Istnieje jednak bezpieczna alternatywa wobec tego typu usług. To narzędzia do zarządzanego transferu plików, dzięki którym użytkownicy mogą bez przeszkód kontynuować pracę, administratorzy zaś nie muszą martwić się o bezpieczeństwo firmowych danych. Rozwiązania te konsolidują i zabezpieczają wszystkie działania związane z przesyłaniem danych, aby zapewnić lepszą kontrolę nad udostępnianymi plikami. Kluczowym elementem gwarantującym bezpieczeństwo jest protokół Secure File Transfer Protocol (SFTP), który zapewnia transmisję plików zgodną ze standardami Secure Shell (SSH) oraz Secure Sockets Layer (SSL).

Tego typu narzędziem jest MOVEit, stworzony przez firmę Ipswitch, kupioną na początku 2019 r. przez Progress. Z jego funkcji korzystają już tysiące firm na całym świecie. Umożliwia automatyzację działań związanych z zarządzanym transferem plików, tworzenie zasad ich przesyłania i sprawdzanie, czy nie łamią ich pracownicy.

W MOVEit wbudowano m.in. funkcję bezpiecznego współużytkowania folderów (Secure Folder Sharing), dzięki której użytkownicy mogą samodzielnie tworzyć bezpieczne foldery i decydować, kto będzie miał uprawnienia do odczytu i zapisu znajdujących się w nich plików (zarówno w firmowej sieci, jak i poza nią). Z folderów można swobodnie korzystać w sposób, do jakiego przyzwyczajeni są użytkownicy komputerów z systemami Windows i macOS. Także ich umiejscowienie jest dowolne – mogą znajdować się na serwerze w siedzibie przedsiębiorstwa lub w chmurze. Zaangażowanie administratorów w ten proces ograniczone jest do minimum, ale zachowują pełną kontrolę nad przyznawanymi uprawnieniami i mogą tworzyć rejestry zdarzeń zawierające szczegóły wszystkich dokonanych w tych folderach operacji.

Artykuł MOVEit – przesyłane pliki pod kontrolą pochodzi z serwisu CRN.

Jeśli więc administratorzy wcześniej nie zgłaszali zwierzchnikom żadnych problemów, teraz zarządy – wiedząc o wymogach formalnych – raz na jakiś czas decydują się na sprawdzenie, czy rzeczywiście ich nie ma. Gdy w wyniku audytu firma dostanie słabą ocenę, dajmy na to w zakresie kontroli dostępu do infrastruktury IT, integratorzy mogą się spodziewać zapytań o sposoby rozwiązania problemów.

Dostęp nie tylko dla użytkowników

Na rynku są trzy typy rozwiązań zabezpieczających infrastrukturę IT, które spełniają potrzeby przedsiębiorstw w obszarze cyberbezpieczeństwa. Pierwsze to klasyczne narzędzia do ochrony, w rodzaju antywirusa, antyspamu, firewalla oraz IPS, które filtrują pliki i ruch w sieci, chroniąc przed zagrożeniami przenoszonymi za ich pośrednictwem. Drugi typ stanowią platformy zbierające różnego rodzaju logi dostarczane przez infrastrukturę (z danymi surowymi albo przetworzonymi), szukające anomalii i podejrzanych aktywności, także przy użyciu technik uczenia maszynowego i sztucznej inteligencji.

Na trzecią grupę składają się rozwiązania, które nie oferują ochrony opartej na filtrach i skanerach, ale wymuszają stosowanie odpowiednich reguł polityki bezpieczeństwa, m.in. związanych z dostępem do firmowych danych (zarówno pracowników jak i współpracowników, w tym także z podmiotów zewnętrznych), zarządzaniem hasłami oraz kluczami SSH do kont uprzywilejowanych. Specjaliści podkreślają, że w tego typu rozwiązaniach ważną rolę odgrywa zarządzanie dostępem uprzywilejowanym. Nie powinno więc dziwić, że w zestawieniu dziesięciu najlepszych projektów ochronnych z roku bieżącego analitycy Gartnera umieścili Privileged Access Management na pierwszym miejscu.

