Opětovné získání kontroly se systémy správy identit
Aktualizoval Tam Harbert
Narůstající množství uživatelských jmen a hesel znepříjemňují život uživatelům, snižují produktivitu a představují riziko pro zabezpečení. Systémy správy identit mohou snížit náklady na správu zabezpečení a splnit další požadavky podniků, jako je dodržení zákonem stanovených předpisů.
Shrnutí:
| • | Začněte postupně a implementujte správu identit do oblastí, kde se určitě vrátí. |
| • | Pečlivě si vyberte svého „strážce dat“. |
| • | Plánujte dopředu, abyste měli jistotu, že váš systém vyhoví budoucím potřebám, jako jsou zákonem stanovené předpisy. |
Rozhlédněte se po kanceláři. Kolik zaměstnanců má svůj seznam uživatelských jmen a hesel uložený v zásuvce stolu nebo ještě hůře přilepený na monitoru? Vaše zjištění vás mohou překvapit a znepokojit.
 | Pokud mohu snížit náklady na odbornou pomoc o 25 procent, budou to snadno obhajitelné výdaje. |  | | Andrew Braunberg
Vedoucí podnikový analytik zabezpečení ve společnosti Current Analysis
| |
|
Nesuďte však zaměstnance příliš ukvapeně. Podle Petera Houstona, hlavního ředitele oddělení identity a přístupu v divizi Server and Tools ve společnosti Microsoft, potřebuje průměrný pracovník 16 různých uživatelských jmen a hesel. Nejen že si vedou seznamy informací o přihlášení, ale mnozí z nich se také pokouší používat stejné jméno a heslo pro všechny svoje aplikace. Současně neustále přísnější bezpečnostní postupy nutí zaměstnance vybírat si hesla, která jsou čím dál hůř zapamatovatelná. „Není realistické očekávat, že si uživatelé zapamatují 16 různých uživatelských jmen a hesel, z nichž každé obsahuje 10 znaků a číslice,“ říká Andy Sakalian, generální ředitel aplikace Version3 Inc., partnera společnosti Microsoft s certifikátem Microsoft Gold Certified Partner ve městě Columbia v Jižní Karolíně.
Malé společnosti mohou tento problém zvládnout. Ale s růstem společnosti může narůstající počet hesel ohrozit vaše zabezpečení a stát vaši společnost spoustu času a peněz. „O problém se začíná jednat v okamžiku, kdy společnost dosáhne velikosti přibližně 400 zaměstnanců,“ říká Steve Derbyshire, provozní ředitel společnosti Telamon Systems Ltd., partnera společnosti Microsoft s certifikátem Microsoft Gold Certified Partner v obci Finchampstead ležící poblíž Wokinghamu ve Velké Británii.
Existuje několik úrovní potíží s hesly. Na základní úrovni bojují lidé s tím, aby si zapamatovali hesla, a dělají tak věci – například si vytváří seznamy – které maří účely hesel. A pokud si nezapamatují hesla pro všechna přihlášení, často žádají o obnovení hesel odbornou pomoc, čímž se zvyšuje počet požadavků, které odborná pomoc obdrží.
Potom existuje problém se sledováním toho, kteří zaměstnanci mají oprávnění pro přístup k aplikacím, což je proces, který se nazývá zřizování. Manažeři oddělení informačních technologií (IT) s touto skutečností neustále bojují, protože do společnosti přichází noví lidé a další odchází nebo se mění jejich role. „Jak se lidé pohybují po organizaci, přibývají jim další bezpečnostní oprávnění. Nikoli ubývají,“ poznamenává Derbyshire. „Pro oddělení IT je těžké vědět, jaká práva má konkrétní osoba a proč nebo zda jsou ještě relevantní.“
V reakci na to mají některé společnosti střední velikosti digitální identity, které zajišťuje nějaký typ automatizovaného systému, což je proces nazvaný správa identit. Společnosti původně nahlížely na správu identit jako na způsob snižování nákladů, ale tato správa má podle pana Houstona mnohem větší možnosti.
