ניהול משתמשים והרשאות - Identity and Access Management

ניהול משתמשים והרשאות IAM IDENTITY AND ACCESS MANAGAGEMENT

ניהול משתמשים והרשאות

ניהול משתמשים והרשאות או ניהול זהויות והרשאות (Identity and Access Management) הינו תחום המתמקד בעיקר בהרשאות משתמש למידע ומשאבים, ולשיטות אימות זהותו המשתמש.

על מנת לאכוף מדיניות כוללת לנושאים אלה, יש צורך לרתום מוצרי תוכנה מתחומים שונים. לשם המחשה, באמצעות כלים שונים ניתן לבצע: מיכון של מתן והסרת הרשאות משתמשים בכל מערכות הארגון, ניטור פעילות משתמשים מול המידע הארגוני, בקרת סיכונים בעת גישת משתמשים למידע, איתור וטיפול בחריגות הרשאות, שמירה על עדכניות המידע האישי והארגוני של המשתמשים וכלים למימוש בקרות מפצות במקומות שבהם לא מתאפשר מיכון מלא.

התחום של ניהול זהויות והרשאות  נמצא תחת המעטפת הרחבה של עולם אבטחת המידע וכולל כמות רבה של מושגים, טכנולוגיות, יצרנים וסטנדרטים המרכיבים את התחום.

לפניכם סקירה והגדרות של מרכיבים אפשריים שונים, כולם קשורים בעולם ניהול הזהויות. ארגון המבקש ליישם מערכת ניהול זהויות, יזדקק למימוש אחד או יותר מהמרכיבים הבאים:

הרשאות לקבצים DAG data access management

נתונים סטטיסטיים מראים כי לכ- 57% מהעובדים שהפסיקו לעבוד בארגון עדיין קיימת גישה לאפליקציות הארגוניות, וכ-81%   מהפריצות למערכות ה- IT בארגונים נובעות מסיסמאות חלשות או סיסמאות שנגנבו. על פי סקר אינטרנטי מ-2018 כמעט 60 מיליון אמריקאים הושפעו מגניבת זהויות. נתון אורך הזמן הממוצע שלוקח לחברה לזהות פרצת אבטחה הוא 196 ימים.

אלו הן רק דוגמאות אחדות לאינספור כשלים ופרצות אבטחת מידע מוכרים, שקיומם ממחיש את היתכנותן של טעויות אנוש, מעשי מרמה ויצירת תלות בפונקציה עיקרית או שליטת גורם יחיד על תהליך אירגוני שלם. כיום, האתגרים הללו הם נחלתם של כל החברות והארגונים המנהלים את עסקיהם באופן ממוחשב, ובמענה לאתגרים אלה, נחקרו, הומצאו ופותחו שלל פתרונות  המשויכים לתחום ניהול זהויות והרשאות.  

מהדוגמאות והנתונים לעיל, קל להבין כי לניהול זהויות יש מטרה עיקרית שההגדרה שלה היא פשוטה – להבטיח שרק לאנשים המתאימים, תהיה גישה מתאימה, בזמן המתאים, לכלל המשאבים הטכנולוגיים שנדרשים עבור מילוי תפקידם (וכן, רצוי שזה יבוצע תוך כדי הזדהות אחידה (SSO) וחוויית שירות מיטבית ויעילה).

בפועל, ניהול משתמשים והרשאות הוא מהלך רב-שכבתי, שמבוצע על ידי מיפוי ויישום של כל מערך ההרשאות והתפקידים בארגון, והגבלת הגישה לבעלי התפקידים הזקוקים לכך בלבד, תוך כדי עמידה בעקרונות מידור והפרדת תפקידים למניעת ניצול לרעה של הרשאות. השאיפה היא שעבור כל משתמש, בין אם זה עובד/ת (Employee identity management), לקוח/ה (Customer identity management), או "דבר" (Identity of Things), תהיה זהות דיגיטלית יחידה, שמרגע יצירתה, הזהות חייבת להיות מנוהלת, מתוחזקת, ומנוטרת לכל אורך מחזור חיי הגישה (Access lifecycle) למשאבי הארגון.

חשוב מאוד לציין כי ניהול זהויות והרשאות אינו מיושם רק לצורכי ניהול סיסמאות והרשאות למערכות ואפליקציות אירגוניות, אלא מיושם גם אל מול מאגרי מידע, בסיסי נתונים, קבצים ורשתות, בכל מרחביו הדיגיטליים של הארגון, אם זה מחשוב בענן או בשרתים הפיזיים הממוקמים בארגון.

ניהול משתמשים והרשאות: מהלכה למעשה

בשנים האחרונות, הפתרונות לניהול זהויות ובקרת גישה הפכו ליותר קריטיים ונפוצים, לאור עליות חדות בהיקפי השימוש במידע, ואיתן – עליות חדות מאד בהיקף החשיפות והפריצות בפועל. רגולציות שונות תורמות לכך שיותר ארגונים מפנים משאבים לפרויקטים של אבטחת מידע וניהול זהויות בפרט.  דוגמאות לרגולציות נפוצות הן:  SOX – לחברות ציבוריות, HIPPA –  לארגוני בריאות, חוקי הגנת פרטיות, רפורמת GDPR האירופית ואחרות. בסופו של דבר – כולן נוגעות גם בנושאים של הרשאות משתמשים ויישום בקרות נאותות על גישת משתמשים למידע.

תחום ניהול הזהויות נמצא בתהליך של שינוי והתגבשות. בעבר היתה התמקדות רק במיכון השנויים להרשאות משתמשים (בעיקר להשגת התייעלות תפעולית), כיום המניעים המרכזיים לפרויקטים הינם שמירה על מדיניות נאותה בתחום הרשאות גישה למידע. אמנם – הזמינות הטובה של כלים מתאימים מאפשרת לארגונים רבים יותר להינות מהתייעלות תפעולית ומניעת חשיפות אבטחת מידע, אך דווקא בגלל התרבות שטחי הפעולה והחשיפה והבדלי המיקוד של הכלים השונים, חשוב התכנון המקדים תוך ראיה תמונה שלמה באמת, ובחירת כלים נכונים וסדר פעולות נכון ואפקטיבי.

פרולינק ניהול זהויות בע"מ מציעה לארגונים את הידע והניסיון הנרחבים ביותר לכל תחומי ניהול הזהויות ובקרת ההרשאות הארגונית. כחברה ותיקה הממוקדת אך ורק בתחום ניהול זהויות ובקרת הרשאות, ייחודנו הוא ביכולת הגדרת העיקר באתגר הזהויות הארגוני, ומתוך כך – בנית וביצוע תכנית אפקטיבית וריאלית לפרויקט רלוונטי ומשמעותי.

לפרולינק ניסיון רב בהבנת ושיפור תהליכים ארגוניים, תוך מיפוי יעיל לרכיבי טכנולוגיה רלוונטית. לקוחותינו מעידים כי אנו פועלים תמיד להשגת שיפורים מהותיים ללקוח, הן במישור אבטחת מידע, והן במישור התפעולי של הרשאות משתמשים.