Wprowadź separację obowiązków

Zasada "akceptacji na dwie ręce", powszechna w księgowości, utrudnia nadużycia i chroni przed działaniami, które mogłyby przynieść firmie duże szkody. Przykładowo osoba, która przygotowuje listę płac, nie może jednocześnie zrealizować przelewu. Podobne założenia należy wdrożyć w IT:

- tworzenie grup i kont powinno być akceptowane przez przełożonego

- uprzywilejowane konta muszą być oddzielone od zwykłych kont (administratorzy na co dzień nie pracują na kontach o bardzo wysokich uprawnieniach)

- konta administratorów nie powinny mieć dostępu do zaszyfrowanych danych z innych kont bez konieczności wylogowania

- konta o wysokich przywilejach powinna akceptować i tworzyć inna osoba, niż ta, która z nich będzie korzystać

- niektóre firmy posiadają tak złożoną politykę ochrony, że do zalogowania się na wysoko uprzywilejowane konto niezbędne jest działanie dwóch osób.

Jak widać, idea współpracy dwóch osób przy bardzo wrażliwych zadaniach minimalizuje ryzyko nieautoryzowanego użycia uprawnień.

Wprowadź zasadę minimalnych przywilejów

Zasada wykorzystywania minimalnych uprawnień, które są niezbędne do wykonania danego zadania, jest jednym z najlepszych podejść do ochrony przed atakami przeprowadzanymi od wewnątrz. Jeśli intruz (i jego narzędzie) nie będzie mieć dostępu do danych, nie będzie mógł ich ukraść. Kontrola dostępu oznacza w takim przypadku uprawnienia do plików, obiektów baz danych, oddzielenie od sieci i komputerów, do których dany pracownik dostępu nie potrzebuje. Dostęp do aplikacji powinien nadawać właściciel aplikacji lub procesu biznesowego, który dana aplikacja obsługuje, ale poziom uprawnień powinien być ustalony przez osobę, która dysponuje właściwą wiedzą (a nie zawsze jest to właściciel procesu biznesowego). Jednocześnie powinien być prowadzony audyt użycia uprawnień, wliczając periodyczne aktualizowanie poziomu dostępu do poszczególnych obszarów. Proces ten powinien być maksymalnie zautomatyzowany.

Używaj ról do kontroli dostępu

Podejście wykorzystujące role do kontroli dostępu (RBAC - role-based access control) zapewnia w praktyce wykorzystanie zasady przywilejów koniecznych. Zasada działania RBAC polega na ustaleniu niezbędnych minimalnych uprawnień i zastosowaniu ich do ról, a nie do poszczególnych kont lub grup pracowników. Dopiero te role są przypisywane i dzięki temu pracownicy IT myślą kategoriami przywilejów, które są rzeczywiście niezbędne do wykonania danego zadania. Zaawansowane systemy zarządzania tożsamością idą jeszcze dalej i pozwalają na dostęp tylko do dokładnie określonych zadań. Na przykład w systemie HR pracownik odpowiedzialny za naliczanie płac posiada uprawnienia do zapisu do bazy wtedy, gdy wykonuje zadania związane z wprowadzaniem danych lub ich aktualizacją. Gdy ta sama osoba wykonuje raport z tej samej bazy, uprawnienia do danych zostają zmienione - to samo konto nie posiada już uprawnień zapisu danych. Z kolei po zakończonej pracy i wylogowaniu użytkownika z aplikacji, system całkowicie odwołuje wszelkie uprawnienia danego konta do bazy. Po ponownym zalogowaniu, uprawnienia są nadawane dynamicznie, w ramach potrzeb. Cały czas zachowywane są minimalne niezbędne przywileje - tej opcji nie posiadają narzędzia, które działają w tradycyjny sposób.

Wykorzystuj automatyzację

Jedną z metod ograniczenia ryzyka ataku jest izolacja od danych, a można ją wprowadzić przez automatyzację procesów. Jeśli przykładowy proces przyjęcia nowego pracownika wiąże się z pracą kilku osób i modyfikacją danych w kilkunastu bazach, można wprowadzić narzędzie, które wiąże wszystkie te zadania w jednym, ściśle kontrolowanym interfejsie. Dzięki temu pracownicy odpowiedzialni za wprowadzenie odpowiednich zmian, nigdy nie posiadają samodzielnie uprawnień do baz danych. W zamian za to, wprowadza się narzędzie, które samo zmodyfikuje bazy w dokładnie przewidywalny sposób, na podstawie danych, po ich zatwierdzeniu przez przełożonego. Po spełnieniu wszystkich wymagań, pracownik zostaje przypisany do właściwych grup, zostają mu nadane role w systemie IT, a przy tym większość operacji (najlepiej wszystkie) odbywa się bez nadawania pracownikom uprawnień do zapisu w bazie.