Mechanizmy kontroli dostępu i zarządzania tożsamością zabezpieczają firmę przed nadużyciami. Ich uzupełnieniem powinny być jednak narzędzia do monitorowania i audytu czynności wykonywanych przez użytkowników aplikacji biznesowych.

Wdrożenie szczelnego systemu uwierzytelniania i dostępu do aplikacji to jeden z najważniejszych celów w polskich przedsiębiorstwach. Środki przeznaczane na ten cel są coraz większe, a przyjęte rozwiązania są coraz bardziej wyrafinowane. Niedawno jedna z instytucji finansowych wdrożyła rozwiązanie do zarządzania tożsamością i weryfikacji uprawnień Novella zintegrowane z systemem kontroli dostępu do pomieszczeń. Konto użytkownika systemu uaktywnia się dopiero po jego zalogowaniu za pomocą karty do systemu kontroli dostępu do pomieszczeń. Oczywiście, potem musi jeszcze dodatkowo zalogować się do aplikacji. Bez swojej karty pracownik otrzymuje jedynie okrojony dostęp do systemu i zostaje praktycznie pozbawiony możliwości wykonywania swoich codziennych obowiązków. Jaki był skutek wdrożenia systemu? W firmie niemal z dnia na dzień skończyły się problemy z pracownikami zapominającymi, gubiącymi bądź pożyczającymi karty dostępowe.

Czwarte A

Nawet tak dopracowany system pozostawia jednak pole do nadużyć, związanych chociażby z nieuprawnionym dostępem do systemu za wiedzą i zgodą pracownika, albo w chwili jego nieuwagi, kiedy co prawda przebywa w pomieszczeniu, jednak zajęty jest innymi sprawami (a jego konto jest aktywne). System nie eliminuje w pełni ryzyka związanego z nieostrożnym traktowaniem kwestii bezpieczeństwa przez użytkownika. Wreszcie nie zabezpiecza w żaden sposób danych przechowywanych w aplikacjach biznesowych przed nieprawnymi działaniami podjętymi przez pracownika, a przecież, jak szacuje Gartner, 75% szacowanych na 200 mld USD strat poniesionych tylko przez amerykańskie firmy w 2004 r. w wyniku naruszeń systemów bezpieczeństwa jest spowodowane przez pracowników organizacji.

Dlatego też, chcąc zabezpieczyć swoje systemy przed nieuprawnionymi działaniami, przedsiębiorstwa decydują się na wdrożenie, a raczej poszerzenie istniejących rozwiązań z zakresu zarządzania tożsamością i weryfikacją dostępu o systemu audytu i monitoringu działań podejmowanych w aplikacjach biznesowych. Część firm, zwłaszcza amerykańskich, robi to ze względu na regulacje prawne (przede wszystkim ustawę Sarbanes-Oxley) oraz postępujące w krok za tym regulacje związane z ładem korporacyjnym. Nakładają one na menedżerów obowiązki związane z kontrolą i rejestracją działań podejmowanych przez pracowników w systemach informacyjnych.

Nazywany przez specjalistów z zakresu bezpieczeństwa "czwartym A" - po Administration, Authentication i Authorization - audyt staje się integralną częścią procesów związanych z identyfikacją i zarządzaniem dostępem. Wdrożenie funkcji umożliwiających audyt działań podejmowanych przez pracowników ma jednak również inne cele, niezwiązane z wymogami prawnymi.

Pozwala m.in. wychwycić próby włamań bądź nieuprawnionego wykorzystania aplikacji biznesowych przez pracowników. Ułatwia stałe udoskonalanie i różnicowanie polityki bezpieczeństwa i jej dostosowywanie do potrzeb poszczególnych grup pracowników. W niektórych przypadkach umożliwia wręcz oszczędności związane z ograniczeniem zakupu liczby licencji bądź ograniczeniem obciążenia infrastruktury. Jest również źródłem danych do analiz ryzyka informatycznego realizowanych przez największe przedsiębiorstwa.

Wreszcie, audyt umożliwia wymuszenie na pracownikach rzeczywistego podejmowania pewnych działań, do których zobowiązują ich procedury wewnętrzne - takich jak regularna zmiana haseł czy kontrola i uzupełnianie danych przechowywanych w systemach informatycznych. Wiadomo, że nic tak nie dyscyplinuje pracowników jak fakt, że ich wszelkie uchybienia są łatwe do wychwycenia.

Pięć ważnych kroków

Jak zaprojektować podstawowe mechanizmy takiego audytu? Oczywiście, trzeba zacząć od uporządkowania kwestii zarządzania tożsamością oraz uwierzytelniania (Authentication) i weryfikacji uprawnień użytkowników (Authorization). Doron Cohen, główny architekt ds. identity management, oraz Kristin Gallina Lovejoy, dyrektor techniczny ds. zarządzania ryzykiem w BMC Software w swoim artykule "Using Audit & Compliance Identity Management for Sarbanes-Oxley Compliance", opublikowanym w periodyku Sarbanes-Oxley Compliance Journal, zalecają kompleksowe podejście do kwestii audytu i podział jego realizacji na 5 etapów.

