Na świecie furorę robi pojęcie ''zarządzanie tożsamością''. Zapytanie w Google'u o ''Identity Management'' generuje ponad 5 mln odpowiedzi, podczas gdy ERP zaledwie 4,5 mln. Rola tej dziedziny będzie wciąż rosła.

Czym jest Identity Management? Trochę enigmatycznie brzmiące sformułowanie, przekłada się na problemy dnia codziennego w każdym przedsiębiorstwie, w którym systemy informatyczne są czymś więcej niż tylko prostym narzędziem do edycji tekstu. Identity Management to zarządzanie prawami dostępu do zasobów informacyjnych, czyli systemy i procesy występujące w organizacji, mające na celu zarządzanie tym, kto może mieć dostęp do zasobów informacyjnych oraz co może z tymi zasobami zrobić.

Koncepcja zarządzania prawami dostępu do systemów nie jest niczym nowym. Administratorzy sieci borykają się z tym od dziesięcioleci.

Skąd zatem obecne zainteresowanie tą problematyką? Tak naprawdę nie pojawiło się ono nagle.

Zarządzanie dostępem zawsze znajdowało się w centrum zainteresowania osób odpowiedzialnych za bezpieczeństwo systemów (rozumiane jako poufność, integralność/spójność, dostępność oraz ich zgodność z wymogami prawa). Tak naprawdę chodzi tutaj o bezpieczeństwo gromadzonych i przetwarzanych w systemach aktywów informacyjnych. Dążenie do jego zapewnienia wymusiło wprowadzenie ograniczeń w dostępie do systemów.

Wdzięcznie brzmiące zasady artykułowane często przez specjalistów od bezpieczeństwa, w tym audytorów systemów, według których zakres dostępu powinien być minimalny, ale zarazem wystarczający do pełnienia wyznaczonych obowiązków (least privilege), często pozostają jedynie w sferze teorii. Efektywne wprowadzenie tych zasad w życie, zwłaszcza w dużych organizacjach, zatrudniających tysiące pracowników i korzystających z kilku, a nierzadko kilkunastu czy kilkudziesięciu systemów, staje się więcej niż trudnym zadaniem i to wcale nie tylko dla administratorów.

Co jakiś czas, gdy pojawi się audytor, możemy usłyszeć o użytkownikach posiadających zbyt szerokie uprawnienia, niespójnym procesie autoryzacji (pomiędzy poszczególnymi departamentami), niejasnych zasadach przyznawania dostępu do zasobów, profilach użytkowników nieodzwierciedlających zakresu obowiązków. Pewnie wielu z Państwa już coś takiego usłyszało.

Potrzebne zarządzanie

Systemy mają to do siebie, że często rodzą się w bólach, a gdy już przyjdą na świat, to okazuje się, że nie do końca spełniają nasze wymagania. Z czasem jednak tak bardzo spajają się z procesami w przedsiębiorstwie, że nie można sobie wyobrazić bez nich życia.

Po pierwszym systemie przychodzi kolej na następny: do systemów transakcyjnych dokładamy nową księgę główną; by usprawnić proces podejmowania decyzji, zostają wprowadzone MIS/SIK lub hurtownia danych, do tego wszystkiego dodajmy CRM mający usprawnić zarządzanie kontaktami z klientami, system obsługujący internetowy kanał dystrybucji, call center. Wszystko to działa oczywiście na podstawie pewnych rozwiązań sieciowych (jednego czy może nawet kilku różnych rozwiązań), dostępu zdalnego dla pracowników i klientów, sieci bezprzewodowych.

W ten sposób liczba systemów wspomagających funkcjonowanie organizacji nieubłaganie rośnie. Dostęp do systemów mają już nie tylko użytkownicy, ale również klienci, partnerzy i dostawcy. Gromadzenie, wymiana i przetwarzanie informacji w dużych organizacjach, takich jak banki, firmy telekomunikacyjne, ubezpieczalnie, jest nierozerwalnie związana z systemami informatycznymi.

Wolumen transakcji, liczba klientów czy też technologie zastosowane w usługach sprzedawanych przez te jednostki czynią je niewolnikami technologii. Znaczna część informacji istnieje wyłącznie w formie cyfrowej. Dodatkowo - ze względu na rodzaj świadczonych usług i ich wymiar społeczno-gospodarczy - branże te stały się przedmiotem zainteresowania ze strony regulatorów rynku (ochrona danych osobowych, prawo do prywatności, szczególna poufność informacji).

Systemy te mają usprawnić procesy, poprawić wydajność. Często stają się jednak postrachem dla administratorów systemów, administratorów danych osobowych, właścicieli danych i decydentów odpowiedzialnych za zarządzanie ryzykiem.

Według badań KPMG istnieją dwie zasadnicze przyczyny skłaniające firmy zatrudniające ponad tysiąc pracowników do zintensyfikowania działań w zakresie zarządzania dostępem:

• Chęć poprawienia wygody użytkowników (którzy tak czy inaczej są skazani na życie z tymi systemami).

• Wymogi prawa.

Dopiero na kolejnych miejscach są wymieniane poprawa jakości świadczonych usług przez dział IT, wprowadzenie dostępu zdalnego oraz poprawa kontroli nad dostępem do danych. Znamienne, że obniżenie kosztów związanych z zarządzaniem dostępem pojawia się dopiero na szóstej pozycji i jest wymieniane przez zaledwie 21% respondentów. Jest to o tyle dziwne, że dobrze zaprojektowane i wdrożone zintegrowane rozwiązanie do zarządzania dostępem może przynieść bardzo wymierne korzyści finansowe poprzez np. skrócenie czasu niezbędnego na przypisanie lub zmianę uprawnień użytkownika do zasobów informacyjnych (proces autoryzacji). Pamiętajmy, że bezproduktywny czas użytkowników oczekujących na dostęp do systemów kosztuje.

Pojawią się również inne korzyści, które mają wymiar finansowy, chociaż znacznie trudniej mierzalny. Są nimi: mniejsza frustracja pracowników korzystających z systemów oraz bezpieczniejsze systemy informatyczne.

Zarządzanie użytkownikami

W dobie integracji zarządzanie użytkownikami wciąż pozostaje rozproszone. Pojawianie się nowego użytkownika wprawia w ruch wielką machinę autoryzacji. Gdy już wiadomo czym on będzie się zajmował, trzeba określić, z jakich systemów będzie korzystał i w jakim zakresie. To zadanie dla właścicieli systemów (aplication/system owners). Potem trzeba zweryfikować, czy uprawnienia te są prawidłowe. Tym zajmie się np. komórka w dziale bezpieczeństwa. Następnie uprawnienia te trzeba nadać. To zadanie zespołu administratorów. Pilnie ustawią to, co trzeba we wszystkich systemach, i przyjmą użytkownika "na stan".