W zakresie zabezpieczania dostępu ważna jest taka organizacja infrastruktury, która określi jasny podział sieci na segmenty. Łatwo wówczas zastosować narzędzia, które służą do monitorowania dostępu z prawami administratora oraz zarządzania kontami uprzywilejowanymi (np. sposobem przydzielania haseł użytkownikom bądź urządzeniom oraz kontrolą ich wykorzystywania).

Niektóre urządzenia muszą mieć dostęp na poziomie uprzywilejowanym, bo inaczej nie byłoby mowy o bezpieczeństwie odmienianej ostatnio przez wszystkie przypadki automatyzacji działania infrastruktury. A gdy na rynku brakuje specjalistów, wszyscy starają się w mniejszym lub większym zakresie wprowadzać zautomatyzowane zarządzanie firmową infrastrukturą IT.

Audytorzy uważnie przeglądają skrypty związane z automatyzacją, m.in. dotyczące budowania nowych maszyn wirtualnych czy aplikacji w chmurze. Sprawdzają, jak są tworzone konta użytkowników i hasła do nich oraz gdzie te dane są przechowywane. Dlatego zarządzanie dostępem uprzywilejowanym i kontami z prawami administratora staje się coraz ważniejsze, zarówno w przedsiębiorstwach, jak i w instytucjach.

Wciąż zbyt mała świadomość

Zdobywanie wiedzy w zakresie kontroli dostępu (również uprzywilejowanego) nie jest jednak proste. Zdaniem Marty Zborowskiej, Sales Directora w Connect Distribution, to wciąż nowy temat i wymaga od dostawców działań edukacyjnych. W praktyce w każdej firmie wykorzystywane są hasła i konta uprzywilejowane, które umożliwiają uzyskanie dostępu do krytycznych danych i systemów. Jednak, gdy rozmowa z klientem schodzi na rozwiązania PAM, najważniejszą dla niego kwestią pozostaje nagrywanie sesji.

– Gdy próbujemy tłumaczyć, dlaczego PAM jest tak istotny i dlaczego konta uprzywilejowane muszą znajdować się pod kontrolą, reakcja klienta ogranicza się do pytania: czy macie państwo nagrywarkę sesji internetowych? – mówi Marta Zborowska.

Jeśli nawet klienci słyszeli o zagrożeniach związanych z kontami uprzywilejowanymi, twierdzą, że nie potrzebują jeszcze narzędzi do zarządzania nimi, a inni odsuwają zakup takich rozwiązań na plan dalszy. Skupiają się wyłącznie na udokumentowanym posiadaniu nagranej sesji, ponieważ tego wymagają przepisy i o tym mówią przeprowadzający audyt.

Według specjalistów, z którymi rozmawialiśmy, polscy klienci, a konkretnie osoby odpowiedzialne w firmach za bezpieczeństwo IT, wciąż działają bez jasnej, długoterminowej strategii. Rzadko zdarza się, że w przypadku ograniczonego budżetu planowane jest wdrożenie najpierw jednego zabezpieczenia (przykładowo zarządzania dostępem uprzywilejowanym), a za rok – gdy znów będą pieniądze – implementacja uwierzytelniania dwuskładnikowego. Klienci najczęściej działają bowiem od szkody do szkody, reagując przede wszystkim na bieżące problemy.

Co dodać do hasła?

Rozwiązanie do zarządzania dostępem przejmuje kontrolę nad wszystkimi mechanizmami logowania się do zasobów IT. Często na początku wykonuje audyt wszystkiego, co jest w sieci, by następnie umożliwić nadawanie uprawnień zgodnie z przyjętą polityką bezpieczeństwa. Od niej będzie zależeć, czy wystarczy uwierzytelnienie za pomocą hasła, czy potrzebne będzie wdrożenie rozwiązania wieloskładnikowego (Multi-Factor Authentication). MFA zwiększa poziom ochrony i zwykle jest wprowadzane w modelu dwuskładnikowym – login/hasło plus wybrany dodatkowy sposób uwierzytelniania. Na rynku dostępnych jest wiele różnych rozwiązań do tworzenia takich zabezpieczeń.

