כ.א.ל – כרטיסי אשראי לישראל

כ.א.ל - כרטיסי אשראי לישראל - סיפור הצלחה

פרויקט בקרת הרשאות

כ.א.ל – כרטיסי אשראי לישראל בע"מ, היא חברה הפועלת בשוק כרטיסי האשראי בישראל בשני תחומי פעילות: הנפקת כרטיסי חיוב, בייחוד כרטיסי אשראי, וסליקת עסקאות בכרטיסי אשראי. החברה נמצאת בבעלות משותפת של בנק דיסקונט והבנק הבינלאומי. במטה החברה, השוכן בגבעתיים, ובמשרדים נוספים שלה מועסקים כ-1,500 עובדים.

מערכת RSA Identity Governance and Lifecycle – IGL שהטמיעה פרולינק, מאפשרת לכ.א.ל לבצע אוטומציה של תהליכי בקרת הרשאות, למזער טעויות אנוש, ולחסוך בעלויות הבקרה.

כ.א.ל, הנדרשת לעמוד ברגולציה המחמירה של עולם הבנקאות הישראלי, השלימה פרויקט באמצעות חברת פרולינק, לאוטומציה של תהליך בקרת ההרשאות בארגון. מערכת התוכנה מבית RSA מספקת לתחום אבטחת המידע תמונה מקיפה, מפורטת ומדוייקת של הרשאות המשתמשים בארגון.

הרגולציה בישראל ובעולם דורשת אימות של הרשאות שניתנו לעובדים בארגון, כדי להבטיח כי לכל עובד ניתנת גישה אך ורק למשאבים הדרושים לעבודתו.

באמצעות המערכת מתאפשר לכ.א.ל ביצוע בפועל ומעקב אחר תהליך אשרור הרשאות תקופתי באופן שממזער טעויות אנוש וחוסך מהותית בזמן ובמשאבים המושקעים בתהליך שנדרש בארגון באופן שוטף.

“אנו עומדים בביקורות כל הזמן. החל מהפיקוח הראשי של הבנקים בישראל, ועד ויזה הבינלאומית. אין רבעון בו אנו לא נדרשים לטפל בביקורות, וכמעט בכל ביקורת נבדק נושא ההרשאות”, אומר יאיר רובין, מנהל אבטחת המידע בכ.א.ל. “הצורך במערכת בקרת ההרשאות של RSA עלה כתוצאה מהדרישה של ביקורות רגולציה להציג כיצד אנו מוודאים שההרשאות הקיימות בפועל אכן תואמות להרשאות שניתנו לעובדים”.

תמונת הרשאות אמיתית וברורה במערכות

למשתמשים העסקיים (מנהלים שונים בארגון) המערכת מציגה בצורה מובנת את ההרשאות שניתנו לעובדים הכפופים להם. המנהלים נדרשים לסמן ‘אשר’ או ‘דחה’ עבור כל הרשאה. זאת, בניגוד למצב הקודם בו מנהלים נדרשו לאשרר הרשאות מקודדות בשפה טכנית אותה לא הבינו. במידה ומנהל מורה על הסרת הרשאה לא נחוצה, מערכת IGL גם עוקבת ומוודאת שהסרת ההרשאה אכן מבוצעת כנדרש. מחלקת אבטחת המידע יכולה לבצע מעקב אחר התהליך כולו, ולוודא כי כל המנהלים בצעו את האשרור לעובדים.

“מערכת IGL מאחדת את אלפי סוגי ההרשאות הקיימות בארגון, ומציגה אותן למנהלים בעברית קלה להבנה”, אומר עופר גיגי, מנכ”ל פרולינק. “לצורך עמידה בביקורת פנימית או חיצונית, המערכת מאפשרת להציג במהירות את ההרשאות השונות על פי פילוחים שונים כגון לפי מערכת או תפקידים. עבור כל נתון ניתן לבצע Drill Down כדי לזהות את מקור ההרשאה”.

