|
|
Обзор подготовлен
Вопросы контроля доступа и идентификации пользователей в информационных системах компаний в ближайшие 2-3 года выйдут, по мнению экспертов, на первый план в общем спектре задач по обеспечению надежности и непрерывности бизнеса. Сегодня они являются точкой пересечения двух «миров» — ИТ-услуг и ИБ. И важно то, что могут существенно повлиять на сокращение объема утечек информации.
Специфика бизнеса крупных, территориально-распределенных компаний предполагает использование десятков раздельных информационных баз и приложений. Например, в банках — платформы для ведения счетов, сбора информации о кредитной задолженности, приложения для поддержки пластиковых карт и обслуживания по вкладам не связаны друг с другом и используются различными административными подразделениями.
Согласно требованиям безопасности при приеме на работу сотрудник компании получает доступ лишь к необходимым ему информационным ресурсам. При этом системный администратор фиксирует в учетных базах перечень имен и паролей, требуемых для работы с нужными приложениями. Увольнение сотрудника, в свою очередь, предполагает исключение администратором его учетных записей из всех источников. В задачи администраторов также входит управление учетными записями партнеров, представительств и клиентов компании, которые могут иметь доступ к определенным информационным системам через web-интерфейсы. Если партнер становится конкурентом компании, в целях безопасности необходимо своевременно блокировать учетные записи всех его сотрудников. По статистике, не менее 20% учетных записей системы принадлежат «мертвым душам». Это бывшие сотрудники или партнеры компании, которые по-прежнему имеют некоторые полномочия в системе и могут представлять серьезную угрозу безопасности компании.
Таким образом, можно выделить ряд основных проблем, связанных с идентификацией и контролем доступа, с которыми сталкиваются компании по мере своего развития — увеличивается количество точек администрирования, возрастает риск ошибок администрирования и, наконец, растет количество идентификаторов и паролей, приходящихся на одного пользователя.
По мнению Андрея Кормильцева, руководителя департамента информационных технологий и услуг компании «Черус», «управление идентификацией и доступом к информационным ресурсам компании является точкой пересечения двух миров — мира ИТ-услуг и мира информационной безопасности. Существуют две крайности: первая — запретить доступ к информационным системам и давать его только после длительных согласований и вторая — не дифференцировать доступ сотрудников к информационным системам. Очевидно, что ни в первом, ни во втором случае бизнес не сможет эффективно функционировать, т.е. истина, или оптимальное решение проблемы, как всегда, где-то посередине. Таким образом, задача, стоящая особенно остро перед большими компаниями с тысячами пользователей и десятками информационных систем, понятна: сделать процесс управления идентификацией и доступом к информационным системам контролируемым, безопасным, оптимальным по затратам».
Александр Павлов, технический эксперт HP SW, в свою очередь, отмечает, что «непрерывные изменения в сложной инфраструктуре бизнеса в условиях ограниченного времени на выполнение необходимых проверок ставят задачу автоматизации процедур доступа к распределенным информационным ресурсам в один ряд с задачами обеспечения защиты и производительности таких систем».
Перед тем, как перейти к выбору программного продукта, при помощи которого можно автоматизировать и контролировать доступ к информационным ресурсам компании, необходимо провести аудит этого процесса в компании. Такой аудит потребует ответа на ряд вопросов: сколько компания сейчас тратит на управление идентификацией; как организован процесс управления идентификацией и доступом; насколько он эффективен; какие риски необходимо учитывать в связи с текущей организацией процесса; какие существуют программные продукты и решения для управления идентификацией и доступом к ИС; какова их базовая функциональность? По возможности, необходимо оценить экономический эффект внедрения данных решений.