– Odnotowujemy coraz więcej zapytań dotyczących możliwości współpracy systemu zarządzania dostępem uprzywilejowanym z uwierzytelnianiem dwuskładnikowym – twierdzi Paweł Rybczyk, Territory Manager CEE & CIS w firmie Wallix.

Oceniając polski rynek rozwiązań do uwierzytelniania wieloskładnikowego, Krzysztof Hałgas, dyrektor Bakotechu, zauważa na nim wyraźny podział. Z jednej strony są firmy i instytucje, które zgodnie z wewnętrznymi regulacjami powinny korzystać z tego typu rozwiązań i używają ich od wielu lat. Ta część rynku jest w pewnym sensie zamknięta, bo w całości opanowana przez dostawców, którzy są liderami w tym segmencie. Wykorzystywane są tu przeważnie tokeny sprzętowe (rzadziej programowe).

Z drugiej strony są średni i mali przedsiębiorcy, którzy albo nie uświadamiają sobie potrzeby używania bardziej zaawansowanych mechanizmów kontroli dostępu, albo sądzą, że ich to nie dotyczy (co na jedno wychodzi). Zaczynają myśleć o ich wdrożeniu dopiero wtedy, kiedy coś się wydarzy. Do zarządów firm dociera wówczas, że wieloskładnikowe uwierzytelnianie uchroniłoby ich przed szkodą.

– Liderzy rynku nie trafiają do takich klientów, bo są skoncentrowani na dużych przedsiębiorstwach. Poza tym ich rozwiązania są relatywnie drogie i mogą być trudne we wdrożeniu. Tymczasem na rynku znajdują się produkty, które za nieduże pieniądze umożliwiają prostą instalację i wygodne wykorzystanie MFA – wyjaśnia Krzysztof Hałgas.

W przeznaczonych dla tej grupy klientów systemach kontrolę dostępu do informacji zapewnia przykładowo programowe rozwiązanie zarządzane z chmury, wprowadzające uwierzytelnianie wieloskładnikowe do systemu informatycznego, które będzie wykorzystywać smartfony jako urządzenia zapewniające dodatkowy składnik autentykacji. Dzięki chmurze łatwiejsze staje się także administrowanie rozwiązaniem – dodawanie użytkowników, integrowanie z AD, zdalne przyznawanie uprawnień i ich odbieranie. Z kolei dzięki temu, że tokenem sprzętowym staje się smartfon, użytkownicy nie muszą nosić ze sobą żadnego dodatkowego urządzenia do uwierzytelniania.

Wykorzystanie chmury i telefonów w takich rozwiązaniach może jednak budzić obawy klientów. Dostawcy bronią swych rozwiązań, tłumacząc potencjalnym nabywcom, że takie środowisko jest w pełni bezpieczne: w chmurze przechowuje się niewiele informacji i to w formie, która zapobiega ich nieuprawnionemu wykorzystaniu. Odnosząc się do kwestii telefonów, mówią o mechanizmach, które uniemożliwiają uzyskanie kodu uwierzytelniającego na innym urządzeniu niż smartfon, dla którego ów kod jest przeznaczony.

Obecnie wiele firm stosuje systemy pojedynczego logowania (Single Sign-On), które ułatwiają życie użytkownikom, gdyż nie wymagają wpisywania kolejnych danych uwierzytelniających podczas logowania się do systemów i aplikacji. Z drugiej strony upraszczają pracę administratorom, zapewniając im większą kontrolę nad hasłami. Dzięki temu nie muszą pamiętać o odbieraniu uprawnień odchodzącym bądź zwalnianym pracownikom. Wystarczy, że wyłączą jedno hasło, a wszystkie uprawnienia takiej osoby tracą ważność, co uniemożliwia jej wszelki dostęp do danych. We wdrażaniu SSO jeszcze większe znaczenie ma wdrożenie uwierzytelniania dwuskładnikowego, bo jeśli jeden „klucz” otwiera tak wiele „drzwi”, to tym bardziej trzeba upewnić się, że używa go odpowiednia osoba.

