O ile kiedyś szyfrowanie danych dotyczyło głównie kluczowych instytucji państwowych, o tyle dziś muszą o nie zadbać praktycznie wszyscy. Wraz z wprowadzeniem RODO przedsiębiorstwa zobowiązane są zgłaszać wszelkie naruszenia bezpieczeństwa danych osobowych. Jeśli informacje były przechowywane i przesyłane w postaci zaszyfrowanej, prawdopodobieństwo ich niewłaściwego wykorzystania radykalnie maleje, a z nim ryzyko ukarania firmy bardzo wysoką grzywną. Oczywiste jest bowiem, że naruszenie bezpieczeństwa danych nie polega tylko na tym, że w niekontrolowany sposób opuszczają one przedsiębiorstwo. Muszą mieć jeszcze formę umożliwiającą ich użycie.

Argumentem za stosowaniem szyfrowania są nie tylko nowe przepisy (a właściwie przewidziane w nich kary), ale także konsekwencje utraty tak cennego zasobu, jakim są dane. Przetwarzane i przenoszone przez pracowników informacje stanowią często know-how firmy, bo są to m.in. projekty, bazy klientów, nawet zestawienia finansowe. Do klientów integratorów docierają doniesienia medialne o głośnych naruszeniach bezpieczeństwa informacji i wynikających z nich stratach finansowych oraz reputacyjnych. I w mniejszym lub większym stopniu muszą robić na nich wrażenie. A przecież zabezpieczenie zasobów za pomocą kryptografii to nie jest – jakby powiedzieli Amerykanie – rocket science. Zaszyfrować da się dziś niemal wszystko (choć oczywiście nie w każdym przypadku mamy do czynienia z taką potrzebą).

Niemniej ochrona metodą szyfrowania powinna być częścią strategii bezpieczeństwa każdej firmy. Żeby się tak stało resellerzy i integratorzy muszą podjąć zadanie edukacji klientów oraz pokazać im wynikające z tego korzyści. To tym łatwiejsze, że na rynku jest dostępnych bardzo wiele rozwiązań, a szyfrowania można dokonywać zarówno sprzętowo, jak i programowo. Często jest oferowane w ramach pakietów ochrony punktów końcowych, ale dostępne są też bardziej wyspecjalizowane i zaawansowane narzędzia.

Przede wszystkim urządzenia mobilne

Za bardzo bezpieczne rozwiązanie można uznać pełne szyfrowanie dysków na komputerach mobilnych. W przypadku zagubienia lub kradzieży zaszyfrowanego laptopa bez loginu i hasła nikt nie będzie miał dostępu do znajdujących się na nim informacji. Nie da się go uruchomić, a dane będą bezpieczne nawet po wyjęciu dysku z komputera i próbie uruchomienia go w innym systemie.

Przedsiębiorstwa potrzebują też bezpiecznych smartfonów i tabletów. Nie powinno być z tym większego problemu w przypadku urządzeń firmowych, którymi można zarządzać zgodnie z określoną polityką bezpieczeństwa, m.in. instalować tylko dozwolone aplikacje. W przypadku BYOD trzeba włożyć więcej wysiłku w edukację wyposażonych pracowników. Kwestia ochrony poufnych danych na urządzeniach prywatnych to jednak spore wyzwanie. Z pomocą przychodzi funkcja szyfrowania wbudowana w smartfony, którą należy aktywować za zgodą pracownika.

Jakiś czas temu producenci oprogramowania do zarządzania urządzeniami mobilnymi (Mobile Device Management) oraz niektórzy dostawcy smartfonów wprowadzili w nich opcję umieszczania oraz szyfrowania danych i aplikacji biznesowych w zabezpieczonych kontenerach. Jednak efektywność tej metody zależy od sposobu korzystania z kontenerów. Chociaż zapewniają bezpieczeństwo, często dzieje się to kosztem wygody obsługi. Z tego powodu nie są odpowiednie dla wszystkich użytkowników, urządzeń i zastosowań. Lansowany jest więc kompromis między stosowaniem firmowych, w pełni kontrolowanych urządzeń a modelem BYOD. W optymalnym pod tym względem modelu COPE (Corporate Owned, Personally Enabled), zakładającym użycie urządzeń pracodawcy dostosowanych do prywatnych celów, w praktyce ochrona sprowadza się do wymuszenia pewnych ustawień zabezpieczeń, wstępnego skonfigurowania kont użytkowników oraz stworzenia kontrolowanego sklepu z aplikacjami.