Для того, чтобы оценить затраты компаний на предоставление прав доступа к информационным ресурсам, возьмем параметры реальной компании, назовем ее Х. Это компания — национальный дистрибьютор, имеющая филиалы и склады в 34 городах России и СНГ. Количество внутренних и внешних пользователей в компании — 15 тыс. человек, число бизнес-приложений, которые эксплуатирует компания, достигает 40, при этом каждый пользователь имеет доступ, в среднем, к 10 бизнес-приложениям. По данным кадровой службы компании, ежедневно не менее 100 пользователям требуются те или иные изменения в правах доступа, т.е. не менее 100 человек ежедневно принимаются на работу, увольняются или переходят на новую должность, требующую расширения прав доступа. По данным системных администраторов и специалистов компании, время на выдачу прав доступа в различных бизнес-приложениях колеблется от 5 минут (например, в Lotus Notes) до 1,5 часов (например, в ERP — системе Axapta).
Рассчитать минимальное время (T) регистрации/удаления 100 сотрудников (например, в 10 приложениях ежедневно) достаточно просто:
T=100 (чел.)*10 (приложений)*5 (мин.) = 5000 мин. = 83 часа.
Т.е. в условиях 8-часового рабочего дня для управления правами доступа к информационным системам, компании Х требуется как минимум 10 системных администраторов. Их наличие выливается в ежегодные затраты компании с учетом фонда заработной платы, социальных отчислений, а также расходов на оборудование и обеспечение рабочего места в сумму примерно равную 360 тыс. у.е. в год.
Напомним, что это минимальная оценка и в приведенном расчете не учтены временные затраты на согласование и получение разрешений от руководителей на предоставление прав доступа, а также время на предоставление доступа в одной информационной системе принято минимальным и равным 5-ти минутам.
Итак, видно, что для нашей компании Х управление идентификацией и доступом — проблема №1 в вопросах управления ИТ и обеспечения требуемой безопасности бизнеса.
Для понимания всей важности проблемы, нам также необходимо оценить риски, с которыми сталкивается компания при неэффективной организации процесса доступа к ИС. Прежде всего, это риски, связанные с «инсайдерскими инцидентами» - утечкой информации из компании и использования ее в корыстных целях со стороны настоящих или бывших сотрудников компании, ее клиентов или партнеров. Инсайдерские инциденты происходят ежедневно, хотя сами компании по понятным причинам стараются их не афишировать.
Между тем, по данным CNews Analytics, 33% и 20% инцидентов вызваны нынешними и бывшими сотрудниками соответственно, 11% приходятся на долю клиентов компании, 8% происходят по вине партнеров, 7% вызваны временными служащими (контрактниками, консультантами и т.д.). Таким образом, за 60% всех инцидентов несут ответственность нынешние, бывшие и временные сотрудники компании, что поднимает проблему утечек конфиденциальной информации на первое место в списке приоритетов руководства компании.
Угрозы со стороны инсайдеров напрямую связаны с репутационными рисками компаний. Любая утечка приводит к ухудшению имиджа предприятия и обсуждению инцидента в СМИ. В свою очередь, ухудшение имиджа может привести к снижению чистой прибыли на 20-30% в результате недополученного дохода. Таким образом, руководству компаний следует крайне серьезно подходить к проблеме инсайдеров и утечек, не забывая о том, что профилактика проблемы намного лучше ее лечения.
В Российских компаниях масштабы угроз со стороны инсайдеров в полной мере не осознаются, поэтому и борьба с ними ведется вяло, бессистемно и, как правило, административными средствами, без использования современных программных решений. Менее 50% компаний проводят относительно регулярный аудит прав доступа, не менее 20% всех учетных записей принадлежат «мертвым душам», которые сохраняют права в информационных системах компаний на неопределенное время.
Согласно данным исследований IBM, около 60% учетных записей можно назвать «потерянными», т.е. не удаленными сразу же после увольнения сотрудников из компании. Hewlett-Packard, один из ведущих поставщиков решений в области управления идентификацией и доступом, продолжая тему, утверждает, что пустые учетные записи повышают риск взлома информационных систем в 23 раза. Что касается оценки ущерба от действий инсайдеров, здесь статистика выглядит еще более угрожающей: более 60% атак на информационные системы закончились для компаний потерей бизнеса.
Итак, мы оценили затраты на управление идентификацией и доступом к ИС и поняли, что риски неэффективной организации этого процесса сопоставимы с потерей бизнеса. Теперь мы хотим узнать, какие решения предлагают разработчики для того, чтобы сделать процесс управления идентификацией максимально контролируемым и оптимальным по затратам?
