokalizacji fizycznych w organizacji). Głównym celem IAM jest zapewnienie, że właściwa osoba ma właściwy dostęp do właściwych zasobów, we właściwym czasie i z właściwych powodów.
IAM składa się z kilku współpracujących ze sobą elementów. Do podstawowych komponentów IAM zaliczamy:
- Zarządzanie tożsamością: Identyfikacja tożsamości oraz zarządzanie cyklem jej życia, a także cyklem życia kont użytkowników. Obejmuje jednoznaczną identyfikację użytkowników i podmiotów w systemach IT organizacji. Obsługuje również cały cykl życia tożsamości oraz kont użytkowników, provisioning (tworzenie nowych kont w systemach/aplikacjach IT) oraz deprovisioning (wyłączanie lub usuwanie kont).
- Uwierzytelnianie: Po zidentyfikowaniu użytkownika musi on udowodnić swoją tożsamość za pomocą metod uwierzytelniania (np.: hasła, tokeny, dane biometryczne lub MFA, tj. uwierzytelnianie wieloskładnikowe – multi-factor authentication).
- Autoryzacja/Uprawnienia: Po uwierzytelnieniu system określa, do jakich działań i zasobów użytkownik ma dostęp. Uprawnienia mogą być kontrolowane np. w modelu RBAC (Role-Based Access Control), w którym przypisuje się uprawnienia na podstawie roli użytkownika w organizacji, zapewniając, że pracownicy mają dostęp niezbędny do wykonywania swoich obowiązków zawodowych.
- Kontrola dostępu: obejmuje kontrole dostępu fizycznego jak i logicznego, np. Single Sign-On (SSO) umożliwia użytkownikom dostęp do wielu aplikacji i systemów IT za pomocą jednego zestawu poświadczeń. Upraszcza to proces logowania oraz zwiększa bezpieczeństwo.
- Governance & Compliance: systemy do zarządzania tożsamością i dostępem mogą monitorować aktywność użytkowników oraz dostarczać ślad audytowy dla wykonywanych działań. Dane audytowe są niezbędne do zapewnienia zgodności z regulacjami oraz analizy bezpieczeństwa.
- Zwiększone bezpieczeństwo: IAM wzmacnia bezpieczeństwo organizacji, poprzez zapewnienie, że tylko upoważnione osoby mają dostęp do danych, informacji oraz systemów IT, zmniejszając ryzyko nieautoryzowanego dostępu i naruszenia integralności danych.
- Zgodność z regulacjami i przepisami: Wiele branż i regionów jest objętych licznymi regulacjami oraz wymaganiami prawnymi dotyczącymi ochrony danych i kontroli dostępu. IAM pomaga zachować zgodność oraz wspiera przestrzeganie tych przepisów, minimalizując ryzyko wystąpienia kosztownych kar i problemów prawnych.
- Optymalizacja: IAM usprawnia procesy zarządzania tożsamościami oraz dostępem użytkowników, ułatwiając wdrażanie nowych pracowników, przyznawanie i odbieranie dostępu oraz monitorowanie aktywności użytkowników w systemach docelowych. Ma to istotny wpływ na redukcję kosztów operacyjnych nie tylko w obszarze IT, ale też HR.
- Doświadczenie użytkownika: IAM umożliwia szybszy i łatwiejszy dostęp do potrzebnych zasobów, bez zbędnych przeszkód i opóźnień.
Transformacja IAM składa się z kilku etapów:
- Analiza przedwdrożeniowa: Zrozumienie potrzeb organizacji i bieżących procesów zarządzania tożsamością i dostępem, a także identyfikacja braków, ograniczeń oraz słabych stron.
- Planowanie: Określenie strategii IAM, zaprojektowanie procesów dla cyklu życia tożsamości/kont oraz uprawnień, wybór rozwiązania (systemu) IAM oraz technologii wspierających.
- Wdrożenie: Implementacja procesów oraz rozwiązań IAM i zintegrowanie ich z systemami IT oraz aplikacjami wykorzystywanymi w organizacji.
- Testowanie: Upewnienie się, że procesy oraz system IAM działają zgodnie z założeniami.
- Monitorowanie i optymalizacja: Monitorowanie działania systemu oraz aktywności użytkowników i przeprowadzanie regularnych ocen bezpieczeństwa.
Zarządzanie tożsamością i dostępem jest podstawowym aspektem cyberbezpieczeństwa oraz kluczowym filarem konceptu Zero Trust. Prawidłowe zarządzanie tożsamościami cyfrowymi i dostępami pomaga redukować występowanie oraz wpływ zagrożeń cyfrowych, przyspieszyć procesy Joiner/Mover/Leaver oraz optymalizować czas technicznego onboardingu pracowników i kontraktorów. Pozwala również utrzymywać zgodność z normami regulacyjnymi.
Rekomendowane strony
Cyber and Strategic Risk
Pewnym krokiem w przyszłość
Deloitte Cyber
Jak przygotować pracowników na przyszłe wyzwania