Do ochrony przed wyciekiem informacji konieczne staje się szyfrowanie przenośnych pamięci. Są one najbardziej narażone są na zgubienie i kradzież. Dlatego producenci odnotowują rosnącą popularność szyfrowanych pamięci USB.

– Klienci coraz częściej zastanawiają się nie nad tym, czy kupować pamięci szyfrowane, tylko jakie wybrać – mówi Robert Sepeta, Business Development Manager w Kingston Technology.

Na rynku jest duży wybór pamięci USB, dostosowanych do potrzeb każdego klienta, od osób prywatnych, przez małe i średnie firmy po największe korporacje, banki i instytucje administracji publicznej. Klienci o ograniczonych budżetach znajdą pamięci za kilkadziesiąt złotych, które w zupełności spełnią podstawową funkcję ochrony. Posiadający bardziej wrażliwe dane i chcący znacząco podnieść poziom bezpieczeństwa, mogą zdecydować się na certyfikowane rozwiązania dla przedsiębiorstw.

Choć szyfrowania wymagają przede wszystkim urządzenia mobilne, to także komputery stacjonarne i serwery mogą być przedmiotem kradzieży, a na pewno znajdujące się na nich dane. Warto je więc objąć tego rodzaju ochroną. Tym bardziej, że w przyszłości ułatwi ona proces wycofywania starego sprzętu z użycia. Jeśli zostanie zastosowane szyfrowanie, podczas recyklingu komputerów łatwiejsze jest czyszczenie dysków i ma się pewność, że firmowe informacje nie wpadną w niepowołane ręce.

Kluczem jest klasyfikacja danych

Najbardziej skuteczne będzie takie wdrożenie szyfrowania i całościowej ochrony przed wyciekiem danych, aby te procesy wymagały minimalnej interakcji administratora i użytkownika. Jednak żadna implementacja rozwiązań zabezpieczających informacje nie zakończy się sukcesem bez skutecznej polityki klasyfikowania danych i ustalenia reguł dostępu do nich. To niezbędne w ochronie informacji, w której najsłabszym ogniwem zawsze jest autoryzowany użytkownik końcowy.

– Aby firmy i instytucje mogły skutecznie zabezpieczać swoje dane, należy przede wszystkim ograniczyć dostęp do danych osobowych i innych wrażliwych informacji pracownikom, którzy takiego dostępu nie potrzebują – twierdzi Robert Sepeta.

Jeśli klient zastanawia się, które dane powinny być szyfrowane, można zadać mu kilka prostych pytań. Czy gdyby te informacje były na papierze, do pozbycia dokumentacji użyłby niszczarki? Czy gdyby dane przypadkowo wyciekły do internetu, spowodowałyby szkody dla jego pracowników lub klientów? Jeśliby na któreś z tych lub podobne pytanie odpowiedział twierdząco, powinien pomyśleć o stosowaniu szyfrowania.

Często klienci obawiają się, że na skutek wprowadzenia szyfrowania komputery będą działać wolniej i zużywać więcej energii. Tymczasem korzystanie z tego zabezpieczenia nie wiąże się z wyraźnym spadkiem wydajności urządzeń, a tym samym produktywności pracowników. Do szyfrowania nie trzeba też kupować sprzętu najnowszej generacji. Od dawna procesory dysponują zestawem instrukcji służących do sprzętowej akceleracji szyfrowania. Z kolei urządzenia pamięci masowej są wyposażane w specjalne procesory, które zajmują się szyfrowaniem i deszyfrowaniem danych na poziomie kontrolera lub dysku. W rezultacie system operacyjny nie jest nawet „świadomy”, że dane są szyfrowane, a tego rodzaju ochrona działa w tle jak antywirus.

W przypadku wdrażania szyfrowania w przedsiębiorstwie ważna jest dostępność dodatkowych kluczy odszyfrowujących. Nie można bowiem stworzyć systemu, w którym nie da się odzyskać danych szyfrowanych przez pracowników. Klucz główny (master key) zapewni działowi IT dostęp do zawartości komputerów, w razie gdy ich użytkownicy zapomną hasła lub opuszczą firmę.

