בקרת הרשאות (Access Governance)

עופר גיגי,

אבטחת מידע ואכיפתה הם מנושאי הליבה החשובים ביותר בכל ארגון. שני נדבכים עיקריים במערך אבטחת המידע בארגונים גדולים הם בקרת זהויות והרשאות (Identity Auditing) ופיקוח גישת משתמשים (Access Governance) למערכות השונות.

תקנות הרגולציה השונות, ביניהן חוק סרבנס- אוקסלי (SOX Act) , מחייבות ארגונים גדולים לדווח על קיום בקרות נאותות, שמטרתן להבטיח מנהל תקין ומניעת אי סדרים כספיים או אחרים. התקנות מחייבות אכיפה הדוקה של הנחיות מתן הרשאות משתמש, וכן פיקוח שוטף על גישת המשתמשים בארגון למידע הזמין במערכותיו.

 יש לנו תשתית ניהול זהויות(IdM). זה לא מספיק?

בעוד שאין וויכוח על כך שעובדים שונים זקוקים להרשאות שונות לשם תפקודה התקין של החברה, מרביתן של מערכות ניהול הזהות (IDM) הקיימות כיום, אינן מאפשרות בקרה רחבה ומלאה על הרשאות המשתמש הניתנות במערכות השונות בארגונים גדולים; ובעוד שמניעת או הגבלת הרשאות בקרב עובדים חדשים קלה יחסית, על החברות עדיין להתמודד עם שטף ההגדרות הקיימות עבור עובדים וותיקים, במערכות שכוללות לעיתים מאות אפליקציות ואלפי הגדרות הרשאה (provisioning).

יתרה מזאת, בעוד שמערכות IDM קיימות מספקות אוטומיזציה מסויימת של הליכי הגדרת תפקיד או פרופיל משתמש בארגון, בעיקר על ידי יצירת הגדרות מקבילות המבוססות על מכנה משותף בסיסי בין בעלי תפקידים, הליכי מתן הרשאות במרבית הארגונים נעשים עדיין באופן ידני, בין אם חלקי או מלא, תוך שימוש, ברוב המקרים, בגיליונות מעקב אלקטרוניים. מכיוון, שכאמור, מדובר במאות אפליקציות הפרושות על פני מערכות רבות – ולעיתים משתלבות – הפיקוח על מחזור חיי ההרשאות (Access Lifecycle Management) רופף, ועשוי לחשוף את החברות לזליגת מידע.

שיפור ניראות (Visibility) וכסוי טוב יותר

מערכות  Access Governance הן מערכות המשתלבות במערכות הקיימות בארגון ובוחנות, מנטרות ומאשרות הרשאות גישה ופעולה לבעלי התפקידים השונים בחברה, תוך שהן מאפשרת הפרדת סמכויות ומידור גישת המשתמשים ליישומים השונים, בהתאם להגדרות מקבלי ההחלטות בחברה, מחד; ומספקות מענה לשאלות הנוגעות למתן ואישור הרשאות גישה, ניהול הליכי ווידוא ומעקב אחר פעולות שנעשו בעקבות מתן הרשאות, מאידך.

תהליך הגדרת, יצירת וניהול הרשאות הוא תהליך רחב היקף הניצב בפני אתגרים טכניים רבים. טכנולוגית בקרת ההרשאות מאפשרת אוטומיזציה מלאה של הליך הנפקת ההרשאות בחברה, ואף מסייעת בהגדרת פרופיל משתמש, תוך שהיא מספקת מענה אחיד לצרכי שליטה ובקרה, ניהול סיכונים וניהול חיי הרשאה.

בהתאם לדרישות תקינה ורגולציה שונות, חברות גדולות, ובמיוחד חברות הנסחרות בבורסות השונות, מחויבות להמציא דוחות תקינה – בהם דוחות ניהול הרשאות משתמש – בין אם לגוף פנימי או חיצוני, מדי תקופת זמן קבועה, כהוכחה לקיומו של מנהל תקין. הוראות הדיווח מחמירות במיוחד כאשר מדובר בחברות שלעובדיהן הרשאות גישה למידע רגיש, דוגמת מידע בטחוני, כלכלי או רפואי.

הנפקת דוחות מסוג זה היא תהליך מורכב הדורש זמן ומשאבים רבים. חברות שאינן עומדות בחובת הדיווח, או שדוחותיהם אינם עומדים בדרישות התקינה במלואן, צפויות לקנסות גדולים ובמקרים מסוימים, עשויים להינקט נגדם צעדים משפטיים חמורים. מערכות אכיפת בקרת זהות ופיקוח גישת משתמשים מאפשרות ביקורת סדירה – חודשית, רבעונית או שנתית – על כל מערכות החברה, בהתאם לדרישות התקינה או דרישות קציני הביטחון או המידע של הארגון.

דגש על נוחות שימוש

טכנולוגית Identity Auditing מצטיינת בממשק ידידותי המאפשרת סקירה צולבת, כללית או פרטנית של מערך ההרשאות בחברה, כמו גם שילוב כאפליקצית ליבה בחברה, שהטמעתה מהירה וקלה. מערכות כגון Aveksa אף מאפשרות ניטור מלא של מערכי ההרשאה בארגון, ובכלל זה מעקב אחרי יישום שינויים הנדרשים בהגדרות בעלי תפקידים, ומעקב אחרי הגעתם, קליטתם או עזיבתם על עובדים ("on-boarding" ו- "off-boarding"), לשם מתן או ביטול הרשאות עובד.

ניטור המידע ב"זמן אמת" מאפשר "כרייה" דינאמית של הגדרות משתמש, המסייעת לייעל את מערך ניהול התפקידים (role lifecycle management) בארגון ובעקבותיו את מערך ניהול ההרשאות, תוך שמירה על שקיפות מלאה בכל שלב משלבי התהליך.

אחד מיתרונותיה הבולטים של טכנולוגית Access Governance היא הרכבתו וניהולו האוטומטי של ארכיון הרשאות ופעולות. ארכיון זה משמש לצרכי מעקב שוטף על הוצאתן לפעול של הוראות הרשאה (הקמה, ביטול, שינוי וכו') ומספק הוכחות להליך ותהליך קיומן של הוראות תקינה, בין אם ניתנו על ידי גורם פנימי או חיצוני.

כלים למנהלים: מבט אל הנעשה בתשתיות, ללא המורכבות הטכנית

השימוש בטכנולוגית בקרת הרשאות נועד להציג בפני מקבלי ההחלטות בדרגים השונים בארגון תמונת אמת של מפרט ההרשאות, דרך אישורן וניהולן, באופן שוטף. מצג זה, המורכב בשקיפות מלאה לאורך התהליך כולו, מאפשר למקבלי ההחלטות בארגון לבחון את מפרט ההרשאות במלואו, בחלקו או על פי סיווג נתון מראש, ולהורות על הרחבת, צמצום או ביטול הרשאות משתמשים בהתאם לצרכי החברה.

הטכנולוגיה מספקת יתרון משמעותי לאנשי IT וקציני אבטחת מידע בכל ארגון, אך היא מיועדת לשימושם הנרחב של מקבלי ההחלטות בכל דרגי החברה – מנכ"לים, מנהלי סיכונים, מנהלי תפעול וקציני תקינה וביקורת.