Για την ασφάλεια πληροφοριών στις επιχειρήσεις, απαραίτητη προϋπόθεση είναι ο περιορισμός και ό έλεγχος της πρόσβασης και χρήσης των πληροφοριακών συστημάτων του οργανισμού αποκλειστικά από εξουσιοδοτημένους χρήστες – προσωπικό και συνεργάτες- και πάντα σε σχέση με τον ρόλο του καθενός, τον χρόνο, τον τόπο και τον τρόπο της χρήσης ( Ποιος -Που- Πότε -Πως).

 

Αλέξανδρος Νικλάν
Information Security Consultant
Information Security, Governance, Risk & Compliance

Παναγιώτης Καλαντζής
Manager
Information Security, Governance, Risk & Compliance

Syntax (www.syntax.gr)

Η υλοποίηση διαδικασιών και συστημάτων ελέγχου πρόσβασης και χρήσης των πληροφοριακών συστημάτων δεν θεραπεύει απλά τον συνήθη πονοκέφαλο του κάθε υπεύθυνου ασφαλείας και το σύνολο του οργανισμού που προκαλείται από τους επιχειρησιακούς κινδύνους, αλλά και το ανυπολόγιστο κόστος σε εργατοώρες για τον έλεγχο και την επιδιόρθωση των ζημιών και προβλημάτων, αλλά κυρίως δίνει τη δυνατότητα ασφαλούς επιχειρησιακής ανάπτυξης στην ψηφιακή εποχή.
Τι γίνεται όμως όταν αυτή η διαδικασία ελέγχου των «4Π» πλέον απαιτείται για κάθε δράση και κάθε πράξη που αφορά τα συστήματα ενός οργανισμού; θα είναι δυνατόν κάποιος οργανισμός να ανταπεξέλθει σε αυτή την απαίτηση , δαπανώντας τεράστια ποσά για να καλύψει αυτή την ανάγκη; Και τέλος, τι μπορεί να σημαίνει για το επιχειρησιακό κομμάτι ενός οργανισμού όσον αφορά την εύρυθμη λειτουργία του;
Η παραπάνω ανάγκη διαμορφώνεται πλέον σε βαθμό υποχρέωσης και συμμόρφωσης, τόσο προς τον νέο Ευρωπαϊκό Κανονισμό περί Ιδιωτικότητας ( GDPR ) όσο όμως και από τις επιχειρησιακές ανάγκες ενός οργανισμού που μπορεί να ζητεί καλύτερη αποτύπωση των ροών εργασιών και να έχει και μια ορθή διαχείριση ανθρώπινου δυναμικού και της απόδοσης του. Η δημιουργία και διαχείριση ρόλων σε μια επιχείρηση, οι ροές εργασίας που μπορεί να δημιουργούνται ως φόρτος ενεργειών σε καθημερινή βάση, όπως και η ανάγκη να μπορεί αυτό να ελεγχθεί και να αξιολογηθεί, οδήγησε στη δημιουργία λογισμικού με τον όρο Identity & Access Management.