Szyfrowania, a zwłaszcza całościowej ochrony przed wyciekiem danych (DLP), nie wprowadza się z marszu, lecz w sposób przemyślany, by nie paraliżować firmy, ale też by nie pozostawiać luk, przez które dane nadal będą wyciekać. Skuteczna implementacja wymaga wewnętrznej polityki ochrony danych, w stworzeniu której pomóc powinien integrator. Do zapewniania skutecznej ochrony nie jest konieczne szyfrowanie wszystkich danych, lecz tylko tych najwrażliwszych. Do zabezpieczenia pozostałych wystarczą odpowiednie metody uwierzytelniania i kontrola dostępu.

Szyfrowane ataki

Coraz więcej przedsiębiorstw korzysta z mechanizmów szyfrowania w celu ochrony najważniejszych informacji, ale muszą również sobie zdawać sprawę z zagrożeń, które mogą ukrywać się w zaszyfrowanych plikach. Szacuje się, że aż 75 proc. ruchu w internecie jest szyfrowane za pomocą protokołu SSL, a w przypadku branż, w których prawo tego wymaga, wskaźnik ten może być jeszcze wyższy. Dlatego eksperci zajmujący się bezpieczeństwem oceniają, że nawet w połowie ataków mogą być wykorzystywane zaszyfrowane pakiety.

Mimo to, jak pokazują badania, zdecydowana większość przedsiębiorstw używa firewalli, rozwiązań IPS lub UTM, które nie odszyfrowują ruchu SSL, zostawiając otwartą drogę dla ukrytych zagrożeń. Wirusy miewają formę niebezpiecznych załączników do wiadomości e-mail, plików pobieranych z witryny HTTPS oraz złośliwych plików w komunikatorach internetowych i na serwisach społecznościowych.

Trzeba jednak wiedzieć, że odszyfrowywanie ruchu SSL w celu wykrycia zagrożenia to poważne wyzwanie dla systemów informatycznych. Po pierwsze, może powodować duże problemy z wydajnością sieci. Bywa, że włączenie głębokiej inspekcji pakietów (DPI) wraz z innymi funkcjami ochronnymi zmniejsza przepustowość firewalla nawet o 80 proc. Po drugie, narzędzia deszyfrujące i sprawdzające zaszyfrowany ruch kosztują więcej od produktów bez tych funkcji.

Rozwiązaniem pierwszego problemu będzie odpowiednio wydajne rozwiązanie, a także inteligentne zarządzanie ruchem w celu poprawy skuteczności inspekcji, polegające na ograniczaniu przepływu poddawanego kontroli (przez wykluczanie z tego procesu pakietów z zaufanych źródeł itp.). W drugim przypadku trzeba przekonać klienta, że w związku z działalnością, jaką prowadzi, tego typu ochrona przyniesie mu wymierne korzyści.

Artykuł Dane bezpieczne, czyli zaszyfrowane pochodzi z serwisu CRN.

Ale to będzie się zmieniać. Zarówno na świecie, jak i lokalnie na rynku zarządzania dostępem i tożsamościami przewidywane są solidne wzrosty. Według analityków z Zion Market Research do 2022 r. ma on osiągnąć globalną wartość 15,92 mld dol. (w 2016 r. było to 7,85 mld dol.). Wśród najważniejszych wdrażanych komponentów zarządzania dostępem i tożsamościami mają być takie funkcje jak: provisioning, Single Sign-On, zaawansowane uwierzytelnianie, audyt, compliance & governance, usługi katalogowe i zarządzanie hasłami.

W stymulowaniu popytu ważne jest, by rozmowy z klientami o zarządzaniu dostępem były prowadzone bardziej w kontekście biznesowym niż technologicznym. W ten sposób łatwiej można przekonać rozmówców, że zaoszczędzą realne pieniądze, mając rozwiązane problemy dotyczące szeroko rozumianego „compliance” oraz bezpieczeństwa swoich systemów informatycznych. Większa świadomość przełoży się na rosnące zainteresowanie zarządzaniem dostępem do sieci i informacji. Potrzeba posiadania narzędzi IAM (Identity and Access Management – zarządzanie tożsamością i dostępem) oraz PAM (Privileged Access Management – zarządzanie dostępem uprzywilejowanym) z czasem stanie się integralnym elementem strategii rozwoju IT.

