Μερικά χρόνια πριν, το 2009, είχαμε προσεγγίσει το ίδιο θέμα, ακολουθώντας την τότε τάση σύμφωνα με την οποία μιλούσαμε για identity & access management (IAM) αλλά δίχως να υπάρχουν και τόσες υλοποιήσεις και μάλιστα επιτυχημένες.

Σήμερα, βρισκόμαστε σε μια πιο ώριμη εποχή και ταυτόχρονα σε μια εποχή στην οποία οι σπάταλες δεν ενδείκνυνται. Η αναγκαιότητα είναι ακόμα μεγαλύτερη εάν συλλογιστούμε τις απαιτήσεις για ανοικτά εταιρικά δίκτυα και συνεχή ανταλλαγή δεδομένων μεταξύ εταιριών/οργανισμών που συνεργάζονται σε παγκόσμιο επίπεδο.

Στο χώρο του IAM υπάρχουν αλλαγές όσον αφορά στο τεχνικό μέρος. Μόνο οι προμηθευτές που προσφέρουν ολοκληρωμένες λύσεις οι οποίες έχουν τη δυνατότητα ολοκλήρωσης με τα περισσότερα λειτουργικά συστήματα και εφαρμογές, αλλά και επικοινωνίας με τις περισσότερες τεχνολογίες διαχείρισης χρηστών βρίσκονται στο επίκεντρο. Αυτοματοποίηση στη ανακάλυψη και επιβολή των ρόλων, διεπαφές επικοινωνίας με συστήματα και εφαρμογές είναι τα σημεία που κάνουν κάποιες τεχνολογικές λύσεις να ξεχωρίζουν από κάποιες άλλες.

Κάτι ακόμα που φαίνεται να έχει αλλάξει είναι και ο ορισμός αυτού που μέχρι τώρα ονομάζαμε διαχείριση ψηφιακών πιστοποιητικών και πρόσβασης (Identity & Access Management). Εδώ και μερικά χρόνια έχει αντικατασταθεί από τον ορισμό Διακυβέρνηση και Διαχείριση Ψηφιακών Πιστοποιητικών Πρόσβασης (Identity Governance & Administration).

Τα συστήματα Διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης, διαχειρίζονται την όλη διαδικασία που αφορά στο κύκλο ζωής των ψηφιακών πιστοποιητικών πρόσβασης και της πρόσβαση σε πολλαπλά συστήματα.

Η βασική λειτουργικότητα των εν λόγω συστημάτων περιλαμβάνει αυτοματοποιημένη δημιουργία λογαριασμών πρόσβασης χρηστών μεταξύ ετερογενών συστημάτων, την ικανοποίηση των αιτημάτων πρόσβασης (συμπεριλαμβανομένης και της υπηρεσίας self-service), διαχείριση των κωδικών πρόσβασης, τη διακυβέρνησης όσον αφορά την πρόσβαση των χρηστών μέσω αυτοματοποιημένων ροών εργασίας και πολιτικών, καθώς και τις διαδικασίες πιστοποίησης πρόσβασης. Στις πρόσθετες δυνατότητες συχνά περιλαμβάνονται η δυνατότητα αξιολόγησης του κινδύνου σε σχέση με τα δικαιώματα πρόσβασης ενός χρήστη, ο διαχωρισμός των καθηκόντων (segregation of duties), η επιβολή και διαχείριση ρόλων πρόσβασης.

Η επιχειρηματική αξία
Η έννοια της ψηφιακής ταυτότητας μπορεί να επεκταθεί πέρα από τους χρήστες του εκάστοτε Οργανισμού και να περιλαμβάνει προμηθευτές, πελάτες, οποιαδήποτε τεχνολογία η οποία εμπεριέχει την έννοια της ψηφιακής οντότητας, ακόμα και ηλεκτρονικές κάρτες φυσικής πρόσβασης.