“בחרנו במערכת RSA Identity Governance and Lifecycle מתוך מספר מוצרים שנבחנו, אחרי שהתרשמנו מיישומים של המערכת בארגונים פיננסיים גדולים בשוק. מדובר במוצר עם יכולות מוכחות”, מספר רובין על הבחירה. “רצינו את הפתרון בעיקר כדי שנוכל להפעיל תהליך ארגוני אפקטיבי של אשרור ההרשאות. המערכת מאפשרת לנהל קמפיין המציג למנהלים בצורה נוחה אילו הרשאות יש לעובדים.

מערכת IGL עובדת בנפרד מה- IDM, וישירות מול המערכות השונות. לפיכך היא מאפשרת לזהות מהן ההרשאות שניתנו בפועל במערכות עצמן, ולקבל בכך תמונה אמיתית – ההכרחית כדי לשמור על הגנה מלאה על המידע וכדי לעמוד ברגולציה.

בנוסף, המערכת מספקת מנוע חוקים לאיתור חריגות הרשאה באופן אוטומטי, ומחולל דו”חות גמיש בעזרתו יכול צוות אבטחת המידע לספק במהירות פירוט הרשאות בכל חתך, ולבצע Drill Down להצגת מקור ההרשאה של עובד מסוים.

ההטמעה

פרויקט בקרת ההרשאות החל בספטמבר 2011 ונמשך 5 חודשים. את הפרויקט הובילה פרולינק בשיתוף מחלקת אבטחת המידע של כ.א.ל. חלק מרכזי בתהליך ההטמעה הוא לימוד עולם ההרשאות במערכות השונות, כולל רזולוציה פרטנית כמו “קוד X משמעותו זיכוי לקוח בסכום מסוים”.

הפרויקט כיסה מערכות חלונות, VMS, ERP, סיבל CRM ועוד מספר מערכות ליבה”, מסביר רובין. “פרולינק ביצעה עבודה יסודית ומסודרת. הם נכנסו לעומק, למדו וכתבו מסמכי אפיון בצורה מרשימה, והם עובדים עם תיעוד מלא. במישור הטכני, פרולינק הפגינה יצירתיות ומקצועיות בכל הקשור לממשקים עם מערכות מיוחדות, ובזמן קצר”.

בהמשך מתכננים באבטחת המידע של כ.א.ל להרחיב את השימוש במערכת לכסוי מערכות נוספות בארגון, ואף לנצל את המערכת לביצוע פרויקט מיפוי תפקידים, ולאפשר הרחבה של ניהול הרשאות מבוסס תפקידים (RBAC) בעזרת היכולת המובנית במוצר לביצוע Role Engineering .

לדברי עופר גיגי, מנכ”ל פרולינק: “תחום בקרת ההרשאות (מוכר גם כ- Access Governance או Access Certification) הופך בהדרגה לחלק בלתי נפרד מתחום אבטחת המידע בארגונים גדולים, בעיקר כאלה הנתונים לרגולציות. בעוד בארגונים רבים דואגים בעיקר למתן הרשאות למשתמשים חדשים והסרתן בעת סיום העבודה (תהליכי IDM/ניהול זהויות “מסורתיים”), גישת ה- Access Governance מאפשרת עליית מדרגה אמיתית ביכולת הבקרה והאכיפה של הרשאות – גם על מערכות שאינן מטופלות בתשתית IDM, תוך שילוב נכון של הגורמים העסקיים בארגון – שהם אלה הנדרשים לאחריות כלפי הרגולציה”.

קישורים חיצוניים לידיעה ב: אתר אנשים ומחשבים, אתר ספונסר, אתר ידעטק, באתר טלנירי.

טכנולוגיות שיושמו בפרויקט

פרולינק ביצעה עבודה יסודית ומסודרת. הם נכנסו לעומק, למדו וכתבו מסמכי אפיון בצורה מרשימה, והם עובדים עם תיעוד מלא. במישור הטכני, פרולינק הפגינה יצירתיות ומקצועיות בכל הקשור לממשקים עם מערכות מיוחדות, ובזמן קצר.

יאיר רובין
מנהל אבטחת מידע, כ.א.ל