„Potřeby dnešních podniků jsou velmi odlišné,“ říká. K jejich prioritám patří dodržování zákonných předpisů (což vyžaduje jasné revizní záznamy), silné zabezpečení systémů IT, ochrana osobních údajů v informacích, vyšší operační výkon a výkonné podnikové procesy.
Součásti správy identit
Typický systém správy identit má čtyři funkce: řízení přístupu, auditování, ověřování a autorizace.
| • | Řízení přístupu zahrnuje přiřazení a údržbu oprávnění, tedy kdo má jaká práva pro přístup k určitým datům. |
| • | Auditování je prostředek pro zjišťování, jak systém správy identit funguje, a dokumentaci činnosti, která v rámci systému probíhá. |
| • | Ověřování označuje prostředky k ověření identity uživatelů. Základní formou ověření jsou hesla. |
| • | Autorizace je proces, který určuje prostředky, ke kterým má uživatel přístup. |
Tento systém obsahuje identity uživatelů (ID), hesla a související přístupová práva v centrálním adresáři (jako je služba Windows Server 2003 Active Directory). Společnost Microsoft tento rok pokračovala ve vytváření možností správy identit vydáním produktu Identity Lifecycle Manager 2007. Toto nové řešení staví na centralizovaném adresáři a možnostech zřizování uživatelů serveru Microsoft Identity Integration Server 2003 a přidává podporu pro správu silných pověření, jako jsou certifikáty a karty SmartCard.
Počáteční návratnost investic do správy identit je obvykle zřejmá a okamžitá: doba a peníze, které tento systém ušetří na provozu odborné pomoci. „Pokud mohu snížit náklady na provoz odborné pomoci o 25 procent, jedná se o velmi snadno obhajitelné výdaje,“ říká Andrew Braunberg, vedoucí analytik zabezpečení podniku v konzultační společnosti Current Analysis. Z dlouhodobého hlediska však systém uspoří dobu a práci oddělení IT při neustálém zřizování uživatelských oprávnění a automatizovaném dodržování standardů určených předpisy a podnikovými pravidly.
Postupujte po krocích
Udělejte si čas a zjistěte, jaká je cena implementace správy identit, zejména zřizování, radí Idan Shoham, vedoucí pracovník technologií ve společnosti M-Tech Information Technology, což je partner společnosti Microsoft s certifikátem Microsoft Gold Certified Partner se sídlem v Calgary v kanadské provincii Alberta. Společnosti střední velikosti mohou mít méně uživatelů, ale často mají stejné aplikace jako velké společnosti, například aplikace CRM a e-mailové servery. To znamená, že implementace může být stejně složitá, jako ve velkém podniku, ale máte méně uživatelů, přes které můžete náklady amortizovat, říká Shoham.
Implementovat jednotný systém správy identit může být pro společnosti střední velikosti opravdu velmi drahé a složité, říká Braunberg. Nejlepší je začít pomalu.
Nejprve zjistěte, co jsou nejdůležitější problémy, a potom jim stanovte priority, říká Shoham. Dobrým způsobem by mohlo být začít správou hesel a správou webového přístupu.
Pamatujte však na to, že dnešní rozhodnutí budou mít vliv na případný úspěch celého projektu. „Je to složitá věc, ale podniky střední velikosti se potřebují na svůj plán správy identit dívat z dlouhodobého hlediska,“ říká Braunberg. Můžete například začít u pouhé správy hesel, ale mohou vyvstat zákonné požadavky, které budou mít dopad na vaši společnost. „Je třeba mít na paměti, že u jakéhokoli řešení, které implementujete nyní, může být nutné, aby vyhovovalo dalším součástem v budoucnu,“ říká.
Pokud systém dobře funguje, přiřaďte odpovědnost za jeho další správu a údržbu. Podle Shohama to nemusí být původní vedoucí pracovník, který založil nebo spustil tento projekt, ale měla by to být kvalifikovaná osoba, která může převzít plnou odpovědnost. „Bez vlastníka tyto systémy vydrží pouze dva až tři roky,“ říká.
Tam Harbert žijící ve Washingtonu, D.C. je novinář na volné noze, který se zabývá technologiemi, podnikáním a veřejnými záležitostmi již 20 let.