Η βελτίωση του τρόπου διαχείρισης της πρόσβασης στους επιχειρηματικούς πόρους, και η διαχείριση του κύκλου ζωής μιας ψηφιακής ταυτότητας μπορεί να προσφέρει σημαντικά οφέλη, όπως:

  • Μείωση του συνολικού κόστος ιδιοκτησίας των εν λόγω λύσεων, μέσω της μεγιστοποίησης της αποτελεσματικότητας της διαδικασίες πιστοποίησης ταυτότητας.
  • Βελτίωση του επιπέδου ασφάλειας μέσω της μείωσης των κινδύνων από εσωτερικές και εξωτερικές επιθέσεις.
  • Μεγαλύτερη πρόσβαση σε πληροφορίες από συνεργάτες, εταιρικούς χρήστες και πελάτες, συμμετέχοντας έτσι στην αύξηση της παραγωγικότητας.
  • Μεγαλύτερο επίπεδο κανονιστικής συμμόρφωσης μέσω της εφαρμογής ενιαίας πολιτικής ελέγχου πρόσβασης.
  • Μεγαλύτερη επιχειρηματική ευελιξία στο πλαίσιο, συγχωνεύσεων και εξαγορών.

Η Τεχνολογία
Η υλοποίηση μιας υποδομής με συστήματα διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης, ανεξάρτητα από τη τεχνολογική υποδομή η οποία θα επιλεγεί, είναι σημαντικό να καλύπτει τις παρακάτω κύριες απαιτήσεις υλοποίησης.

Μείωση του κόστους λειτουργίας & διαχείρισης όσον αφορά στη διαχείριση των ψηφιακών ταυτοτήτων, διαθέτοντας τα ακόλουθα:

  • Αυτοματοποιημένο τρόπο δημιουργίας, τροποποίησης & διαγραφής λογαριασμών πρόσβασης χρηστών.
  • Κεντρική διαχείριση προσβάσεων χρηστών σε διαφορετικά και ετερογενή συστήματα, καθώς και δυνατότητα διασύνδεσης με τις περισσότερες εμπορικά διαθέσιμες εφαρμογές και λειτουργικά συστήματα.
  • Χρήση τεχνολογίας workflow με σκοπό την αυτοματοποίηση της διεργασίας παροχής, τροποποίησης και ακύρωσης πρόσβασης χρηστών, που αφορά στο σύνολο των προσβάσεων που απαιτούνται στα πλαίσια του εργασιακού ρόλου του χρήστη.
  • Λειτουργία του μηχανισμού παροχής, τροποποίησης και ακύρωσης πρόσβασης χρηστών βάσει προκαθορισμένων ρόλων πρόσβασης.
  • Ολοκλήρωση με το σύστημα ηλεκτρονικού ταχυδρομείου προκειμένου να ειδοποιεί για εκκρεμότητες ή να προωθεί τις εγκρίσεις των προσβάσεων.
  • Διαχείριση ρόλων πρόσβασης. Ολοκληρωμένο σύστημα διαχείρισης ρόλων το οποίο αρχικά βοηθά στη ανακάλυψη των κοινών προφίλ πρόσβασης και στη συνέχεια στη δημιουργία και διαχείριση των ρόλων πρόσβασης. Η συγκεκριμένη δυνατότητα πρέπει να διαθέτει και αυτοματοποιημένες ροές διεργασιών για διαδικασίες όπως ο έλεγχος των προσβάσεων που συμπεριλαμβάνονται σε κάθε ρόλο καθώς και η έγκριση αυτών. Επίσης, πρέπει να παρέχει τη δυνατότητα καταγραφής των τροποποιήσεων στις οποίες υπόκειται ο κάθε ρόλος. To υποσύστημα διαχείρισης των ρόλων επικοινωνεί αμφίδρομα με το υποσύστημα διαχείρισης χρηστών για να αντλεί την απαραίτητη πληροφορία, αλλά και να επιβάλει τους ρόλους.

