Kto jest kim

Na świecie furorę robi pojęcie ''zarządzanie tożsamością''. Zapytanie w Google'u o ''Identity Management'' generuje ponad 5 mln odpowiedzi, podczas gdy ERP zaledwie 4,5 mln. Rola tej dziedziny będzie wciąż rosła.

Niestety, to dopiero początek "walk" z użytkownikami, teraz trzeba zacząć nimi zarządzać. Nie należy oczekiwać, że użytkownik pozostanie na tym samym stanowisku do końca swoich dni w firmie. Pracownik będzie awansował, będzie przenoszony między departamentami, a z czasem może odejść z firmy lub zostanie poproszony o jej opuszczenie. Wraz ze zmianą pozycji w strukturach firmy zmieni się zakres danych, do których powinien mieć dostęp. Czyli znowu trzeba będzie przeanalizować wszystkie uprawnienia i dokonać stosownych korekt.

Jeżeli użytkownik otrzyma uprawnienia niewystarczające, na pewno się o nie upomni. Mało prawdopodobne jednak, by przyszedł ze skargą, jeżeli otrzyma uprawnienia zbyt szerokie. Łatwiej wyobrazić sobie sytuację, kiedy nadmierne uprawnienia wykorzysta w sposób niezgodny z polityką firmy.

Dlatego zmorą każdego administratora systemu są użytkownicy. To chyba żadne novum. Czy musi tak być? Niekoniecznie. Z pomocą pojawiają się istniejące już i wciąż udoskonalane rozwiązania do zintegrowanego zarządzania dostępem. Niestety, nie technologia jest tutaj największą przeszkodą, a kwestie związane z koncepcją zarządzania. Samo przyznanie się do tego, że zmiana w sposobie zarządzania dostępem do zasobów jest konieczna, jest już wielkim wyczynem i pierwszym krokiem we właściwym kierunku. Duże organizacje nie

lubią radykalnych zmian. Na szczęście w przypadku projektów z zakresu Identity Management zmian można dokonywać, stosując metodę małych kroków.

Najpierw należałoby zastanowić się nad kilkoma sumami: ile jest wart czas administratorów?

Ile jest wart czas użytkowników oczekujących na uprawnienia? Ile są warte informacje przez przypadek udostępnione niewłaściwym osobom? Czy w ogóle mamy pewność, że zakres autoryzacji jest właściwy? Jeżeli przynajmniej jedno z pytań zwróciło, Drogi Czytelniku, Twoją uwagę, to zapewne problematyka zarządzania dostępem jest warta zainteresowania.

Czy mamy centralne zarządzanie dostępem do aplikacji? Oczywiście. W 1993 r. został opracowany protokół LDAP (Lightweight Directory Access Protocol), obecnie już w wersji trzeciej. Umożliwia on stworzenie centralnie zarządzanego, skalowanego repozytorium danych o użytkownikach. Centralne zarządzanie autoryzacją? Oczywiście. Przykładowymi rozwiązaniami w tym zakresie mogą być rozwiązania oparte na Role Based Access

Control (RBAC). Koncepcja RBAC istnieje już od ponad 20 lat. Implementacje RBAC można znaleźć nawet na poziomie jądra systemów operacyjnych, np. w Security Enhanced Linux (SELinux), opracowanego przez NSA. Rozwijane są również rozwiązania dla środowisk heterogenicznych, np. Tivoli RBAC, AxcessIT czy też SIEMENS DirXmetaRole.

Oczywiście, to tylko przykłady rozwiązań technologicznych, jakie mogłyby znaleźć zastosowanie w procesie tworzenia zintegrowanego rozwiązania do zarządzania dostępem. Repozytoria takie na pewno pozwoliłyby złapać oddech często sfrustrowanym administratorom, którzy niemal każdego dnia muszą użytkownika dodać, jakiegoś usunąć lub zablokować mu dostęp, a jeszcze innemu zmienić prawa dostępu ze względu na zmianę zakresu obowiązków. Oddech złapaliby również użytkownicy, poświęcając się pracy zamiast wymyślaniu, pamiętaniu (a może zapisywaniu?), a następnie wprowadzaniu kilku haseł dziennie.

To się opłaca

National Institute of Standards and Technology (NIST) poddał szczegółowej analizie efekty wdrożenia RBAC w organizacjach (Planning report02-1The economic impact of Role Based Access Control, marzec 2002 r.). Z analiz wynika, że przeciętny koszt wdrożenia RBAC to ok. 78 USD na użytkownika, natomiast generowane, zmierzone korzyści to 43 USD rocznie (przy założeniu, że czas życia projektu to pięć lat), co daje NPV (dodatnią bieżącą wartość inwestycji) na poziomie 78 tys. USD w organizacji posiadającej tysiąc użytkowników. Przy czym koszty, o których tutaj mówimy, są w dużej mierze jednorazowe, natomiast korzyści będą pojawiały się w kolejnych latach.

Warto przy tym nadmienić, że wyliczając wartość korzyści płynących z wdrożenia RBAC nie wzięto pod uwagę efektów związanych z poprawą bezpieczeństwa systemów, zatem korzyści, o których mowa powyżej, to oszczędności związane wyłącznie z czasem administratorów i użytkowników! Oczywiście, powyższe wyliczenia są oparte na pewnych założeniach i mogą różnić się między poszczególnymi organizacjami.

Należy zauważyć, że jest to jedynie efekt wdrożenia RBAC. Do wkalkulowania pozostają jeszcze korzyści płynące z centralnego zarządzania uwierzytelnieniem.

W przyszłości raczej nie należy spodziewać się ograniczenia ekspansji systemów ani zmniejszenia zainteresowania problematyką danych ze strony regulatorów. Tym bardziej nie należy oczekiwać, że zmniejszy się liczba użytkowników systemów.

Wraz z coraz silniejszą ekspansją systemów informatycznych i coraz większym uzależnieniem funkcjonowania firm od cyfrowej informacji problem zarządzania prawami dostępu narasta.

Bezpieczne przechowywanie i przetwarzanie danych, zwłaszcza poufnych (np. dane osobowe, dane objęte tajemnicą bankową czy też ustawą o ochronie informacji niejawnej), stanowi obecnie o "być albo nie być" wielu podmiotów na rynku.

To nie technologia jest głównym wyzwaniem. Ona już jest. Główne wyzwania są natury organizacyjnej i te właśnie trzeba przezwyciężyć.

Krzysztof Radziwon jest menedżerem w dziale Risk Advisory Services w KMPG Polska.