Zarówno klienci myślący o wykorzystaniu rozwiązań do zarządzania dostępem, jak i integratorzy mający pomóc im we wdrożeniach powinni śledzić najważniejsze trendy w tym obszarze zabezpieczeń. Tym bardziej że stają się one coraz bardziej złożone – ewoluują wraz z pojawianiem się nowych zagrożeń i dostosowują się do zmian w sposobach funkcjonowania przedsiębiorstw. Takie elementy rozwiązań IAM/PAM, jak scentralizowane zarządzanie dostępem, automatyzacja, raportowanie i składowe polityki bezpieczeństwa tworzone w kontekście specyficznych aplikacji, muszą sprostać wyzwaniom, z jakimi zmagają się dziś firmy. A tych jest niemało…

Coraz bardziej rozproszone środowisko pracy

Po pierwsze dostęp do aplikacji i danych od dawna nie ogranicza się tylko do wewnętrznej sieci. Mobilny i zdalnie pracujący personel może być bardziej produktywny od osób stale przebywających w biurze. Jednocześnie daje szansę na ograniczenie kosztów prowadzenia działalności biznesowej. Jednakże geograficznie rozproszeni pracownicy to dla działu IT istotny problem do rozwiązania. Jak zapewnić spójną obsługę użytkowników łączących się z zewnątrz z zasobami firmy, nie zmniejszając równocześnie ryzyka w kontekście bezpieczeństwa IT?

Większa mobilność i zdalny dostęp wymagają kontroli nad poczynaniami pracowników, zewnętrznych usługodawców, partnerów biznesowych itp., którą niełatwo zapewnić. W dodatku firmy zostały zmuszone do mniej lub bardziej formalnego wprowadzenia modelu BYOD, co jeszcze bardziej komplikuje sprawę. Wyzwanie działu IT polega na tym, jak szybko reagować na potencjalne zagrożenia, a jednocześnie nie ograniczać produktywności pracowników ani ich wolności wyboru. Administratorzy muszą sobie poradzić z ustaleniem praw dostępu do firmowych danych oraz określeniem urządzeń, z których dostęp może być zapewniany.

Rośnie wykorzystanie opartych na chmurze aplikacji SaaS (Software as a Service), więc użytkownicy z dowolnego miejsca i dowolnego urządzenia uzyskują dostęp do podstawowych dla biznesu narzędzi, takich jak Office 365 czy Salesforce. Jednakże wraz z rozwojem rozproszonego środowiska pracy wzrasta złożoność zarządzania tożsamością użytkowników aplikacji chmurowych. Bez sprawnego administrowania hasłami trudno zapewnić bezproblemowy i bezpieczny dostęp do wykorzystujących chmurę aplikacji, a koszty obsługi sfrustrowanych użytkowników przez działy IT będą rosły.

Jak szybko przydzielić dostęp…

Bez scentralizowanego narzędzia administrator musi ręcznie przydzielać dostęp do systemu IT. Im więcej czasu potrzeba, by pracownik uzyskał dostęp do podstawowych aplikacji biznesowych, tym jest on dla firmy mniej produktywny. W wielu firmach administratorzy muszą „przekopywać się” przez konta użytkowników, by ustalić, do jakich zasobów mają im zostać przyznane prawa. Ręczne przydzielanie dostępu jest czasochłonne i prowadzi do błędów. Dlatego szczególnie duże przedsiębiorstwa potrzebują wydajnych narzędzi do zarządzania tożsamością użytkowników i dostępem.

…a później jeszcze szybciej go odebrać

Nie mniej ważne od przydzielania praw dostępu jest ich odbieranie. Brak odpowiedniego działania w przypadku pracownika, który opuszcza firmę bądź przenosi się do innego działu, może mieć poważne konsekwencje dla bezpieczeństwa informacji. Aby maksymalnie ograniczyć ryzyko nadużyć, dział IT musi odebrać dostęp najszybciej, jak to możliwe.