Η ύπαρξη μιας λύσης Identity & Access Management ως πυλώνας της στρατηγικής ασφάλειας πληροφοριών ενός οργανισμού
Ένα απλό παράδειγμα μιας εταιρικής εργασίας που δεσμεύει ένα σοβαρό αριθμό εργατοωρών τόσο σε επίπεδο διαχείρισης όσο και σε επίπεδο εφαρμογής ρυθμίσεων πολιτικών ασφαλείας, είναι η πρόσληψη ενός νέου εργαζόμενου ή συνεργάτη και η ανάγκη πρόσβασής του σε συστήματα του οργανισμού, ξεκινώντας από τη δημιουργία ενός λογαριασμού χρήστη μέχρι και το είδος πρόσβασης που μπορεί να έχει ο συγκεκριμένος σε διάφορα συστήματα. Μέχρι πρόσφατα, το σύνολο αυτών των ενεργειών έπρεπε να δεσμεύσει προσπάθεια και χρόνο από τον εκάστοτε διαχειριστή συστημάτων και δικτύων (system & network administrators), πιθανόν κάποιους διαχειριστές εφαρμογών ( system owners πχ. ERP), σίγουρα το τμήμα ανθρώπινου δυναμικού (Human Resources), το λογιστήριο, το τμήμα που θα ανήκει ο νέος συνεργάτης ενώ βέβαια ο ίδιος ο εργαζόμενος-συνεργάτης θα πρέπει να ενημερωθεί και για εσωτερικές πολιτικές ασφαλείας από το σχετικό τμήμα Ασφάλειας Πληροφοριών.
Ο χρόνος μιας τέτοιας διαδικασίας, κατά μέσο όρο, θα μπορούσε να φτάσει ίσως και τις 4-5 μέρες αφαιρώντας έτσι από τον ίδιο τον συνεργάτη δυνατότητα να συμμετέχει στον οργανισμό στο 100% και φυσικά θα αποτελούσε πρόσθετη απώλεια χρημάτων στον οργανισμό, καθώς ο συνεργάτης μέχρι την ολοκλήρωση αυτών , θα αποτελούσε “πόρο μειωμένης απόδοσης”, χωρίς να υπολογίσουμε τον χρόνο απασχόλησης του προσωπικού του οργανισμού με την διευθέτηση διαχειριστικών εργασιών που αναφέραμε. Σε πρόσθεση όλων αυτών, θα υπήρχε πιθανώς δημιουργία και ενός μεγάλου όγκου εγγράφων σχετικών για αυτή την ενέργεια, ενώ η διαδικασία πιθανόν να είχε πολλές “μαύρες τρύπες” τόσο από πλευράς αποτύπωσης της διαδικασίας σε επίπεδο απόδοσης και ενεργειών, όσο και από πλευράς ασφαλείας αφού η απώλεια ενός εγγράφου μπορεί να οδηγούσε σε πονοκέφαλο σε περίπτωση Εσωτερικού ή Εξωτερικού Ελέγχου (Internal / External Audit).
Η υλοποίηση ενός λογισμικού Identity & Access Μanagement μπορεί να οδηγήσει αποφασιστικά σε μια ολοκληρωτική αλλαγή των παραπάνω, σε δύο τομείς που θα επιστρέψουν πολύ γρήγορα το ποσό επένδυσης που θα γίνει για αυτό, στον οργανισμό. Το πρώτο όφελος είναι αυτό της αποδοτικότητας του εργαζόμενου όπου, για παράδειγμα, μια διαδικασία εισαγωγής νέου συνεργάτη στον οργανισμό θα μπορούσε να αυτοματοποιηθεί μέσα από μια ροή εργασιών με ειδοποιήσεις που θα απαιτούν απλά εγκρίσεις από το αρμόδιο προσωπικό των σχετικών τμημάτων, ενώ η απόδοση ρόλου στον συνεργάτη καθώς και οι όποιες εργασίες σχετικά με αυτόν θα είναι «διάφανες» για τον ίδιο καθώς θα έχει μηδενική εμπλοκή πέρα από την αρχική αίτηση του σε ένα τερματικό.
Σε ένα πολύ απλό παράδειγμα, ο ίδιος θα μπορούσε να ξεκινήσει με μια φόρμα αίτησης σε ηλεκτρονική μορφή, με τα στοιχεία του να καταγράφονται αυτόματα στο HR και στο σχετικό ηλεκτρονικό αρχείο, ώστε να ειδοποιείται ο εκάστοτε υπεύθυνος για ηλεκτρονική αποδοχή και την προώθηση του αιτήματος στους διαχειριστές και ιδιοκτήτες συστημάτων για να δοθεί πρόσβαση σε πόρους και αρχεία αναλόγως της βαθμίδας και του ρόλου του συνεργάτη ( role based access control). Με την ολοκλήρωση των παραπάνω διεργασιών, μπορεί να ειδοποιείται με την ίδια ροή της αίτησης το λογιστήριο για την καταγραφή των στοιχείων του συνεργάτη. Την ίδια στιγμή ο νέος συνεργάτης καθώς προχωράει όλη η διαδικασία, θα μπορεί να ανακατευθύνεται από την οθόνη του τερματικού του σε μια εσωτερική ιστοσελίδα για να ενημερωθεί για τις πολιτικές ασφαλείας για τις οποίες θα πρέπει να ενημερωθεί και αποδεχθεί. Η όλη διαδικασία σε μετρήσιμο χρόνο δεν ξεπερνάει ουσιαστικά τις λίγες ώρες.
Οι συγκρίσεις των δύο καταστάσεων χειροκίνητη και αυτοματοποιημένη με χρήση συστήματος Identity & Access management μπορούν να δείχνουν στους decision makers ενός οργανισμού πώς ο χρόνος που εξοικονομείται δίνει ένα πολύ μεγάλο ποσοστό επιστροφής της επένδυσης (R.O.I) μέσα σε ελάχιστο χρόνο. Ενέργειες όπως η δημιουργία χρήστη, η παροχή πρόσβασης σε πληροφοριακούς πόρους σε νέους και παλιούς χρήστες, διαδικασίες όπως η αλλαγή κωδικών πρόσβασης, αιτήσεις για διάφορα θέματα που αφορούν την εργασία και άλλες παρόμοιες διαδικασίες συγκεντρώνονται και αυτοματοποιούνται αφαιρώντας τεράστιο όγκο γραφειοκρατίας και ανάγκης αποθήκευσης εγγράφων που οδηγούσαν σε δαπάνες για χώρους αποθήκευσης και διατήρησης. Το πρόσθετο κέρδος σε αυτό είναι φυσικά η αποτύπωση της ροής εργασιών και ο έλεγχος τους για το πώς μπορεί να γίνουν πιο αποδοτικές ως ροές ή ακόμα και αλλαγή τους αν διαπιστωθεί πώς κάποια δεν χρειάζεται λόγω ομοιότητας με άλλη ή έχει εξαντληθεί η χρησιμότητα της.

