Jakie są obecnie główne problemy w zarządzaniu kontami użytkowników, uprawnieniami i tożsamością w dużych korporacjach?

Sebastian Pietrzak: Współczesne korporacje, działające pod presją hiperkonkurencyjnego rynku, doskonale rozumieją wagę informacji i wiedzy jako strategicznego zasobu firmy. Przewaga konkurencyjna płynie zarówno z wypracowanych w firmie innowacji, jak i z dostępu do wiedzy korporacyjnej umożliwiającej ciągłe doskonalenie się wewnątrz organizacji. O ile jednak w zakresie ochrony informacji przed kradzieżą z zewnątrz, firmy są już w większości dobrze przygotowane dbając np. o zabezpieczenia firewallowe, systemy wykrywania intruzów, czy programy antywirusowe, o tyle kontrola praw dostępu do informacji wewnątrz organizacji jest nadal piętą Achillesową wielu przedsiębiorstw.

Środowiska informatyczne dużych organizacji są z reguły rozległe, często heterogeniczne i wyróżniają się dużą dynamiką zmian, a dane oraz informacje rozproszone są w wielu systemach. Kontrola uprawnień użytkowników w obrębie zasobów informatycznych będących nośnikiem wiedzy korporacyjnej, w tym także poufnej, staje się prawdziwym wyzwaniem.

Wraz ze wzrostem liczby użytkowników, którymi są zarówno pracownicy, jak i partnerzy czy klienci firmy posiadający różne poziomy dostępu do aplikacji i danych, rośnie skala problemów. Dochodzi na przykład do sytuacji, w których użytkownicy spędzają nawet kilkanaście minut dziennie na operacjach logowania i uwierzytelniania, a 30-40 proc. zgłoszeń do Helpdesku dotyczy zapytań o hasła i prawa dostępu. Powszechną bolączką dla nowozatrudnionych osób jest zbyt długi czas oczekiwania na dostęp do aplikacji i systemów firmy.

Problem związany z uprawnieniami i kontami użytkowników dotyka także kwestii zarządzania projektami. Dla przykładu, jeśli w pewnej fazie projektu umożliwiamy pracownikowi dostęp do zasobów projektowych, np. w celu wykonania najprostszych choćby prac pomocniczych, dostęp ten powinien być kontrolowany i automatycznie odebrany po wykonaniu zleconych zadań. Przy braku podobnych mechanizmów może w finalnej fazie projektu dojść do sytuacji, gdy szeregowy pracownik posiada dostęp do dokumentów stanowiących największe tajemnice firmy.

Innego typu problemy wynikają z faktu, że w rozproszonych środowiskach informatycznych dużych korporacji, zarówno produkty "z półki" jak i dedykowane aplikacje posiadają własne, oddzielne repozytoria użytkowników z niezależnymi systemami zarządzania prawem dostępu i uprawnieniami. Pozostaje to w sprzeczności z polityką bezpieczeństwa IT, a także utrudnia efektywne monitorowanie i audyt w zakresie nadawania i kontroli uprawnień.

Zintegrowanie systemów zarządzających tożsamością i dostępem pozwala zunifikować i scentralizować administrowanie zbiorami danych. Jakie kluczowe walory takiego rozwiązania można wyróżnić?

Wpływ scentralizowanego systemu zarządzania tożsamością i kontroli dostępu w ramach korporacji na efektywność administrowania zbiorami danych możemy rozpatrywać w dwóch aspektach. Po pierwsze - w kontekście zarządzania tożsamością, po drugie - poprzez wprowadzenie kluczowych mechanizmów kontroli dostępu.

Wpływ scentralizowanego systemu zarządzania na administrowanie zbiorami danych w ramach korporacji zaznacza się na wiele sposobów:

- Zastosowanie centralnego repozytorium użytkowników sprawia, że informacje o użytkownikach i ich uprawnieniach znajdują się w jednym miejscu, dzięki czemu unikamy zarówno redundancji, jak i pułapek rozproszonego środowiska. Możemy efektywnie kontrolować tak dostęp użytkowników do danych i aplikacji, jak i minimalizować ryzyko związane ze złamaniem zasad ochrony danych osobowych.

- Mechanizmy provisioningu zapewniające dystrybuowanie danych dotyczących uprawnień użytkowników do aplikacji back-endowych. Dzięki temu informacje o prawach dostępu są spójne w obrębie wszystkich systemów IT (są dystrybuowane w sposób automatyczny). Jednocześnie walorem funkcji provisioningu jest fakt, że w przypadku wdrożenia scentralizowanego systemu zarządzania tożsamością i dostępem, istniejące aplikacje nie muszą być modyfikowane.

- Wprowadzenie usługi typu self-service umożliwia użytkownikom samodzielne wykonywanie wielu podstawowych operacji np. takich jak zmiana hasła. Czynności te nie wymagają wtedy zaangażowania administratora, a czas jego pracy może być wykorzystany bardziej efektywnie.

- Mechanizm workflow, służący do przetwarzania "żądań" dotyczących uprawnień użytkowników, umożliwia wdrożenie korporacyjnych procedur akceptacji i przepływu dokumentów związanych z bezpieczeństwem.

- Łatwe w użyciu i rozbudowie mechanizmy audytu i monitorowania systemu gwarantują wykrywanie wszelkich incydentów łamania centralnie ustalonej polityki (np. przez administratorów poszczególnych aplikacji). Dzięki wysokiej jakości procesów kontrolnych, raporty dotyczące siatki uprawnień w obrębie korporacji mają gwarantowaną wiarygodność.