Εναρμόνιση με νομικές & θεσμικές απαιτήσεις, παρέχοντας τα ακόλουθα:

  • Μηχανισμό παρακολούθησης & καταγραφής της διεργασίας διαχείρισης των χρηστών, η οποία διενεργείτε με βάση την εκάστοτε υφιστάμενη οργανωτική δομή.
  • Μηχανισμό καταγραφής και ελέγχου των δραστηριοτήτων που φορούν στη διαχείριση των χρηστών, τις διαδικασίες έγκρισης και την απόδοση των δικαιωμάτων πρόσβασης σε κάθε σύστημα.
  • Παρέχει και βοηθάει στο να διατηρηθεί ένα υψηλό επίπεδο επιχειρησιακής αποτελεσματικότητας και ασφάλειας.

Κεντρική διαχείριση της διεργασίας διαχείρισης προσβάσεων, αλλά και της απόδοσης των προσβάσεων:

  • Τόσο η διαχείριση όσο και η απόδοση των προσβάσεων των χρηστών, διενεργείται από κεντρικό σημείο και μέσω εφαρμογής διαχείρισης. Το ηλεκτρονικό ταχυδρομείο λειτουργεί βοηθητικά.
  • Η διαχείριση γίνεται με τον ίδιο τρόπο και από την ίδια εφαρμογή διαχείρισης για όλα τα συστήματα / εφαρμογές.
  • Υπάρχει δυνατότητα για αποτύπωση των προσβάσεων σε συστήματα / εφαρμογές για τα οποία δεν υπάρχει τεχνική δυνατότητα διασύνδεσης τους με το σύστημα identity management (virtual systems representation).

Αυτοματοποίηση της ροής των διεργασιών που άφορους στη διαχείριση πρόσβασης (workflow processes), η οποία έχει τα παρακάτω χαρακτηριστικά:

  • Οι διεργασίες έγκρισης για κάθε χρήστη, αλλά και όλες οι μετέπειτα τροποποιήσεις αυτών, πρέπει να διεκπεραιώνονται μέσω ενός αυτοματοποιημένου συστήματος ροής εργασιών, το οποίο θα καταγράφει όλες τις εγκρίσεις και μεταβολές.
  • Το σύστημα αυτοματοποίησης της ροής των διεργασιών πρέπει να αποτυπώνει την οργανωτική δομή του κάθε Οργανισμού και τις ισχύουσες διαδικασίες πρόσβασης και έγκρισης αυτών.
  • Δυνατότητα υλοποίησης υποδομής για federated identity, δηλαδή υλοποιείται υποδομή η οποία επιτρέπει στους χρήστες ενός Οργανισμού να χρησιμοποιούν το ίδιο όνομα χρήστη & κωδικό πρόσβασης ή άλλο αναγνωριστικό για να αποκτήσουν πρόσβαση σε συστήματα ή / και υπηρεσίες ενός ή και περισσότερων διαφορετικών Οργανισμών. Το συγκεκριμένο μοντέλο λειτουργεί μόνο μεταξύ συνεργαζόμενων Οργανισμών οι οποίοι εγγυούνται και αποδέχονται ο ένας για τους χρήστες του άλλου.

Συμμόρφωση με πρότυπα ασφάλειας πληροφοριών, παρέχοντας τη δυνατότητα για τα παρακάτω:

  • Συμμόρφωση με τις επιταγές της εκάστοτε Πολιτικής Ασφάλειας που σημαίνει δυνατότητα υλοποίησης και επιβολής της Πολιτικής Ασφάλειας του Οργανισμού.
  • Ελεγχόμενη πρόσβαση σε συστήματα και εφαρμογές με δυνατότητες καταγραφής και ελέγχου των προσβάσεων κάθε χρήστη.

Τρόπος αποτελεσματικής υλοποίησης
Η αποτελεσματική υλοποίηση μιας υποδομής Διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης, εξαρτάται από παράγοντες οι οποίοι δεν αφορούν στη τεχνολογία.