Η ύπαρξη μιας λύσης Identity & Access Management ως πυλώνας της στρατηγικής συμμόρφωσης ενός οργανισμού με τις απαιτήσεις του νέου Ευρωπαϊκού Κανονισμού περί Ιδιωτικότητας ( GDPR )
Σύμφωνα με τον νέο Γενικό Κανονισμό περί Ιδιωτικότητας (GDPR), ο κάθε οργανισμός υποχρεούται πλέον για κάθε ενέργεια και πράξη που εμπλέκει κάθε είδους επεξεργασία προσωπικών δεδομένων φυσικών προσώπων να μπορεί να αποδείξει μια σειρά ενεργειών πέρα των «4Π». Αφορά την αποτύπωση ενεργειών βάσει των άρθρων του νόμου με αιτιολόγηση, καθώς και η ελαχιστοποίηση διαρροής προσωπικών δεδομένων εντός και εκτός οργανισμού.
Στο παραπάνω παράδειγμα, που αφορά την πρόσληψη νέου συνεργάτη, με τον παλαιότερο τρόπο, τα προσωπικά στοιχεία του συνεργάτη περνούσαν από πολλαπλά χέρια και άτομα εντός οργανισμού και στο τέλος καταχωρούνταν σε κάποιο έγγραφο αποθηκευμένα, συχνά σε ντουλάπια προσβάσιμα από πολλούς που δεν είχαν κανένα λόγο να έχουν πρόσβαση σε αυτά (need to know/ need to access/ need to process). Με την εγκατάσταση μιας λύσης Identity Μanagement μειώνεται το εύρος της διάχυσης προσωπικών δεδομένων, καθώς κάθε τμήμα και άτομο εντός οργανισμού έχει πρόσβαση μόνο σε όσα απαιτείται εκ του ρόλου του, ενώ στο τέλος η αποθήκευση γίνεται ιδανικά σε κρυπτογραφημένη βάση δεδομένων εντός της λύσης. Η εν λόγω λύση, επίσης δίνει μια άριστη ικανότητα να αποδοθεί και βεβαίωση προς την Αρχή Προστασίας Προσωπικών Δεδομένων σε περίπτωση τυχαίου ελέγχου ή καταγγελίας πώς τα προσωπικά δεδομένα φυσικών προσώπων μπορούν να αλλάξουν/διαγραφούν με αυτόματο τρόπο και με αποδεικτικά για κάθε ενέργεια που έγινε, είτε από τον οργανισμό, είτε ακόμα και από τον ίδιο τον κάτοχο των δεδομένων αυτών. Παραδείγματα τέτοιων διαδικασιών είναι η ενημέρωση βιογραφικού, προσωπικών στοιχείων, αλλαγή κωδικών πρόσβασης όσον αφορά τα προσωπικά δεδομένα και άλλα. Πρόσθετα αυτών σε επίπεδο ασφαλείας, ενδεικτικά, θα μπορούσαν να είναι διαδικασίες όπως η καταγραφή ενεργειών για πρόσβαση σε πόρους συστημάτων, εργασίες που χρειάστηκε να γίνουν και αναζητείται συμμετοχή χρηστών ( «4Π» ), ενώ παράλληλα αυτοματοποιείται και αποδεσμεύει και το τμήμα ασφαλείας του οργανισμού (εντός οργανισμού/εξωτερικού σύμβουλοι) από τις σχετικές διαδικασίες.

Επίλογος
Συνολικά, μια λύση Identity & Access Management δίνει μια ολοκληρωμένη λύση στον οργανισμό για αυτές τις ενέργειες, διαδικασίες, απαιτήσεις και καθημερινές ανάγκες που μέχρι τώρα απαιτούσαν δεκάδες εργατοώρες. Λύνει σε μεγάλο βαθμό το θέμα της διερεύνησης περιστατικών ασφαλείας ενώ παράλληλα αποτελεί ένα εργαλείο διαχείρισης δυναμικού και αποδοτικότητας αποδίδοντας σε μικρό χρονικό διάστημα την αρχική επένδυση που έγινε σε αυτό. Η πρόσθετη αξία του έρχεται με την χρήση του ως εργαλείο ελέγχου, όσον αφορά την συμμόρφωση προς το GDPR και φυσικά με την ικανότητα να μειώσει τον όγκο δαπανών σε πάγια έξοδα, ίσως και υποδομές σχετικά με αποθήκευση, προστατεύοντας την ίδια στιγμή τον οργανισμό απέναντι σε συμβάντα ασφαλείας, σε ορισμένες περιπτώσεις, ακόμα και σε υπηρεσίες μέσα από το internet cloud. Μήπως είναι η ώρα λοιπόν να το σκεφτεί σοβαρά ο κάθε οργανισμός, καθώς η αρχική δαπάνη για αυτό ενισχύει πλέον το επιχειρηματικό όφελος σε μικρό βάθος χρόνου σε πολλαπλά επίπεδα;