Biometria – z dużej chmury (na razie) mały deszcz

Jakiś czas temu wydawało się, że biometria opanuje rynek uwierzytelniania. Pojawiło się wiele rozwiązań wykorzystujących odcisk palca i inne metody biometryczne. Analitycy przewidywali, że ich sprzedaż będzie rosła w szybkim tempie, ale tak się nie stało. Na przeszkodzie stoją prawdopodobnie dodatkowe koszty czytników oraz konieczność używania przez pracowników kolejnego urządzenia.

– Klienci wolą prostsze we wdrożeniu rozwiązania i – bez zmian – częściej korzystają z tokenów sprzętowych i programowych – utrzymuje Krzysztof Hałgas.

Dostawcy i ich partnerzy z branży zabezpieczeń przyznają, że zastosowanie biometrii do uwierzytelniania się wciąż nie zyskało popularności w segmencie biznesowym. Co innego na rynku konsumenckim, gdzie się szeroko rozpowszechniło. Posiadacze nowych smartfonów bardzo często uzyskują do nich dostęp przy użyciu czytnika linii papilarnych, skanera tęczówki czy mechanizmu rozpoznawania twarzy. Choć trzeba pamiętać, że poziom takich zabezpieczeń jest różny. Parę miesięcy temu Holenderskie Stowarzyszenie Konsumentów przedstawiło wyniki testów, które pokazały, że wiele modeli smartfonów znanych marek udało się odblokować za pomocą wysokiej jakości fotografii właściciela.

Niemniej techniki biometryczne są stale doskonalone. Łatwość ich użycia sprawia, że z biegiem czasu klienci będą zapewne domagać się ich stosowania także w życiu zawodowym. Nie byłby to pierwszy przykład przenikania trendów konsumenckich do biznesu. Mimo falstartu biometrii przed laty, można przypuszczać, że będzie ona zyskiwać na znaczeniu jako drugi, wygodny element uwierzytelniający w schemacie MFF. A w przyszłości, kto wie? Może jedyny.

Nie lekceważyć dostępu

Dostawcy przekonują, że kontrola dostępu informatycznego powinna być dla zarządów firm tak oczywista, jak kontrola dostępu fizycznego. O ile jednak przedsiębiorcy nie mają dzisiaj żadnych wątpliwości, że potrzebują ochrony z kamerami i całodobowym monitoringiem, o tyle wciąż nie są przekonani, że równie dokładnie powinno się kontrolować, kto i jak korzysta z firmowych zasobów IT.

Z doświadczeń producentów rozwiązań do uwierzytelniania i ich partnerów wynika, że często pracownicy działów IT nie tłumaczą szefom, dlaczego kontrola dostępu do firmowej infrastruktury jest konieczna, jak działa i jakie bywają konsekwencje braku odpowiednich zabezpieczeń. Dlatego to integratorzy powinni rozmawiać z osobami decyzyjnymi w przedsiębiorstwach i wyjaśniać, że ułatwianie intruzowi dostępu do firmowej sieci nie różni się od wpuszczania złodzieja do siedziby, a szkody mogą być dużo większe. Ponieważ edukacja jest tak ważna, dostawcy oferują coraz więcej szkoleń, zarówno dla swoich partnerów, jak i ich klientów.

Przewiduje się, że zarządzanie tożsamością i dostępem będzie w kolejnych latach odgrywać ważną rolę na rynku zabezpieczeń, ze względu na zapewnianą przez takie rozwiązania centralizację kontroli oraz efektywność ich działania. Dzięki umożliwieniu zaawansowanego uwierzytelniania, wykorzystywania katalogu, zarządzania hasłami, korzystania z funkcji pojedynczego logowania (SSO) oraz przeprowadzania audytu przedsiębiorcy zyskują gwarancję, że ich najważniejsze dane i aplikacje są właściwie zabezpieczone.

Artykuł Zarządzanie dostępem: hasło to za mało pochodzi z serwisu CRN.

Ale to będzie się zmieniać. Zarówno na świecie, jak i lokalnie na rynku zarządzania dostępem i tożsamościami przewidywane są solidne wzrosty. Według analityków z Zion Market Research do 2022 r. ma on osiągnąć globalną wartość 15,92 mld dol. (w 2016 r. było to 7,85 mld dol.). Wśród najważniejszych wdrażanych komponentów zarządzania dostępem i tożsamościami mają być takie funkcje jak: provisioning, Single Sign-On, zaawansowane uwierzytelnianie, audyt, compliance & governance, usługi katalogowe i zarządzanie hasłami.

