Biztonság a személyazonosság-kezelésben

A biztonsági és a megfelelőségi kihágások könnyen negatív felhangokat üthetnek meg a sajtóban és ezeknek a vállalati botlásoknak köszönhetően átpártolhatnak az ügyfelek a versenytársakhoz. Ennek kiküszöbölésére jól átgondolt irányítási, kockázatkezelési és megfelelőségi (Governance, Risk management, Compliance) stratégiákra van szükség mind a vállalatok, mind a közintézmények esetében.

Audit előtt

Ma már a vállalatok auditra történő felkészítése rendkívül egyszerű művelet. Az IDC Research Services által nemrégiben készített felmérés szerint számos vállalat vezetett be személyazonosság- és hozzáférés-kezelési, valamint biztonságfelügyeleti technológiákat a megfelelőségi folyamatok automatizálására. Ezek olyan alapvető építőelemek, amelyek arról gondoskodnak, hogy bizonyos információkhoz a megfelelő ember férjen hozzá.

Fő veszélyforrás

Az IDC szerint a komoly biztonsági incidensek 70%-át a kiemelt jogosultsággal rendelkező belső felhasználók okozzák. Manapság a vállalatok növekedésével nem csak a cég alkalmazottai, de külső tanácsadók, kivitelezők, ügyfelek és partnerek is egyre szélesebb körű hozzáférési jogosultságot kapnak. Felsőoktatási intézmények esetében ebbe a csoportba a vendégprofesszorok és diákok, míg az egészségügyben a több kórházban is betegeket ellátó orvosok és a szerződéses egészségügyi alkalmazottak tartoznak. Egy vállalaton belül egyetlen felhasználó akár 150 egymástól független rendszerhez is rendelkezhet személyazonossággal. A vezetőknek a teljes képet kell látniuk, és a teljes vállalat szintjén kell összesíteni a felhasználói adatokat. Nagy kihívást jelent egy olyan folyamat létrehozása, amelynek célja - a vállalat minden tagjának azonosításával - a vállalat fiókjainak kiosztása és a megfelelő szintű hozzáférések biztosítása. Talán ez a magyarázata annak, hogy miért értékelik viszonylag alacsonyra a válaszadók vállalatuk sikerességét ezekkel a feladatokkal kapcsolatban.

Ki vagy te?

A személyazonosság- és hozzáférés-kezelés (Identity and Access Management - IAM) a megbízható, biztonságos megfelelőségi platformok alapjává léptek elő, és technológiája segítségével a „ki vagy te?” kérdésre könnyedén választ kaphatunk. A megbízható vállalati biztonsági rendszereknek ma már egy hatékony személyazonosság-kezelés az alapjuk. A személyazonosság- és hozzáférés-kezelés ad választ az informatikai infrastruktúra „ki, mi, hol, mikor, miért és hogyan?" típusú kérdéseire. Egy olyan átfogó megoldáskészletről van tehát szó, amellyel a rendszer felhasználói azonosíthatók, az erőforrásokhoz történő hozzáférés pedig irányíthatóvá válik. A hozzáférés-kezelés egy olyan szabvány, amely segít meghatározni, hogy mely egyének használhatják az egyes eszközöket.

A megfelelőség mérése

A kormányzati és az iparági előírásoknak való megfelelés mértéke ma már könnyen mérhető. Olyan szoftverekről van szó, melyek egyesítik az információbiztonsági- és eseménymenedzsment (Security Information and Event Management - SIEM), valamint a személyazonosság- és hozzáférés-kezelési (Identity and Access Management - IAM) rendszereket. Ezzel a vállalatok képesek lesznek az egyes felhasználókra kiterjedően megfelelőségi méréseket végezni. Ideális esetben a mérésekből kinyert adatok összegyűjtésével és elemzésével a vállalat növelheti biztonsági szintjét és nagy segítséget kaphat a megfelelőség eléréséhez is.

(Forrás: Business IT Plusz 2009)