ניהול זהויות הוא אחד הנושאים החשובים ביותר בתחום אבטחת המידע של היום. עם השנים תחום זה השתנה והתקדם בצורה ניכרת עם התפתחות הטכנולוגיות בארגון המודרני ובמטרה לענות על צרכי האבטחה החדשים. אם בעבר התחום היה ידוע כ- Identity Management, שמו הנוכחי, Identity Governance and Administration, או בקיצור – IGA, מעיד על מורכבות הנושא והדרישות שהוא מעמיד לאבטחת המידע בארגונים בימינו.

כאשר תחום ניהול הזהויות החל את דרכו בעולם הארגונים, הוא היה מוכר בעיקר דרך המושג (Identity Management (IDM שהתייחס בעיקר לאוטומציה של ניהול הרשאות משתמשים במערכות הארגוניות השונות. לדוגמא, כאשר עובד חדש נקלט בחברה, ניתנו לו באופן אוטומטי הרשאות במערכות האירגוניות הנדרשות לו ואשר רלוונטיות ספציפית לתחום העיסוק שלו בחברה. תהליך מהיר זה של מתן הרשאות גישה הגיע בעיקרו מהרצון לייעל ולמכן את הטיפול בהקצאה ובהסרה של ההרשאות לעובדים, כחלק מהתהליך הארגוני של קליטת עובד, כמו גם של תהליכים אחרים במחזור החיים של העובד – כגון עזיבה, ניוד בתוך הארגון ויציאה לחופשה. לכל תהליך כזה יש ביטוי בעולם ההרשאות, במובן של "הסר לעובד הרשאות שהוא כבר לא צריך ותן לו את מה שהוא כן", והכל מנקודת מבט של אוטומציה.

השפעות הרגולציה על ניהול זהויות – מאוטומציה תפעולית לאבטחת מידע

לאחר כעשור, לאור עליות חדות בהיקפי השימוש במידע, ואיתן – עליות חדות מאד בהיקף החשיפות והפריצות בפועל, נהיה ברור שהצורך הרגולטורי בניהול הזהויות ובקרת ההרשאות מקבל יותר ויותר נפח וחשיבות. תחילה, בעיקר בקרב ארגונים פיננסיים שנענו לחקיקות בתחום (כדוגמת SOX), יותר ויותר ארגונים החלו לפנות משאבים לפרויקטים של אבטחת מידע וניהול זהויות בפרט. והפעם, כבר היה מדובר על הצורך לדעת מהי תמונת ההשראות בדגש על מידע מיידי לגבי הרשאות הגישה שיש לכל עובד, בכל רגע נתון. השפעת הרגולציה אילצה ארגונים לעשות בדק בית וסדר בכל רמות הארגון ולבצע מיפוי מלא של הרשאות הגישה, בין אם מדובר בהרשאות שניתנו על ידי מערכת IDM קיימת ובין אם מדובר בהרשאות שניתנו על ידי מערכות אחרות, ושאינן מכוסות על ידי ה-IDM הארגוני.

השינוי מהתעסקות רק במיכון של הדברים, לראייה כוללת של תמונת ההרשאות ברגע נתון היה משמעותי. נולד הצורך להגדיר ולדעת עבור כל האנשים שיש להם הרשאות באיזשהו מקום בארגון (בין אם מדובר בעובד פנימי, ספק חיצוני, וכו')האם פרופיל ההרשאות שלהם חופף לחוקים האירגוניים? האם ההרשאה שניתנה לעובד או לספק חיצוני מתאימה לכללי הארגון? לדוגמא, האם במערכת הפיננסית יש גישה רק לעובדים שקשורים לפיננסים? האם יש אנשים שמתעסקים בפיתוח ויש להם בכלל גישה למערכות בפרודקשן (סביבת הייצור)? 

המושג Governance, או "בקרת הרשאות" בעברית, זו בדיוק היכולת להסתכל אילו הרשאות יש עכשיו, ולתקף את זה מול הכללים האירגוניים. בקרה חשובה זו מבוצעת באמצעות מגוון מנגנונים כדוגמת, סקירת הרשאות תקופתית ((Entitlement Review ומנגנון אכיפת חוקי הפרדת הרשאות (SoD), כאשר המטרה היא לתקף את ההרשאות של העובדים באופן יזום, כל חצי שנה, שנה, או בכל עת שנדרש.

טכנולוגיות לניהול זהויות ובקרת הרשאות ושילובן בארגון

אז, בהימצא מנגנון שיודע מהם כללי הארגון, ויודע למצוא את הפערים בין החוקה האירגונית לעולם ההרשאות, מן הראוי היה שהמנגנון ידע גם לתקן את המצב, במידה ואכן נדרש תיקון. מערכות מהסוג הזה לא רק מרימות דגל אלא גם מניעות תהליך של תיקוף נכונות ההרשאות, שלאחריו, במקרה הצורך, מבוצע שינוי במערכות האירגוניות שבהן נותנים או מסירים את ההרשאה בפועל. וזו הנקודה בתחום ניהול הזהויות ובקרת ההרשאות, שבה נוצר החיבור בין ה-IDM המסורתי, שיצר אוטומציה בהקצאה והסרת הרשאות, לבין ה-Governance שמאפשר את התיקוף של ההרשאות למול חוקי הארגון.

מסיבה זו, שני התחומים הללו, בסופו של דבר, התאחדו והפכו למונח הנפוץ כיום – Identity Governance and Administration (IGA). כפי שתיארנו כאן, המונח השתנה בעבר ואנו מצפים שהוא ישתנה גם בעתיד היות ותחום ניהול הזהויות נמצא כל הזמן בתהליך של שינוי והתגבשות.

כיום, קיימת זמינות טובה של כלים מתאימים, המאפשרים לארגונים רבים יותר להינות גם מהתייעלות תפעולית וגם ממניעת חשיפות אבטחת מידע, אך דווקא בגלל התרבות שטחי הפעולה והחשיפה והבדלי המיקוד של הכלים השונים, חשובה במיוחד תשומת הלב לתהליך האפיון והתכנון המקדים, שרואה ולוקח בחשבון את התמונה השלמה באמת, ומאפשר בחירת כלים נכונים וסדר פעולות נכון ואפקטיבי.

פרולינק ניהול זהויות בע"מ מציעה לארגונים את הידע והניסיון הנרחבים ביותר לכל תחומי ניהול הזהויות ובקרת ההרשאות הארגונית. כחברה ותיקה הממוקדת אך ורק בתחום ניהול זהויות ובקרת הרשאות, ייחודנו הוא ביכולת הגדרת העיקר באתגר הזהויות הארגוני, ומתוך כך – בנית וביצוע תכנית אפקטיבית וריאלית לפרויקט רלוונטי ומשמעותי.

* בתחום ניהול הזהויות ובקרת ההרשאות (IGA), פרולינק מתמחה בהטמעה של המוצרים RSA Identity Governance & Lifecycle (לשעבר Aveksa) ו-SAVIYNT.