Tożsamość, władza, pieniądze

Niechęć zarządów do wydawania pieniędzy na poprawę zarządzania tożsamością użytkowników zasobów firmowej sieci wynika z niedowierzania w celowość takiego przedsięwzięcia. Przy odrobinie pomysłowości tę postawę można jednak zmienić.

Niechęć zarządów do wydawania pieniędzy na poprawę zarządzania tożsamością użytkowników zasobów firmowej sieci wynika z niedowierzania w celowość takiego przedsięwzięcia. Przy odrobinie pomysłowości tę postawę można jednak zmienić.

Zarządzanie tożsamością użytkowników to dla większości menedżerów IT "uciekający punkt" - wciąż i nadal. Zdobycie budżetu przeznaczonego wyłącznie na uporządkowanie tej sfery nie przychodzi im łatwo, bo - jak przekonali się już nieraz - trudno jest im wykazać zwrot z takiej inwestycji. Przynajmniej część menedżerów próbuje więc innej strategii, polegającej na włączaniu zadań związanych z porządkowaniem zarządzania tożsamością do projektów mających za swój główny cel wdrożenia aplikacji.

Ale i to nie zawsze się udaje. Gdy w trakcie projektu już trwającego pojawia się potrzeba zmiany w podziale zasobów i budżetu (bo zawsze coś może trwać dłużej lub kosztować więcej niż zakładano), obszary dodatkowe, czyli m.in. zarządzanie tożsamością, zostają "uwalone" jako pierwsze. Co zrobić, by zarząd jednak - pomimo braku oczywistych korzyści finansowych - dostrzegł głębszy sens inwestycji w zarządzanie tożsamością?

Trzeba umieć mówić

Struktura zagrożeń dla poufności tożsamości elektronicznej i danych osobowych

Struktura zagrożeń dla poufności tożsamości elektronicznej i danych osobowych

Mówić, przekonywać, podawać przykłady - to można zrobić zawsze, choć bez gwarancji, że osiągnie się cel. Być może potrzebna jest zmiana języka. Skoro bowiem na całym świecie biznes ma problem z wytłumaczeniem informatykom na czym polegają ich potrzeby w dziedzinie funkcjonalności aplikacji, jest całkiem możliwe, że blokada, czy też niezrozumienie, działa także w drugą stronę i uniemożliwia przekazanie przedstawicielom działów biznesowych nieznanych im, choć obiektywnie racjonalnych, argumentów.

W głowie informatyka słowo włamanie uruchamia strumień skojarzeń, które odwołują się do jego wiedzy fachowej. Informatyk wie, że możliwość podszycia się włamywacza pod uprawnionego użytkownika firmowej sieci, nawet tak zwanego zwykłego, jest dla firmy zagrożeniem. Zdaje sobie sprawę, że za pomocą gotowych narzędzi włamywacz może w krótkim czasie podwyższyć zdobyte uprawnienia. Najpierw uczyni siebie administratorem stacji roboczej, później mniej ważnego serwera, aby w końcu zdobyć uprawnienia administratora najważniejszego w firmie serwera transakcyjnego.

W głowach decydentów biznesowych taki schemat skojarzeniowy nie istnieje, co ma kapitalne znaczenie dla przebiegu rozmowy o potencjalnej inwestycji. Skojarzeń nie ma, bowiem nie miały okazji powstać. Bezpieczeństwo informatyczne nie jest zazwyczaj ich hobby, wątpliwe także, że zainteresują się nim z powodów zawodowych. Dla większości decydentów bezpieczeństwo polega na tym, aby "mieć do tego ludzi" lub aby "mieć dobre systemy zabezpieczeń". Tożsamość użytkowników, jakkolwiek bywa uważana za istotną z punktu widzenia uprawnień w aplikacjach biznesowych (np. żeby handlowcy nie odeszli z pełną listą klientów), nie jest kojarzona z szerzej rozumianym bezpieczeństwem informacji.

Zarządzanie tożsamością użytkowników nie jest wiązane z bezpieczeństwem firmy w sensie jej stabilności finansowej, pozycji konkurencyjnej, wizerunku publicznego, zaufania do produktów itp. Nie wydaje się także, by miało jakikolwiek związek z wysokością obrotów, wysokością marży brutto czy zyskiem netto. Nie przekłada się na udział w rynku, nie wpływa na relacje z partnerami biznesowymi, nie podnosi jakości produktów lub usług, nie obniża kosztów ani też nie usprawnia procesów biznesowych. Tak myślą decydenci.