Πρώτο σημείο στο οποίο χρειάζεται έμφαση είναι η συμμετοχή στην υλοποίηση του κατάλληλου προσωπικού. Η παρουσία των παρακάτω κρίνεται απαραίτητη:

  • Το τμήμα Διαχείρισης προσωπικού που διαχειρίζεται το προσωπικό και τις μετακινήσεις αυτού στις οργανωτικές μονάδες της εταιρίας
  • Αντιπρόσωποι του τμήματος help desk του Οργανισμού εάν υπάρχει ή αν δεν υπάρχει, αντιπρόσωποι των μηχανικών που εμπλέκονται στη διαδικασία διεκπεραίωσης των προσβάσεων
  • Ανώτερα διοικητικά στελέχη που εγκρίνουν προσβάσεις και ρόλους για τους συνεργάτες τους
  • Μηχανικοί και διαχειριστές εφαρμογών οι οποίοι υλοποιούν τις προσβάσεις των χρηστών

Επόμενο σημαντικό σημείο, ίσως το σημαντικότερο όλων, είναι η διαμόρφωση των ρόλων πρόσβασης βάση των οποίων θα αποδίδονται οι προσβάσεις στους χρήστες. Ο ρόλος πρόσβασης αποτελείται από συγκεκριμένα προνόμια πρόσβασης σε κάθε πληροφοριακό πόρο ο οποίος είναι απαραίτητος για τη διεκπεραίωση της εργασίας των τελικών χρηστών. Η σωστή διαμόρφωση των ρόλων πρόσβασης είναι ο κρισιμότερος παράγοντας επιτυχίας μιας υποδομής identity management. Η συγκεκριμένη διεργασία είναι καλό να ξεκινά πρώτη κατά την υλοποίησης ενός έργου identity management ή ιδανικά να προϋπάρχει της υλοποίησης της υποδομής identity management.

Ένα επίσης σημείο στο οποίο χρειάζεται προσοχή είναι η αποτύπωση των διαδικασιών διαχείρισης των απαιτήσεων πρόσβασης των χρηστών. Ποιος αιτείται τη πρόσβαση, ποιος την εγκρίνει και ποια η ροή που πρέπει να ακολουθηθεί. Σαν πρώτο βήμα βοηθά η αποτύπωση της υφιστάμενης διαδικασίας πρόσβασης, έτσι ώστε να αυτοματοποιηθεί και στη πορεία να γίνουν οι αλλαγές οι οποίες θα την κάνουν περισσότερο άμεση και γρήγορη αφού θα συμμετέχουν σε αυτή μόνο όσοι χρειάζονται. Το συνηθισμένο λάθος είναι προσθήκη περισσότερων βημάτων έγκρισης, με αποτέλεσμα η διαδικασία παρόλο αυτοματοποιημένη να αποτελείται από πολλά βήματα και να απαιτεί την εμπλοκή πολλών εργασιακών ρόλων. Το κόστος υλοποίησης μεγαλώνει καθώς πολλές από τις τροποποιήσεις που ζητούνται απαιτούν τη συγγραφή προγραμματιστικού κώδικα για να υλοποιηθούν.

Οι συνηθισμένοι ανασταλτικοί παράγοντες υλοποίησης μιας υποδομής identity management είναι οι ακόλουθοι:

  • Υψηλό κόστος λογισμικού και υπηρεσιών υλοποίησης
  • Δεν υπάρχουν καθορισμένοι εργασιακοί ρόλοι και κατ’ επέκταση ρόλοι πρόσβασης
  • Αρκετά μεγάλο ποσοστό του χρόνου υλοποίησης χρησιμοποιείται για την επανασχεδίαση και έγκριση των διαδικασιών διαχείρισης πρόσβασης και για το καθορισμό των ρόλων πρόσβασης
  • Δεν υπάρχει η κατάλληλη υποστήριξη από τη Διοίκηση

Γενικότερα και σύμφωνα με την Gartner, τα έργα υλοποίησης υποδομών Διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης, παρουσιάζουν από τα μεγαλύτερα ποσοστά ανεπιτυχούς υλοποίησης.

