מה זה Directory ? מה היא משמעות הזדהות אחודה ומה הקשר שלה לניהול זהויות ? מה זה SOX ואיך הוא קשור לניהול זהויות ?
אוסף מאמרים מקוריים שלנו שיעזרו "להשלים את התמונה" של עולם ניהול הזהויות ובקרת ההרשאות.

האקסל כבר לא מספיק

אימרו "לא!" לשימוש באקסל ככלי לבקרת הרשאות

תוכנת האקסל (*Excel) הוותיקה והטובה היא מערכת עם יכולות מופלאות לניהול נתונים. למרות זאת, ישנם תחומים בהם שימוש בגליונות נתונים (כדוגמת אקסל) פשוט חוטא למטרה.

"בקרת הרשאות" - על מה מדובר?

ארגונים רבים, בארץ ובעולם, נדרשים לבצע בדיקה יזומה ומחזורית של מערך ההרשאות הארגוני מכורח החוק או תקנות ("רגולציות"). לדוגמא: אחת לתקופה, יש לבדוק את כל ההרשאות במערכת הכספים הארגונית, ולוודא כי רק משתמשים מסוימים מסוגלים לבצע פעולות מסוימות במערכת. זו אולי אינה משימה מסובכת אם כל מה שיש לבדוק זה רק את מערכת הכספים, אך מה קורה אם מדובר בארגון עם 10,000 משתמשים, ומתוכם רק מחלקת הכספים מונה מאות משתמשים, האם כולם מורשים לבצע פעולות במערכת הכספים הרגישה?

קרא עוד

ניהול זהויות, בהיבט מעשי

תחום הפעילות של פרולינק ממוקד בעולם ניהול הזהויות וההרשאות (Identity and Access Management). אחת העובדות הפחות ידועות בתחום ניהול הזהויות, היא הכמות הגדולה מאד של טכנולוגיות, סטנדרטים ויצרנים הפעילים בתחום זה. על מנת לנסות ולעשות סדר בתמונה הרחבה, כדאי תחילה לנסות ולהגדיר מה אמור לכלול פרויקט ניהול זהויות. לפניכם סקירה והגדרות של מרכיבים אפשריים שונים, כולם קשורים בעולם ניהול הזהויות. ארגון המבקש ליישם מערכת ניהול זהויות יזדקק למימוש אחד או יותר מהמרכיבים הבאים.

קרא עוד

הפרדת רשתות אינה מגינה בפני האיום מבפנים

חברות בתעשיות הביטחוניות נוהגות ליצור הפרדה בין רשתות מסווגות, מתוך כוונה לצמצם את חשיפת המידע. יחד עם זאת, קיימים ליקויים בבקרות על מה שנעשה בתוך הרשתות עצמן, ונוצרות חשיפות אבטחת מידע מצד המשתמשים שבתוך הארגון. במקרים רבים, לא מתקיימות כלל בקרות על מהות הרשאות העובדים בעלי גישה לנתונים מסווגים, ולפיכך קשה להניח כי עקרונות של מידור מידע אכן נאכפים כראוי בתוך הארגון.

קרא עוד

סרביינס-אוקסלי והקשר לניהול זהויות

 עמידה ברגולציות כדוגמת SOX מזרזת כניסה לפרויקטים של ניהול זהויות

מאז פרסום תקנות Sarbanes-Oxley ביוני 2002, מחויבות חברות ציבוריות לעמידה בשורת דרישות מחמירות. מועד פקיעת ה"אולטימטום" שהציבה ממשלת ארה"ב לעמידה בתקנות אלה הולך ומתקרב.

יישום מערכת ניהול זהויות ארגונית תומך באופן ישיר בעמידה בתקנות Sarbanes-Oxley. 

קרא עוד

מערכות שירותי ספרייה Directory Service

המונח Directory כבר אינו חדש. במובן הפשוט של המילה מדובר ברשימה המתארת - לרוב, אנשים. בעולם העסקים מדובר בעובדי הארגון, ספקים, לקוחות וכדומה.

בכל ארגון קיים מספר רב למדי של מערכות Directory, גם אם הן אינן נקראות בשם זה...

לדוגמא, על מערכת הדואר האלקטרוני הארגונית ניתן לומר כי היא מכילה "Directory" של כל המשתמשים להם קיים תא דואר אלקטרוני. באופן דומה, מערכת התוכנה באגף משאבי -אנוש מהווה למעשה Directory של כל עובדי החברה.

קרא עוד

בקרת הרשאות (Access Governance)

אבטחת מידע ואכיפתה הם מנושאי הליבה החשובים ביותר בכל ארגון. שני נדבכים עיקריים במערך אבטחת המידע בארגונים גדולים הם בקרת זהויות והרשאות (Identity Auditing) ופיקוח גישת משתמשים (Access Governance) למערכות השונות.

תקנות הרגולציה השונות, ביניהן חוק סרבנס- אוקסלי (SOX Act) , מחייבות ארגונים גדולים לדווח על קיום בקרות נאותות, שמטרתן להבטיח מנהל תקין ומניעת אי סדרים כספיים או אחרים. התקנות מחייבות אכיפה הדוקה של הנחיות מתן הרשאות משתמש, וכן פיקוח שוטף על גישת המשתמשים בארגון למידע הזמין במערכותיו.

קרא עוד