Pierwszym krokiem powinno być stworzenie modelu standardowych zachowań dla poszczególnych grup użytkowników, pozwalające na śledzenie i wyłapywanie wszelkich anomalii, a także sytuacji, w których dostęp do aplikacji jest niepotrzebny. W kolejnych etapach należy ustanowić procedury audytu, a także alarmowania o zachowaniach odbiegających od normy oraz stworzyć odpowiednie metody ich klasyfikacji, tak by łatwo wyławiać z morza danych te, które są potencjalnie najbardziej niebezpieczne, a więc i te, które powinny posłużyć do działań zmierzających do zmiany polityki bezpieczeństwa.

Ważnym czynnikiem takiego projektu jest stworzenie reguł archiwizacji zdarzeń. Najlepiej by były one zgodne z międzynarodowymi standardami, takimi jak ISO17799 czy CobiT, co ułatwi zachowanie ich spójności i zgodności w dłuższym czasie. Warto też zawczasu wypracować procedury postępowania na wypadek nadużyć, by organizacja miała gwarancję, że każdy taki fakt jest odnotowany, a ryzyko jego ponownego wystąpienia - zminimalizowane.

Najpierw centralizacja

Od strony technologicznej wdrożenie rozwiązań audytowych nie musi być skomplikowane. "Część rozwiązań z zakresu zarządzania tożsamością użytkowników zapewnia wstępną integrację z najważniejszymi aplikacjami biznesowymi, takimi jak SAP czy Oracle" - mówi Piotr Kaszyca, dyrektor polskiego oddziału RSA Security. W takich przypadkach najważniejszym elementem projektu pozostaje jego część organizacyjna, tj. wypracowanie odpowiednich metod rejestracji zachowań odbiegających od normy.

Często jednak sprawy nie da się załatwić poprzez "prostą integrację" aplikacji biznesowej z systemem uwierzytelniania/kontroli dostępu. Wciąż wiele aplikacji nie ma odpowiednich mechanizmów rejestracji i raportowania zdarzeń, albo też infrastruktura systemów, których są częścią, jest na tyle skomplikowana, że śledzenie dostępu do jednej z nich wcale nie daje gwarancji bezpieczeństwa. "Przynajmniej część naruszeń powstaje na styku pewnych rozwiązań informatycznych i dopiero spojrzenie na całą infrastrukturę z lotu ptaka pozwala na dokładne wyłapanie nadużyć" - mówi Marek Sokołowski z Sun Microsystems, odpowiedzialny za sprzedaż rozwiązań Sun ONE.

W tej sytuacji konieczne jest wykorzystanie w systemie audytu danych pochodzących z innych źródeł, np. logów z baz danych czy danych na temat dostępu do aplikacji pochodzących z sieci. Ale aby tego typu metoda była skuteczna, pierwszym etapem powinna być jego centralizacja. "Najpierw należałoby zatem wdrożyć system zarządzania tożsamością oparty na jednolitym centralnym mechanizmie uwierzytelniania, oczywiście odpowiednio zabezpieczony, a potem dopiero myśleć nad funkcjami audytu" - mówi Marcin Madey, dyrektor generalny Novell Professional Services Poland.

Audyt prawie automatyczny

Centralizacja zapewnia nie tylko lepszą kontrolę nad zasobami - ułatwia także wdrożenie dedykowanych rozwiązań automatyzujących proces audytu. Systemy, takie jak Novell nSure Audit czy Sun Java System Identity Auditor, realizują większość funkcji związanych z monitoringiem w pełni automatycznie (oczywiście w oparciu o zdefiniowane wcześniej reguły). Umożliwiają skanowanie baz LDAP, zarówno ad hoc, jak i według harmonogramów. Zawierają również mechanizmy umożliwiające implementację zasad polityki bezpieczeństwa i definiowanie reguł określających zachowania niepożądane bądź podejrzane, czy to ze względu na zdefiniowane w systemie role, czy np. następstwo w czasie pewnych czynności.

Co bardzo ważne, systemy takie zapewniają nie tylko monitoring. Zawierają mechanizmy efektywnego udostępniania informacji o zdarzeniach, tak by łatwo wyłapać fakty rzeczywiście niepokojące. Pozwalają na łatwe posegregowanie wypadków na wcześniej zdefiniowane podgrupy, np. z podziałem na poszczególne grupy użytkowników, albo charakter nieautoryzowanych działań. Dzięki centralizacji śledzenie naruszeń, a także edycja raportów, może odbywać się z poziomu pojedynczej konsoli. Ścisła integracja rozwiązań do monitoringu i audytu z systemami do zarządzania tożsamością umożliwia również szybkie przeciwdziałanie nadużyciom, np. przerywając sesję lub blokując konto.

Niestety, pozyskanie danych to zaledwie łatwiejsza połowa całego procesu związanego z audytem. Znacznie trudniejszą sprawą jest stworzenie odpowiedniego modelu korzystania z danych, który pozwalałby na efektywne wychwytywanie anomalii, ale był równocześnie na tyle uniwersalny, by uwzględniał zmiany zachodzące zarówno w organizacji, jak i w infrastrukturze firmy. Bez tego najlepszy nawet model szybko ulegnie dezaktualizacji, stając się przede wszystkim źródłem dodatkowym problemów. To dlatego tak ważnym czynnikiem jest pełna integracja audytu z systemem do zarządzania tożsamością oraz uniwersalny charakter tego systemu.