Μεθοδολογία Διαχείρισης Έργου
Μια αποτελεσματική μέθοδος για την υλοποίηση έργων Διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης, είναι η εξής
Προσδιορισμός λειτουργικών απαιτήσεων

  • Ορισμών ρόλων χρηστών
  • Ορισμός ροών παροχής, τροποποίησης και διακοπής προσβάσεων
  • Απαιτήσεις ελέγχου και πληροφόρησης (reporting)

Αρχιτεκτονικός σχεδιασμός

  • Ορισμός και τεκμηρίωση του αρχιτεκτονικού σχεδιασμού

Εγκατάσταση & διαμόρφωση λύσης

  • Εγκατάσταση και αρχική διαμόρφωση λογισμικού
  • Διασυνδέσεις με εταιρικά συστήματα και εφαρμογές, Ρόλοι & Πολιτικές πρόσβασης
  • Διαμόρφωση αυτοματοποιημένων ροών
  • Αναφοράς και ελέγχου διαμόρφωσης
  • Λειτουργικές δοκιμές

Μεταφορά Τεχνογνωσίας

  • Εργασίες διαχείρισης
  • Αναφορά στη διαδικασία διαμόρφωσης
  • Αναφορά στη διαδικασίας ανάκτησης

Λύση Ανάπτυξη

  • Τελικές λειτουργικές δοκιμές (σενάρια δοκιμών)
  • Τεκμηρίωση αποτελεσμάτων δοκιμών

Ολοκλήρου έργου

  • Ενημέρωση του τελικού αρχιτεκτονικού σχεδιασμού
  • Τεκμηρίωση λύσης

Loging off
Η υλοποίηση υποδομών διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης δεν μπορεί να θεωρηθεί πολυτέλεια για Οργανισμούς οι οποίοι έχουν σημαντικό αριθμό χρηστών και ταυτόχρονα διαχειρίζονται κρίσιμα δεδομένα.

Τέτοιου είδους Οργανισμοί οφείλουν να εναρμονίζονται με κανονιστικές ρυθμίσεις και η χρήση υποδομών Διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης, βοηθάει σε αυτό. Εάν στα παραπάνω προσθέσουμε και το ανοικτό σύγχρονο περιβάλλον όπου η περίμετρος δεν οριοθετείτε αυστηρά πλέον αλλά βρίσκεται εκεί που βρίσκετε ο κάθε συνεργάτης ή ο κάθε απομεμακρυσμένος χρήστης του Οργανισμού, τότε το ερώτημα δεν είναι εάν η υποδομή IGA είναι απαραίτητη αλλά εάν είναι έτοιμος ο Οργανισμός να βοηθηθεί από μια τέτοια λύση. Εάν δηλαδή έχει γίνει η κατάλληλη προεργασία ή εάν είναι διατεθειμένος ο Οργανισμός να λειτουργήσει στα πλαίσια κανόνων συγκεκριμένων πρόσβασης. Μέχρι το 2018, περισσότερο από το 50% των οργανισμών θα έχουν αυτοματοποιήσει τη διεργασία έγκρισης των προσβάσεων των χρηστών τους, ενώ στο 40% αυτών, οι λύσεις Διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης, θα παρέχουν προ-διαμορφωμένες αυτοματοποιημένες διεργασίες πρόσβασης, προκειμένου να διευκολύνεται η χρήση των συστημάτων Διακυβέρνησης και διαχείρισης ψηφιακών πιστοποιητικών πρόσβασης σε μικρές και μεσαίες επιχειρήσεις. Σήμερα η διείσδυση εκεί είναι κάτι λιγότερο από 10%.

Του Νότη Ηλιόπουλου

Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com