Tożsamość usługowa

Impulsem do wdrożenia systemu zarządzania tożsamością w itelligence, były regularne prace związane z audytami systemów - m.in. wymagania ISO 27001, czy ustawy Sarbanesa-Oxley - oraz codzienne kłopoty z posługiwaniem się wieloma hasłami przez różnych administratorów.

itelligence jest firmą usługową, jej najważniejszymi klientami są firmy, które wykorzystują system SAP. Systemów tych jest prawie 100, a do tego dochodzą systemy operacyjne, bazy danych, systemy zarządzające i monitorujące. Do każdego z nich trzeba się często zalogować, odczytać logi i dokonać prac związanych z ich utrzymaniem. Zgodnie z wymaganiami większości norm jakości i bezpieczeństwa, pracownicy itelligence używają kont imiennych. W rozproszonym środowisku wymagało to kilkudziesięciu haseł dla każdego z administratorów.

Narastające problemy

Samo przechowywanie haseł to wyzwanie - oczywiście nigdy nie przechowywano ich w pospolitym pliku tekstowym czy zeszycie, lecz używano do tego celu programów typu password keeper. Na potrzeby ewidencji oraz kontroli nad procesem przyznawania uprawnień do systemów opracowano w oparciu o Lotus Notes autorski system o nazwie Baza Uprawnień. Podobnie jak systemy klasy Identity Management, Baza Uprawnień wspomagała proces zatwierdzania uprawnień, dokumentowała działania pracowników i wspierała ważną zasadę akceptacji "dwóch par oczu".

Do pewnego momentu przy okazji audytów analizowano wszystkie systemy, potem gdy liczba obsługiwanych systemów rosła o kolejne setki - obecnie jest ich razem ponad 500 - życie wymusiło losowanie badanych systemów, gdyż ilość danych podlegających analizie wykraczała poza możliwości działów audytu. Na początku szukano jeszcze rozwiązań, które umożliwiłyby zmniejszenie liczby tworzonych kont. Gdzie to było możliwe, korzystano z kont domenowych, a w bazach danych stosowano uwierzytelnienie przy użyciu autoryzacji systemu operacyjnego. Pomimo że znacznie ograniczono w ten sposób liczbę nowych kont, to ich liczba i tak stale rosła.

Punktem zwrotnym był moment, gdy firma itelligence zaczęła obsługiwać klientów SOX i J-SOX. Wymagania ustawy Sarbanes-Oxley w obszarze zarządzania uprawnieniami są bardzo rygorystyczne i nie dopuszczają sytuacji, w której osoby nieuprawnione choćby przez moment mają dostęp do systemów IT. Jest to wnikliwie sprawdzanie co najmniej raz w roku podczas audytów SAS70. Każda istotna rozbieżność w tej materii może skutkować negatywnym wynikiem audytu i utratą certyfikatu, a razem z nim - klientów. Takie ryzyko było nie do zaakceptowania dla zarządu firmy.