Поделиться
Посторонним вход воспрещен: как обезопасить корпоративные данные?
Кто поспорит с тем, что доступ сотрудников к информации предприятия должен быть не только удобным, но и безопасным? На первый взгляд это кажется очевидным. Однако практика показывает, что в российских компаниях о второй составляющей часто забывают. О том, как защититься от кражи корпоративных данных и что такое управление доступом к информационным ресурсам предприятия, читайте далее.Посмотрим, как это работает, скажем, в случае приема нового сотрудника в отдел продаж. Как только приказ проведен менеджером по персоналу в своей кадровой системе, IDM сразу подхватывает эту информацию и автоматически или после подтверждения руководителем отдела продаж (в зависимости от настроек) создает учетные записи нового сотрудника в нужных ему ИТ-системах – в полном соответствии с его ролью. Больше не нужно ждать, пока служебная записка соберет все визы и поступит из отдела персонала в отдел ИТ, а там дождется, когда же до нее дойдут руки у перегруженных работой системных администраторов.
Примерно то же происходит при увольнении сотрудника: как только приказ об увольнении будет проведен в кадрах, IDM-система мгновенно заблокирует или ограничит (в зависимости от политик безопасности) доступ данного сотрудника к ИТ-системам. Кстати, хорошая IDM-система автоматизирует и процесс согласования заявок на предоставление или изменение прав доступа. Соответственно, в компании появляются четко описанные и автоматизированные процедуры, позволяющие запросить, подтвердить и предоставить те или иные права доступа. Кроме того, с внедрением IDM в организации появляется единая база всех прав доступа ко всем ИТ-системам и единая консоль управления правами доступа, что очень серьезно разгружает администраторов ИТ-систем.
Хорошая IDM-система автоматизирует процесс согласования заявок на права доступа
Отметим, что IDM-система автоматически решает одну из очень актуальных проблем в сфере управления доступом, а именно наличие «мертвых душ» (учетных записей, оставшихся не удаленными или не заблокированными после ухода сотрудника из компании в различных системах, или избыточных прав доступа у давно работающих сотрудников). Избыточный же доступ возникает вследствие того, что у сотрудников постепенно накапливается шлейф старых, уже не нужных ему в работе, но не заблокированных доступов. Очевидно, что наличие избыточного доступа или активных аккаунтов уволенных сотрудников не сулит организации ничего хорошего.
Также IDM-система автоматически проводит аудит всех заведенных учетных записей и позволяет выявлять и исправлять найденные отклонения в правах доступа. Иными словами, если кто-то из администраторов по ошибке или по злому умыслу произведет какие-либо несанкционированные изменения с правами доступа сотрудников в какой-либо из ИТ-систем, IDM это обнаружит, разошлет соответствующие уведомления и предоставит удобный интерфейс для устранения ошибок или занесения их в исключения (если данное изменение будет санкционированно). Таким образом, IDM-система минимизирует риск злоупотреблений и махинаций со стороны системных администраторов, которые, не будь IDM, имели бы полный простор действий, что является одним из самых уязвимых мест всей системы информационной безопасности организации.
Системы класса PKI (Public Key Infrastructure)
В свое время концепция двухфакторной аутентификации стала настоящим прорывом, позволившим повысить безопасность доступа к ИТ-приложениям. До этого единственной преградой на пути злоумышленника, пытающегося получить несанкционированный доступ к ИТ-системе, был пароль. Но, как всем хорошо известно, его могут украсть, подсмотреть, подобрать или узнать у самого пользователя с помощью обмана. Да и сами пользователи совершают немало глупостей с паролями, значительно облегчая жизнь злоумышленникам. Классические примеры: пароль, записанный на бумажке, прилепленной к монитору, или выбор в качестве паролей простых и логически подбираемых комбинаций, скажем, дня своего рождения или последовательности типа «12345».
Двухфакторная аутентификация предусматривает защиту от таких ситуаций: без предъявления физического ключа, который невозможно подделать, украденный пароль не даст возможности войти в ИС. Такая комбинация значительно повышает надежность системы управления доступом, ведь завладеть ключом и узнать его ПИН-код куда сложнее, чем решить любую из этих задач в отдельности.
Системы класса SSO (Single Sign-On)
Идеология SSO позволяет найти приемлемый баланс между удобством работы пользователей и требованиями безопасности. Классические каноны безопасности гласят, что для безопасной работы с несколькими информационными системами, необходимо не только использовать в них разные пароли, но и как можно чаще менять их. При этом пароли должны еще и соответствовать требованиям по сложности: количество символов, сочетание букв и цифр, разные языки и регистры и т. д.
Поделиться
Короткая ссылка