To bardzo ważny element IAM, ponieważ w czasie zatrudnienia w firmie pracownik mógł zgromadzić wiele haseł do różnych aplikacji. Bez scentralizowanego narzędzia do zarządzania administratorowi trudno jest się zorientować, kto ma do czego dostęp. W sytuacji, gdy narzędzie to zostanie zintegrowane z systemem obsługującym dział HR, chwilę po tym, jak odchodzący pracownik opuścił firmę, wszystkie prawa dostępu, jakie posiadał, mogą zostać odebrane. Gdyby miało to być obsługiwane ręcznie, proces trwałby miesiącami. Wobec szkód, do jakich może doprowadzić niezadowolony ze zwolnienia pracownik, oszczędności wynikające z szybkiego i skutecznego pozbawiania praw dostępu są łatwe do wykazania.

Problem z hasłami

Średnia firma zwykle korzysta z kilkudziesięciu aplikacji, baz danych i systemów, które wymagają od użytkowników uwierzytelnienia. Im większe przedsiębiorstwo, tym większy problem. Wyniki badań przeprowadzonych wśród firm z listy Fortune 1000 ujawniają, że posługują się one średnio 200 bazami lub katalogami z informacjami o użytkownikach w celu kontrolowania dostępu do swoich systemów informatycznych.

Przybywa też rozwiązań bazujących na chmurze, a pracownicy są zmuszeni zapamiętywać coraz więcej haseł dostępu do aplikacji, które mogą wykorzystywać różne metody uwierzytelniania o odmiennych standardach i protokołach. Użytkownicy spędzają coraz więcej czasu na obsłudze danych uwierzytelniających, więc ich frustracja rośnie. Tym bardziej że – w przypadku niektórych aplikacji – zmiana hasła jest wymagana co 30 dni. Jak wszyscy wiemy, hasła muszą być długie i złożone – to zalecenie powtarzane jest od lat jak mantra. Powinny zawierać małe i wielkie litery, cyfry oraz znaki specjalne. Konieczność zapamiętywania coraz większej liczby skomplikowanych haseł to udręka dla użytkowników. Trudno się więc dziwić, że w badaniu firmy Cyberark prawie jedna trzecia respondentów oznajmiła, że przechowuje poświadczenia w pliku na firmowym komputerze. Kolejne 20 proc. ankietowanych przyznało się, że ma je zapisane w prywatnych notatkach.

Gdy dla pracowników obsługa haseł staje się dużym problemem, częściej zwracają się po pomoc do działu IT. Statystyki pokazują, że nawet jedna trzecia zgłoszeń do help desku może dotyczyć próśb o zresetowanie hasła. Takiemu marnowaniu cennych zasobów może zapobiec skutecznie wdrożone rozwiązanie z mechanizmem SSO (Single Sign-On), zapewniającego jednorazowe logowanie się do usługi sieciowej i uzyskanie dostępu do wszystkich autoryzowanych zasobów z nią związanych. W celu zwiększenia bezpieczeństwa uwierzytelnianie SSO powinno być wieloskładnikowe.

Dostęp uprzywilejowany

Przez wewnętrznych użytkowników najczęściej rozumie się pracowników firmy. Aby jednak skutecznie ograniczyć ryzyko niepożądanych wizyt w systemie, definicję trzeba rozszerzyć. Za użytkowników wewnętrznych powinno się uznać pracowników, zewnętrznych usługodawców, partnerów, a także dostawców, którzy mają dostęp do firmowych systemów i danych.

Wyniki ankiety przeprowadzonej wśród 400 specjalistów IT z Ameryki Północnej i Europy przez firmę Loudhouse pokazują, że średnio 59 proc. kont uprzywilejowanych w przedsiębiorstwach jest tworzonych dla zewnętrznych podmiotów (w tym partnerów/resellerów – 30 proc., zewnętrznych usługodawców – 16 proc., i niezależnych dostawców – 13 proc.). Wychodzi więc na to, że większość „użytkowników wewnętrznych” z prawami administratora to osoby mało znane administratorom IT lub w ogóle nieznane.

