סרביינס-אוקסלי והקשר לניהול זהויות

Super User,

 עמידה ברגולציות כדוגמת SOX מזרזת כניסה לפרויקטים של ניהול זהויות

מאז פרסום תקנות Sarbanes-Oxley ביוני 2002, מחויבות חברות ציבוריות לעמידה בשורת דרישות מחמירות. מועד פקיעת ה"אולטימטום" שהציבה ממשלת ארה"ב לעמידה בתקנות אלה הולך ומתקרב.

יישום מערכת ניהול זהויות ארגונית תומך באופן ישיר בעמידה בתקנות Sarbanes-Oxley. 

תקנות Sarbanes-Oxley (בקיצור: Sarbox או SOX) מחייבות חברות מסחריות ציבוריות בשורה של דרישות לגבי ההתנהלות הכספית שלהן. דרישות אלה כוללות הגשת דוחות כספיים מדויקים ויכולת הוכחה לגבי אמינות הפעילויות הכספיות השונות: בקשות, אישורים, מעקב, תהליכים ודוחות.

 היכולת של חברה לעמוד בדרישות אלה נמצאת בקשר הדוק לבקרות אבטחת הגישה של תשתית מערכות המידע והאפליקציות העסקיות. כל גישה לא מורשית למידע כספי המצוי במערכות המידע, מסכנת את יכולת הארגון לעמוד בדרישות תקנות Sarbox. 

תקנות Sarbox אינן מפרטות בצורה מפורשת את הדרך הטכנולוגית בה צריך לנקוט. אולם, אם בוחנים את פתרונות אבטחת המידע והבקרה הקיימים כיום, ניתן להסיק שיש לעמוד ברשימת היעדים הבאה: 

  • הרשאות הגישה בסביבה מבוזרת צריכות להיות מבוקרות ומנוהלות בצורה יעילה.
  • במקרה של עזיבת עובדים או סיום קשר עם עובדי קבלן, הגישה למערכות ונתונים צריכה להיחסם באופן מיידי.
  • החברה חייבת להיות מסוגלת לוודא שרק למשתמשים מורשים יש גישה למידע ומערכות רגישות.
  • יש לאכוף בקרת גישה למערכות מרובות משתמשים (multi-user). מניעת מצב של חשבון משתמש "משותף" או כמה חשבונות משתמש לאותו אדם.
  • מנגנון הקצאת סיסמאות צריך להיות שיטתי ומדיניות ניהול הסיסמאות חייבת להיאכף.
  • חייבת להתבצע הערכה תקופתית של הקצאות הרשאות גישה ובמקביל בדיקת חריגות בפועל - Audit.

 

התוצאה:

הדרישות המופיעות ברשימה מובילות כולן לצורך המרכזי של "סיווג המידע והתהליכים העסקיים ונתינתם רק לאנשים הנכונים בזמן הנכון". מימוש צורך זה מתחיל ביכולת "בקרת זהויות". 

ההחלטה על נתינת גישה למשתמשים לתהליכים עסקיים ולנתונים מבוססת על תפקידם בארגון, או "מאפייני זהותם הארגונית". מידע זה מבוזר בין הרבה מערכות ומחייב ניהול משתמשים והרשאות מורכב, תהליך אשר באופן רגיל הינו מסורבל מאד, לא יעיל ומרובה שגיאות. 

בנקודת מוצא זו, פתרון ניהול זהויות אינו יכול להיחשב יותר רק "רעיון טוב" - הוא מחויב המציאות. כאשר מנהלי המחשוב בארגון מתמודדים עם סוגיות הפחתת סיכוני אבטחת מידע, תאימות לתקנות ורצון לבסס אמון בקרב לקוחות ושותפים - הדיון בפתרון לכל אלה מוביל בסופו של דבר לכיוון של שיפור תשתית ניהול הזהויות בארגון. 

הצורך להטמיע מערכת בקרות על-מנת לענות על דרישות תקנות Sarbanes-Oxley, מהווה הזדמנות לייעל את כלל מערכת המחשוב על-ידי הרחבת פיתרון ניהול הזהויות ממחלקות הכספים לכלל הארגון. 

באמצעות תמיכה ביכולות ניהול משתמשים, הרשאות, בקרת תהליכים ועוד, מערכת ניהול זהויות מסוגלת לעזור לארגונים לנהל בצורה מאובטחת ויעילה זהויות והרשאות גישה למערכות ומידע. כתוצאה מכך, התהליכים הכלולים בדרישות Sarbox הופכים למשופרים ופשוטים יותר. 

 

כתב: יותם בר-שמעון, ארכיטקט פתרונות ראשי - פרולינק ניהול זהויות