W stymulowaniu popytu ważne jest, by rozmowy z klientami o zarządzaniu dostępem były prowadzone bardziej w kontekście biznesowym niż technologicznym. W ten sposób łatwiej można przekonać rozmówców, że zaoszczędzą realne pieniądze, mając rozwiązane problemy dotyczące szeroko rozumianego „compliance” oraz bezpieczeństwa swoich systemów informatycznych. Większa świadomość przełoży się na rosnące zainteresowanie zarządzaniem dostępem do sieci i informacji. Potrzeba posiadania narzędzi IAM (Identity and Access Management – zarządzanie tożsamością i dostępem) oraz PAM (Privileged Access Management – zarządzanie dostępem uprzywilejowanym) z czasem stanie się integralnym elementem strategii rozwoju IT.

Zarówno klienci myślący o wykorzystaniu rozwiązań do zarządzania dostępem, jak i integratorzy mający pomóc im we wdrożeniach powinni śledzić najważniejsze trendy w tym obszarze zabezpieczeń. Tym bardziej że stają się one coraz bardziej złożone – ewoluują wraz z pojawianiem się nowych zagrożeń i dostosowują się do zmian w sposobach funkcjonowania przedsiębiorstw. Takie elementy rozwiązań IAM/PAM, jak scentralizowane zarządzanie dostępem, automatyzacja, raportowanie i składowe polityki bezpieczeństwa tworzone w kontekście specyficznych aplikacji, muszą sprostać wyzwaniom, z jakimi zmagają się dziś firmy. A tych jest niemało…

Coraz bardziej rozproszone środowisko pracy

Po pierwsze dostęp do aplikacji i danych od dawna nie ogranicza się tylko do wewnętrznej sieci. Mobilny i zdalnie pracujący personel może być bardziej produktywny od osób stale przebywających w biurze. Jednocześnie daje szansę na ograniczenie kosztów prowadzenia działalności biznesowej. Jednakże geograficznie rozproszeni pracownicy to dla działu IT istotny problem do rozwiązania. Jak zapewnić spójną obsługę użytkowników łączących się z zewnątrz z zasobami firmy, nie zmniejszając równocześnie ryzyka w kontekście bezpieczeństwa IT?

Większa mobilność i zdalny dostęp wymagają kontroli nad poczynaniami pracowników, zewnętrznych usługodawców, partnerów biznesowych itp., którą niełatwo zapewnić. W dodatku firmy zostały zmuszone do mniej lub bardziej formalnego wprowadzenia modelu BYOD, co jeszcze bardziej komplikuje sprawę. Wyzwanie działu IT polega na tym, jak szybko reagować na potencjalne zagrożenia, a jednocześnie nie ograniczać produktywności pracowników ani ich wolności wyboru. Administratorzy muszą sobie poradzić z ustaleniem praw dostępu do firmowych danych oraz określeniem urządzeń, z których dostęp może być zapewniany.

Rośnie wykorzystanie opartych na chmurze aplikacji SaaS (Software as a Service), więc użytkownicy z dowolnego miejsca i dowolnego urządzenia uzyskują dostęp do podstawowych dla biznesu narzędzi, takich jak Office 365 czy Salesforce. Jednakże wraz z rozwojem rozproszonego środowiska pracy wzrasta złożoność zarządzania tożsamością użytkowników aplikacji chmurowych. Bez sprawnego administrowania hasłami trudno zapewnić bezproblemowy i bezpieczny dostęp do wykorzystujących chmurę aplikacji, a koszty obsługi sfrustrowanych użytkowników przez działy IT będą rosły.