Zarządzanie tożsamością jest z punktu widzenia biznesu tematem bardziej pobocznym - postrzeganym raczej jako chęć ułatwienia sobie życia przez administratorów lub efektem ich fascynacji technologią - niż rzeczywistą potrzebą firmy. Tym samym zarządzanie tożsamością nie spełnia podstawowego dla osób odpowiedzialnych za biznes kryterium "zasadności inwestowania". Jeśli rzeczywiście tak jest (a tak właśnie jest w znakomitej większości polskich przedsiębiorstw), to całą kampanię na rzecz pozyskania wsparcia dla uporządkowania zarządzania tożsamością w firmie trzeba zaplanować zupełnie inaczej.

Straszyć umiejętnie

Skoro biznes rozumie konkrety, a nade wszystko pieniądze, wypada zacząć właśnie od nich. Na początek warto sprawdzić, kto z zarządu słyszał o ostatniej fali wypłat z banków na duże kwoty na podstawie sfałszowanych dowodów osobistych i sfałszowanych podpisów. Co o tym sądzi? Czy obawia się, że podobny problem mógłby dotyczyć także jego firmy? Czy jest skłonny, by to zbadać lub sprawdzić w praktyce, czy to jest rzeczywiście możliwe? Przy tej okazji albo nieco później można rzucić temat przelewów przez Internet. Kto ma prawo do ich wykonywania, czy istnieje możliwość podszycia się pod taką osobę, jakie kwoty mogą potencjalnie zostać wyprowadzone z firmy itp. Konkretny problem, realne zagrożenie, istotne ryzyko - to jest platforma do rozmowy.

Kolejny obszar to wizerunek firmy na zewnątrz, być może nawet nie całej firmy, lecz kluczowych osób z jej kierownictwa. W tym przypadku można uciec się do niegroźnego fortelu, polegającego na wysłaniu do wszystkich pracowników lub do szerszej grupy osób zabawnego e-maila z adresem zwrotnym wskazującym na znaną w firmie osobę (oczywiście taką, która będzie w stanie znieść taki żart). Technicznie rzecz biorąc, jest to dziecinnie proste - wystarczy komputer z systemem Linux i odpowiednio skonfigurowanym serwerem pocztowym. W firmie będzie sporo śmiechu, ale między wierszami pojawi się niepewność, czy aby w imieniu firmy nie można wysyłać w świat wiadomości wprowadzających w błąd partnerów lub klientów, albo też ośmieszających firmę.

To znów nie jest rozmowa o bezpieczeństwie w ogólności, lecz o namacalnym problemie będącym w bezpośrednim zainteresowaniu zarządu firmy.

Zagadnieniem, które można wykorzystać jako przyczynek do poważnej rozmowy o kompleksowym podejściu do zarządzania tożsamością, jest całkiem realne ryzyko szpiegostwa gospodarczego. Jeśli zarządowi uda się wytłumaczyć, że po poufne firmowe dane można skutecznie sięgnąć z zewnątrz firmy i to pomimo zabezpieczeń sieciowych, rozmowa powinna przebiegać zupełnie inaczej niż dotychczas. Być może trzeba uciec się do fortelu, na przykład dokonać naocznej demonstracji włamania do prezesowskiego laptopa lub komputera innego ważnego pracownika, podszywając się pod jego sieciową tożsamość. Oczywiście, nie potajemnie i bez kontroli, ale za ich wiedzą i zgodą wynikającą z umiejętnie rozbudzonej ciekawości. W typowej sieci firmowej nie nastręcza to większego problemu.

Samo udane włamanie może, ale nie musi wywrzeć większego wrażenia. To, co wrażenie wywrze na pewno, to demonstracja skutków biznesowych potencjalnego włamania. Za pomocą dostępnych w Internecie narzędzi można zademonstrować zarządowi, jak łatwo poufne dokumenty mogą zostać skopiowane lub zmodyfikowane bez ich wiedzy, lecz formalnie przez nich - co jest szczególnie ważne. Można też zademonstrować, jak w ich imieniu może być wysyłana poczta lub mogą być zlecane zakupy w Internecie na konto ich firmowych kart kredytowych. Można też pokazać (oczywiście, w trybie testowym!), jak dzięki podszywaniu się pod tożsamość osoby można ją zdyskredytować w oczach innych, np. po to aby uniemożliwić jej awans lub doprowadzić do dyscyplinarnego zwolnienia.