Możliwości scentralizowanego systemu w kontekście kontroli dostępu:

- Mechanizm Single Sign-On (SSO) zapewnia pojedyncze logowanie się użytkownika do wszystkich aplikacji - zarówno WWW (cienki klient) jak i Desktop (aplikacje klient-serwer). Walorem tego rozwiązania jest ograniczenie czasu poświęconego na operacje związane z logowaniem, a także zmniejszenie liczby zgłoszeń do Help-Desku

- Kontrola dostępu może być zapewniona z pomocą różnorodnych mechanizmów uwierzytelniania, m.in. takich jak SmartCards, login i hasło, hasło jednorazowe, certyfikat, token

- System kontroli dostępu zapewnia wysoką dostępność i skalowalność

- Możliwość integracji z infrastrukturą Public Key Infrastructure

- Integracja z czytnikami biometrycznymi oraz systemami kontroli dostępu do pomieszczeń

Zastosowanie m.in. mechanizmów self-service, obiegu dokumentów i provisioningu pozwala delegować część operacji administracyjnych na użytkowników, a także efektywne zarządzać dostępem i uprawnieniami, co w efekcie wpływa na zmniejszenie całkowitych kosztów utrzymania aplikacji TCO.

Na czym będzie polegała Państwa współpraca z ActivCard? Czy ta spółka istnieje już na polskim rynku?

Współpraca z firmą ActivCard koncentruje się na budowie platform zarządzania tożsamością i kontroli dostępu w korporacjach. Mam na myśli przede wszystkim bardzo dojrzałe i sprawdzone rozwiązania w zakresie mechanizmów Single Sign-On dla aplikacji typu client-server oraz dostarczanie rozwiązań tzw. mocnego uwierzytelniania za pomocą kart kryptograficznych. Wspólna oferta obu firm skierowana jest do dużych korporacji m.in. z sektora finansowego (banki i ubezpieczenia) oraz firm telekomunikacyjnych.

Matrix.pl uruchomił Centrum Demonstracyjne rozwiązań zarządzania tożsamością i kontroli dostępu. Zostało ono stworzone w oparciu o produkty IBM oraz ActivCard i pozwala prześledzić pełny cykl kontroli dostępu do aplikacji dla użytkowników. Umożliwia szczegółową analizę drogi, jaką przebywa nowy pracownik - od momentu zatrudnienia przez dział HR, poprzez automatyczne nadanie mu dostępu do poszczególnych aplikacji, aż do wydania karty identyfikacyjnej SmartCard, pozwalającej na uwierzytelnianie się w sieci. Dzięki temu można poznać funkcjonowanie systemu tożsamości cyfrowej, zapewniającego szybki i bezpieczny dostęp do wyselekcjonowanych zasobów organizacji. Centrum zostanie poszerzone o funkcje logowania na podstawie biometryki (np. odcisk palca) oraz integrację z systemem kontroli dostępu fizycznego, czyli dostępu do pomieszczeń i budynków. Na świecie podobne laboratoria znajdują się w Europie Zachodniej oraz Stanach Zjednoczonych.

Jak oceniają Państwo polskie potrzeby rynkowe w zakresie zarządzania tożsamością i dostępem?

Menedżerowie IT polskich przedsiębiorstw rozumieją wagę ochrony informacji i z dużą starannością podchodzą do zabezpieczenia danych przed zagrożeniami zewnętrznymi, zwłaszcza w kontekście kontroli antywirusowej czy systemów typu Intrusion Detection.

Jednocześnie obserwujemy coraz większe zainteresowanie największych korporacji wprowadzeniem rozwiązań w zakresie zarządzania tożsamością i kontroli dostępu, co stanowi krok ku ochronie informacji wewnątrz korporacji. W Polsce rośnie świadomość potrzeby tego typu systemów, szczególnie w branżach zwyczajowo postrzeganych jako najlepiej zinformatyzowane, czyli w telekomunikacji, bankowości, czy ubezpieczeniach. Prezentację jednego z największych tego typu wdrożeń na polskim rynku, właśnie z branży telekomunikacyjnej, mogliśmy obejrzeć podczas seminarium "Identity & Access Management Roadshow" w Warszawie 21 września. W moim przekonaniu - a pozwalają mi na taki wniosek rozmowy prowadzone z uczestnikami wspomnianego seminarium - uświadomienie rosnących potrzeb związanych z rozwiązaniami dostępowymi jest kwestią niedalekiej przyszłości również dla innych sektorów gospodarki. Osoby zainteresowane poruszanymi kwestiami będą mogły wziąć udział w kolejnym seminarium z cyklu "Identity & Access Management Roadshow", które odbędzie się w Kijowie, 11 października.

Jaka część przychodów Matrix.pl pochodzi ze sprzedaży rozwiązań identyfikacji cyfrowej oraz jaki obszar Państwa działalności przynosi największe dochody?

Rozwiązania dostępowe, jako element systemów bezpieczeństwa, mieszczą się w grupie usług konsultingu IT Matrix.pl. Obecnie, zgodnie ze strategicznymi założeniami firmy, ta część oferty firmy jest bardzo mocno rozwijana i jest to jedna z najważniejszych gałęzi naszych kompetencji obok rozwiązań dedykowanych telekomunikacji, bankowości i ubezpieczeniom, analitycznego CRM czy Business Intelligence.

Matrix.pl od początku swego istnienia, czyli od roku 1993, odnotowuje stały wzrost przychodów oraz dodatni wynik finansowy. W roku budżetowym 2004/2005 zysk netto wyniósł 9.8 mln zł, a przychody ze sprzedaży 118,2 mln zł. Najbardziej dochodowy obszar to rozwiązania IT dla rynku korporacyjnego, czyli rozwiązania dedykowane dla przedsiębiorstw działających w sektorze telekomunikacyjnym, bankowości i ubezpieczeniach, w szczególności rozwiązania business Intelligence, CRM, portale korporacyjne i mobilne oraz konsulting IT.