Jak szybko przydzielić dostęp…

Bez scentralizowanego narzędzia administrator musi ręcznie przydzielać dostęp do systemu IT. Im więcej czasu potrzeba, by pracownik uzyskał dostęp do podstawowych aplikacji biznesowych, tym jest on dla firmy mniej produktywny. W wielu firmach administratorzy muszą „przekopywać się” przez konta użytkowników, by ustalić, do jakich zasobów mają im zostać przyznane prawa. Ręczne przydzielanie dostępu jest czasochłonne i prowadzi do błędów. Dlatego szczególnie duże przedsiębiorstwa potrzebują wydajnych narzędzi do zarządzania tożsamością użytkowników i dostępem.

…a później jeszcze szybciej go odebrać

Nie mniej ważne od przydzielania praw dostępu jest ich odbieranie. Brak odpowiedniego działania w przypadku pracownika, który opuszcza firmę bądź przenosi się do innego działu, może mieć poważne konsekwencje dla bezpieczeństwa informacji. Aby maksymalnie ograniczyć ryzyko nadużyć, dział IT musi odebrać dostęp najszybciej, jak to możliwe.

To bardzo ważny element IAM, ponieważ w czasie zatrudnienia w firmie pracownik mógł zgromadzić wiele haseł do różnych aplikacji. Bez scentralizowanego narzędzia do zarządzania administratorowi trudno jest się zorientować, kto ma do czego dostęp. W sytuacji, gdy narzędzie to zostanie zintegrowane z systemem obsługującym dział HR, chwilę po tym, jak odchodzący pracownik opuścił firmę, wszystkie prawa dostępu, jakie posiadał, mogą zostać odebrane. Gdyby miało to być obsługiwane ręcznie, proces trwałby miesiącami. Wobec szkód, do jakich może doprowadzić niezadowolony ze zwolnienia pracownik, oszczędności wynikające z szybkiego i skutecznego pozbawiania praw dostępu są łatwe do wykazania.

Problem z hasłami

Średnia firma zwykle korzysta z kilkudziesięciu aplikacji, baz danych i systemów, które wymagają od użytkowników uwierzytelnienia. Im większe przedsiębiorstwo, tym większy problem. Wyniki badań przeprowadzonych wśród firm z listy Fortune 1000 ujawniają, że posługują się one średnio 200 bazami lub katalogami z informacjami o użytkownikach w celu kontrolowania dostępu do swoich systemów informatycznych.

Przybywa też rozwiązań bazujących na chmurze, a pracownicy są zmuszeni zapamiętywać coraz więcej haseł dostępu do aplikacji, które mogą wykorzystywać różne metody uwierzytelniania o odmiennych standardach i protokołach. Użytkownicy spędzają coraz więcej czasu na obsłudze danych uwierzytelniających, więc ich frustracja rośnie. Tym bardziej że – w przypadku niektórych aplikacji – zmiana hasła jest wymagana co 30 dni. Jak wszyscy wiemy, hasła muszą być długie i złożone – to zalecenie powtarzane jest od lat jak mantra. Powinny zawierać małe i wielkie litery, cyfry oraz znaki specjalne. Konieczność zapamiętywania coraz większej liczby skomplikowanych haseł to udręka dla użytkowników. Trudno się więc dziwić, że w badaniu firmy Cyberark prawie jedna trzecia respondentów oznajmiła, że przechowuje poświadczenia w pliku na firmowym komputerze. Kolejne 20 proc. ankietowanych przyznało się, że ma je zapisane w prywatnych notatkach.

Gdy dla pracowników obsługa haseł staje się dużym problemem, częściej zwracają się po pomoc do działu IT. Statystyki pokazują, że nawet jedna trzecia zgłoszeń do help desku może dotyczyć próśb o zresetowanie hasła. Takiemu marnowaniu cennych zasobów może zapobiec skutecznie wdrożone rozwiązanie z mechanizmem SSO (Single Sign-On), zapewniającego jednorazowe logowanie się do usługi sieciowej i uzyskanie dostępu do wszystkich autoryzowanych zasobów z nią związanych. W celu zwiększenia bezpieczeństwa uwierzytelnianie SSO powinno być wieloskładnikowe.