Ludzie zajmujący się biznesem są w stanie zrozumieć wiele rzeczy - trzeba im to jedynie umiejętnie podać. Nie odkrywam tu Ameryki, bo wielu menedżerów IT wykorzystuje takie metody na co dzień przy różnych okazjach. Problem z zarządzaniem tożsamością jest jednak na tyle ważny, a jednocześnie tak dalece nieuświadomiony po stronie biznesu (w sensie jego rzeczywistej doniosłości dla całej firmy), że nawet zastosowanie takiego czy innego triku, będącego jedynie niewinną demonstracją (całkiem jednak realnego do wykonania bez wiedzy zainteresowanych w niechlubnych celach), wydaje się sensowne.

Motywacja pozytywna

Naturalnie, poszukiwanie skutecznych straszaków nie wyczerpuje listy dostępnych metod uświadamiania biznesu w dziedzinie zarządzania tożsamością użytkowników. Są firmy, w których znacznie efektywniejszą metodą osiągnięcia celu będzie przedstawienie właściwej osobie (osobom) dobrej "marchewki".

Taką marchewką może być przedstawienie zalet kompleksowego zarządzania tożsamością dla skuteczności procedur zwalniania pracowników. Dzięki dobrze zaprojektowanym rozwiązaniom i procedurom ryzyko zwolnienia nawet administratora nie jest duże, co dla zarządu, jak by na to nie patrzyć, stanowi wartość pozytywną.

Innym rodzajem zachęty może być wykreowanie lub wsparcie przez dział IT atrakcyjnego biznesowo projektu aplikacyjnego, w którym solidne rozwiązanie do zarządzania tożsamością będzie istotnym, wręcz nieodłącznym elementem. Dobrym przykładem są inicjatywy związane z Internetem, programami lojalnościowymi, wsparciem dla sieci partnerskiej (np. umożliwienie zaoferowania różnych cenników różnym partnerom bez ujawniania tego faktu).

Możliwe, że do poszczególnych decydentów trzeba będzie docierać indywidualnie. Jeśli członkowi zarządu będzie zależeć na bezpiecznym i szybkim dostępie do firmowych danych z dowolnego miejsca, w tym z kawiarni internetowej, z laptopa poprzez lotniskowy hot spot, czy z domu, nie ma większego problemu, by sprawę tę umiejętnie spleść z kwestią zarządzania tożsamością. W przypadku członków zarządu jest to o tyle uzasadnione, że to w nich bezpośrednio trzeba wykształcić wiedzę potrzebną do zrozumienia istotności solidnego uwierzytelniania i zarządzania uprawnieniami. Oni bowiem trzymają w ręku budżety.

Kampanię na rzecz uporządkowania w firmie kwestii zarządzania tożsamością można też prowadzić pośrednio przy wsparciu menedżerów zainteresowanych "załatwieniem swojej sprawy". Dyrektorowi ds. sprzedaży zależy prawdopodobnie, by handlowcy nie podglądali danych niedotyczących swoich kolegów, szef call center martwi się o poufność danych, do których mają dostęp agenci telecentrum, dyrektor logistyki chciałby natomiast, żeby pracownicy poprawiali ręcznie generowane przez system ERP zamówienia do kontrahentów, ale aby wszystkie zmiany były rejestrowane i by wiadomo było, kto i kiedy ich dokonał. Cele i potrzeby wszystkich wymienionych decydentów można połączyć.

Najtrudniej o fundament

Gdy uda się stworzyć fundament, zalążek, z biegiem czasu wokół niego będzie można ogniskować pozostałe systemy i inicjatywy związane z zarządzaniem tożsamością. Najtrudniej jest przełamać pierwsze lody. Sprawa jest czysta moralnie i merytorycznie, ale nie chodzi o to, aby dla realizacji idealistycznej eleganckiej architektury inwestować bez umiaru. Chodzi jedynie o to, aby poszukując wartości płynącej z informatyki i informacji nie ponosić ryzyka związanego z faktem, że ludźmi od zawsze kierują popędy, pokusy i słabości.


TOP 200