Андрей Макаренко, эксперт отдела информационных технологий и услуг компании «Черус», перечисляет ряд специализированных решений мировых разработчиков ПО. Например, Hewlett-Packard разработала комплекс программных продуктов «Identity Manager», компания Oracle - «COREid Access & Identity». Аналогичный продукт есть в арсенале компаний Sun «Java System Identity Manager» и Novell «Identity Manager». Все эти решения разработаны для централизованного управления идентификацией и доступом к различным информационным ресурсам предприятия, в том числе через web-интерфейсы. Все производители позиционируют эти решения в первую очередь как инструмент повышения надежности и безопасности бизнеса в целом.
В первую очередь, решения класса «Identity Manager» выполняют функцию централизованного управления учетными записями пользователей — как внутренних, так и внешних. Они позволяют создать единое хранилище информации о пользователях и синхронизировать их учетные записи в различных приложениях, т.е. представляют собой единую точку управления правами доступа к различным ИС компании, что дает целый ряд преимуществ.
Во-первых, продукты предоставляют возможность организовать обмен данными из различных приложений и информационных систем за счет тесной интеграции с ними (посредством специализированных программных модулей). Так, интеграция с кадровыми приложениями может автоматизировать часть рутинных процедур: увольнение сотрудника будет означать полное приостановление его доступа к информационной системе, уход в отпуск — временную блокировку с восстановлением в правах на день возвращения. Автоматическое подключение/удаление пользователей и единая точка администрирования позволяют существенно снизить риски, связанные с уходом персонала из компании и с утечкой информации.
Во-вторых, продукты позволяют сотрудникам аутентифицироваться во всех приложениях при помощи одного набора учетных данных, чаще всего при входе пользователя в систему. Это значит, что для выполнения своих должностных обязанностей сотрудникам больше не нужно помнить несколько различных паролей.
В-третьих, продукты «Identity Manager» позволяют администраторам оперативно создавать учетные записи, экономя их время. Вся информация о правах доступа сотрудников к тем или иным приложениям хранится в единой базе учетных записей. Кроме того, автоматическое создание учетных записей предоставляет возможность избежать ошибок администрирования и существенно повысить продуктивность работы администраторов и всех подразделений. В этом заинтересованы не только специалисты ИТ-подразделения, но и руководство компаний, и службы безопасности.
В-четвертых, при желании можно настроить систему так, что служба безопасности будет контролировать несанкционированный вход сотрудника в любую информационную базу компании и оперативно реагировать на инциденты.
Необходимо отметить, что все решения являются модульными, т.е. состоят из нескольких блоков, предназначенных для управления идентификацией в различных средах, поэтому возможен выбор оптимальной функциональности решений и их поэтапное внедрение.
Вернемся к расчету, который проведен в самом начале статьи для компании Х. По оценке «Черус», компания Х тратит ежегодно не менее 360 тыс. у.е. на управление идентификацией. При помощи продуктов класса «Identity Manager» компания Х теперь может выполнять тот же объем работ, а именно: прием, увольнение, изменение должности ежедневно 100 сотрудников, предоставление прав доступа к 10 информационным системам, силами одного администратора, да и то, на этот вид деятельности он будет затрачивать не более 40% рабочего времени. Таким образом, для компании Х затраты на управление правами доступа к информационным системам компании снизятся до уровня 15 тыс. у.е. в год, а контроль над данным процессом возрастет многократно.
Эти цифры для каждой компании можно рассчитать индивидуально, установив демонстрационный стенд в ее информационной среде еще на стадии проектирования системы. Проведя все необходимые замеры в режиме «до внедрения» и в режиме «после внедрения», компания может оценить экономический эффект непосредственно для своих бизнес–параметров: количество пользователей, количество информационных систем, ежедневная потребность в смене прав доступа, время регистрации/удаления пользователя в одной информационной системе и т.д. По данным Hewlett-Packard, возврат инвестиций при внедрении решений «Identity Manager» происходит для больших компаний в рекордно короткие сроки, а ROI достигает 295% за 3 года.
Мария Манова