Contextul actual, caracterizat prin combinatia dintre munca la birou si munca la distanta, nevoia angajatilor de a accesa din orice loc echipamentele, retelele si aplicatiile companiei, folosirea echipamentelor personale pentru indeplinirea sarcinilor de serviciu (bring your own device - BYOD) si utilizarea de solutii cloud, a obligat companiile sa-si regandeasca abordarea in domeniul apararii cibernetice. Accentul se muta acum de la parametrii legati de retea, la modul in angajatii pot accesa si utiliza resursele companiei. Arhitectura de tip Zero Trust, un concept care implica o abordare integrata a politicilor de guvernanta si a administrarii identitatii in cadrul unei companii, este un exemplu de solutie pentru noile provocari cu care se confrunta companiile.
Construirea unei arhitecturi Zero Trust este posibila cu ajutorul unor solutii pentru managementul identitatii (identity Access Management – IAM) si al accesului privilegiat (Privileged Access Management – PAM), care definesc nivelul si perioada de acces al unui utilizator la resursele organizatiei. In prezent, necesitatea adoptarii unor astfel de solutii a crescut considerabil, avand in vedere gradul de incarcare a departamentelor de IT si securitate din organizatii, responsabile cu acordarea acestor privilegii in mod manual sau automat, aspect care ingreuneaza alocarea rapida a accesului pentru anumiti utilizatori.
Cum poate fi implementata o solutie de gestionare a identitatii si a privilegiilor acordate utilizatorilor? Companiile trebuie sa aiba in vedere trei dimensiuni pentru a crea o arhitectura de tip Zero Trust.
Acces doar la resursele absolut necesare
In primul rand, sa isi propuna sa aiba in cadrul organizatiei utilizatori cu acces la un nivel minim necesar (least privileges). Spre exemplu, noii angajati ar trebui sa primeasca permisiunea de a accesa un numar cat mai redus de resurse; in numeroase companii, abordarea este la polul opus - acestia primesc acces inca din prima zi la cat de multe resurse posibil, pentru a evita incarcarea ulterioara a departamentului IT sau de securitate. Aceste departamente ar trebui sa aiba o imagine de ansamblu a drepturilor de acces pentru fiecare utilizator prin construirea unui inventar cat mai clar al resurselor din companie, de la aplicatii, la date, la centralizarea si gruparea tuturor drepturilor de acces ce pot fi alocate utilizatorilor intr-un catalog de servicii, cu scopul de a imbunatati procesul de acordare a permisiunilor. In acest sens, este importanta implementarea unui portal de tip self service, cu ajutorul caruia orice utilizator poate cere permisiunile respective, utilizand unul din cele doua tipuri de fluxuri – cu auto-aprobare sau cu aprobare prin intermediul unui factor uman decizional.
Cum arata „viata” unui utilizator
In al doilea rand, companiile trebuie sa acorde o atentie sporita manierei in care definesc ciclul de viata pentru fiecare utilizator, de la stabilirea proprietarului unei resurse, pana la determinarea unui proces de aprobare pentru a avea control asupra oricaror schimbari survenite in atributiile angajatului, si crearea unui catalog complex si granular de permisiuni care pot fi cerute de orice utilizator. Este important ca organizatiile sa ia in calcul implementarea unor controale predictive pe intreg procesul de acordare a accesului utilizatorilor, capabile sa optimizeze timpul de interventie umana, si a unor reguli pentru a preveni situatii periculoase, precum cea in care un utilizator ajunge sa detina puteri absolute pe linia sa de business (de exemplu, aparitia unei persoane care poate initia plati pe care apoi le poate si aproba).
Optimizare, optimizare, optimizare
De asemenea, organizatiile trebuie sa optimizeze modul in care stabilesc nivelul de acces al fiecarui utilizator si timpul petrecut de aprobatori in procesul de acordare a accesului. O solutie de gestionare a identitatii si a privilegiilor acordate utilizatorilor poate ajuta in acest sens prin recomandarea unui anumit set de permisiuni in baza unui tipar identificat cu ajutorul inteligentei artificiale. Spre exemplu, daca 95% din personalul departamentului de contabilitate are aceleasi permisiuni, automat, cand in organizatie va ajunge un nou membru al acelui departament, acesta va avea acces la aceleasi resurse ca restul echipei, conform recomandarii solutiei de inteligenta artificiala.
In concluzie, implementarea unor solutii de management al identitatii si al accesului privilegiat a devenit o nevoie stringenta in contextul actual pentru a putea pastra un nivel optim de securitate in cadrul organizatiilor. In contextul cresterii masive a complexitatii infrastructurilor digitale din organizatii, lipsa unor astfel de solutii va duce la atragerea unor atacatori externi sau interni care pot profita de lipsa unor controale riguroase.