Dostęp uprzywilejowany

Przez wewnętrznych użytkowników najczęściej rozumie się pracowników firmy. Aby jednak skutecznie ograniczyć ryzyko niepożądanych wizyt w systemie, definicję trzeba rozszerzyć. Za użytkowników wewnętrznych powinno się uznać pracowników, zewnętrznych usługodawców, partnerów, a także dostawców, którzy mają dostęp do firmowych systemów i danych.

Wyniki ankiety przeprowadzonej wśród 400 specjalistów IT z Ameryki Północnej i Europy przez firmę Loudhouse pokazują, że średnio 59 proc. kont uprzywilejowanych w przedsiębiorstwach jest tworzonych dla zewnętrznych podmiotów (w tym partnerów/resellerów – 30 proc., zewnętrznych usługodawców – 16 proc., i niezależnych dostawców – 13 proc.). Wychodzi więc na to, że większość „użytkowników wewnętrznych” z prawami administratora to osoby mało znane administratorom IT lub w ogóle nieznane.

Nierzadko w firmie liczba kont uprzywilejowanych (czyli takich, których niewłaściwe wykorzystanie stwarza największe zagrożenie dla bezpieczeństwa) przekracza liczbę użytkowników. Dzieje się tak, ponieważ pracownicy muszą radzić sobie z wieloma dostępami, a do tego dochodzą jeszcze maszyny i aplikacje, które także muszą uzyskiwać dostęp do określonych danych i systemów. Co istotne, wobec postępującej automatyzacji wymagających uwierzytelniania interakcji typu maszyna–maszyna czy aplikacja–aplikacja będzie coraz więcej.

Ochronę zasobów i zachowanie zgodności z regulacjami ułatwią klientom rozwiązania PAM. Umożliwiają zabezpieczanie, zarządzanie i monitorowanie kont uprzywilejowanych oraz uzyskiwanego za ich pomocą dostępu.

Adam Kuligowski, wiceprezes zarządu w Sidio, zauważa, że klienci decydujący się na zakup rozwiązania do zarządzania dostępem uprzywilejowanym wybierają je przede wszystkim ze względu na szeroko pojęte zarządzanie sesjami administracyjnymi.

– Chcą kontrolować, kto i do czego ma mieć dostęp oraz w jakim zakresie, nagrywać sesje administracyjne na wideo i otrzymywać ich transkrypcje – tłumaczy integrator.

Marta Zborowska, Sales Director w Connect Distribution, także zwraca uwagę na możliwość kontroli przez nagrywanie sesji administracyjnych. Celem jest audyt w przypadku jakichś nieprawidłowości w działaniu administratorów i wyeliminowanie nieuzasadnionych podejrzeń. Jej zdaniem bardzo często zarządzanie dostępem do kont uprzywilejowanych jest też kojarzone z administrowaniem hasłami.

– Najbardziej świadomi klienci szukają rozwiązań kompleksowych, obejmujących całokształt kontroli dostępu na każdym poziomie: od stacji końcowych przez wszelkie urządzenia infrastruktury podlegające zarządzaniu aż po serwery i działające na nich aplikacje – mówi specjalistka warszawskiego VAD-a.

Zgodność z regulacjami

Kłopoty związane z compliance & governance należą do najważniejszych powodów wdrażania rozwiązań IAM/PAM. W ostatnim czasie najwięcej mówiło się o konsekwencjach wprowadzenia unijnego rozporządzenia RODO, ale nie mniej ważne okazują się regulacje branżowe.

W obliczu kar za niezastosowanie się do przepisów przedsiębiorstwa muszą starać się ograniczyć ryzyko związane z nieuprawnionym dostępem do informacji. Polega to m.in. na modyfikowaniu reguł polityki bezpieczeństwa dotyczących zarządzania i ochrony danych. Odpowiednie narzędzia znakomicie ułatwiają obsługę takich zadań, jak określanie praw dostępu dla użytkowników uprzywilejowanych czy śledzenie oraz dokumentowanie, kto i kiedy miał dostęp do konkretnych zasobów informacji. W rezultacie przyczyniają się do zachowania zgodności z regulacjami i sprawiają, że proces audytu może przebiegać bezproblemowo.

Z drugiej strony działanie rozwiązań IAM/PAM będzie na tyle skuteczne, na ile skuteczne będzie zaimplementowana polityka bezpieczeństwa w kontekście dostępu i zarządzania tożsamościami. Te produkty w praktyce mają odzwierciedlać reguły stworzone wcześniej „na papierze”. Tym samym bezpośrednio odnoszą się do sfery „compliance”. Dostawcy twierdzą, że jest to tak ewidentne, że nawet nie trzeba klientom tego tłumaczyć.

– Podczas prezentacji rozwiązania PAM staram się nie odwoływać bezpośrednio do RODO. Wiem, że odbiorcy sami zauważą, jak bardzo tego rodzaju narzędzia wpisują się w kontekst zachowania zgodności z tymi i innymi przepisami związanymi z „compliance” – mówi Paweł Rybczyk, Business Developer CEE & Russia w firmie Wallix.

Kontrola dostępu: całościowe podejście

Klienci mają kłopoty ze znalezieniem specjalistów IT. Na rynku brakuje ludzi z odpowiednimi kompetencjami, a zatrudnianie ich coraz więcej kosztuje. Powinno to napędzać sprzedaż rozwiązań takich jak IAM/PAM, automatyzujących wiele zadań, które musiałyby być wykonywane ręcznie przez pracowników działu IT. Narzędzia te umożliwiają też kontrolę nad zewnętrznymi usługodawcami, których trzeba wynajmować, gdy brakuje własnego personelu.

Braki w zatrudnieniu są tak duże, że nierzadko w przedsiębiorstwach po prostu nie ma kto zająć się obsługą narzędzi do zarządzania dostępem. W rezultacie otwiera to integratorom pole do działania w modelu IAM/PAM as a Service. Są produkty zapewniające świadczenie takich usług, a dostawcy przyznają, że klienci pytają o możliwość zakupu rozwiązania opłacanego w abonamencie i zarządzanego przez jakiś zewnętrzny podmiot. Na pytaniach się jednak zwykle kończy, bo kiedy dochodzi do testów, zwykle wybierają oni wersję on-premise. Z jednej strony może to świadczyć o tym, że czas robienia biznesu z wykorzystaniem chmury jeszcze u nas nie nadszedł, a z drugiej wskazywać, że IAM/PAM jako narzędzia z newralgicznego obszaru mogą się w modelu usługowym trudniej sprzedawać.

– W przypadku PAM as a Service mogą się pojawić problemy natury „politycznej”. Sytuacja, gdy jeden integrator, zarządzający usługą, ma kontrolować działania drugiego integratora, wynajętego przez klienta do innych prac, jest potencjalnie konfliktowa – zauważa Paweł Rybczyk.

Integrator oferujący rozwiązania typu IAM/PAM musi nie tylko posiadać dużą wiedzę o dostępnych narzędziach, ale także wykazać się głęboką znajomością środowiska klienta oraz zachodzących tam procesów. Dbając o ochronę dostępu, nie może zapomnieć o innych aspektach bezpieczeństwa oraz o konieczności integracji wdrażanych narzędzi z istniejącymi systemami.

– Dlatego przy wyborze rozwiązania do zarządzania dostępem powinien kierować się nie tylko kryterium ceny, ale przede wszystkim funkcjonalnością, możliwością integracji z innymi systemami bezpieczeństwa i elastycznością konfiguracji w zależności od potrzeb klienta – twierdzi Marta Zborowska.

Ten wybór jest rownież – jak zawsze w przypadku rozwiązań z zakresu bezpieczeństwa – wynikiem pewnego kompromisu. Integratorzy wdrażający narzędzia do zarządzania tożsamościami i dostępem do firmowych zasobów oraz działy IT klientów muszą znaleźć równowagę pomiędzy zaawansowaniem mechanizmów bezpieczeństwa a uproszczeniem procedur dostępu. Klient tylko wtedy uzyska duży zwrot z inwestycji, gdy zapewni mu się ochronę, która z jednej strony skutecznie zabezpieczy przed materialnymi i niematerialnymi stratami wynikającymi z naruszeń bezpieczeństwa, a z drugiej będzie miała pozytywny wpływ na produktywność pracowników.

Artykuł Zarobić na dostępie pochodzi z serwisu CRN.