Nierzadko w firmie liczba kont uprzywilejowanych (czyli takich, których niewłaściwe wykorzystanie stwarza największe zagrożenie dla bezpieczeństwa) przekracza liczbę użytkowników. Dzieje się tak, ponieważ pracownicy muszą radzić sobie z wieloma dostępami, a do tego dochodzą jeszcze maszyny i aplikacje, które także muszą uzyskiwać dostęp do określonych danych i systemów. Co istotne, wobec postępującej automatyzacji wymagających uwierzytelniania interakcji typu maszyna–maszyna czy aplikacja–aplikacja będzie coraz więcej.

Ochronę zasobów i zachowanie zgodności z regulacjami ułatwią klientom rozwiązania PAM. Umożliwiają zabezpieczanie, zarządzanie i monitorowanie kont uprzywilejowanych oraz uzyskiwanego za ich pomocą dostępu.

Adam Kuligowski, wiceprezes zarządu w Sidio, zauważa, że klienci decydujący się na zakup rozwiązania do zarządzania dostępem uprzywilejowanym wybierają je przede wszystkim ze względu na szeroko pojęte zarządzanie sesjami administracyjnymi.

– Chcą kontrolować, kto i do czego ma mieć dostęp oraz w jakim zakresie, nagrywać sesje administracyjne na wideo i otrzymywać ich transkrypcje – tłumaczy integrator.

Marta Zborowska, Sales Director w Connect Distribution, także zwraca uwagę na możliwość kontroli przez nagrywanie sesji administracyjnych. Celem jest audyt w przypadku jakichś nieprawidłowości w działaniu administratorów i wyeliminowanie nieuzasadnionych podejrzeń. Jej zdaniem bardzo często zarządzanie dostępem do kont uprzywilejowanych jest też kojarzone z administrowaniem hasłami.

– Najbardziej świadomi klienci szukają rozwiązań kompleksowych, obejmujących całokształt kontroli dostępu na każdym poziomie: od stacji końcowych przez wszelkie urządzenia infrastruktury podlegające zarządzaniu aż po serwery i działające na nich aplikacje – mówi specjalistka warszawskiego VAD-a.

Zgodność z regulacjami

Kłopoty związane z compliance & governance należą do najważniejszych powodów wdrażania rozwiązań IAM/PAM. W ostatnim czasie najwięcej mówiło się o konsekwencjach wprowadzenia unijnego rozporządzenia RODO, ale nie mniej ważne okazują się regulacje branżowe.

W obliczu kar za niezastosowanie się do przepisów przedsiębiorstwa muszą starać się ograniczyć ryzyko związane z nieuprawnionym dostępem do informacji. Polega to m.in. na modyfikowaniu reguł polityki bezpieczeństwa dotyczących zarządzania i ochrony danych. Odpowiednie narzędzia znakomicie ułatwiają obsługę takich zadań, jak określanie praw dostępu dla użytkowników uprzywilejowanych czy śledzenie oraz dokumentowanie, kto i kiedy miał dostęp do konkretnych zasobów informacji. W rezultacie przyczyniają się do zachowania zgodności z regulacjami i sprawiają, że proces audytu może przebiegać bezproblemowo.

Z drugiej strony działanie rozwiązań IAM/PAM będzie na tyle skuteczne, na ile skuteczne będzie zaimplementowana polityka bezpieczeństwa w kontekście dostępu i zarządzania tożsamościami. Te produkty w praktyce mają odzwierciedlać reguły stworzone wcześniej „na papierze”. Tym samym bezpośrednio odnoszą się do sfery „compliance”. Dostawcy twierdzą, że jest to tak ewidentne, że nawet nie trzeba klientom tego tłumaczyć.

– Podczas prezentacji rozwiązania PAM staram się nie odwoływać bezpośrednio do RODO. Wiem, że odbiorcy sami zauważą, jak bardzo tego rodzaju narzędzia wpisują się w kontekst zachowania zgodności z tymi i innymi przepisami związanymi z „compliance” – mówi Paweł Rybczyk, Business Developer CEE & Russia w firmie Wallix.

Kontrola dostępu: całościowe podejście

Klienci mają kłopoty ze znalezieniem specjalistów IT. Na rynku brakuje ludzi z odpowiednimi kompetencjami, a zatrudnianie ich coraz więcej kosztuje. Powinno to napędzać sprzedaż rozwiązań takich jak IAM/PAM, automatyzujących wiele zadań, które musiałyby być wykonywane ręcznie przez pracowników działu IT. Narzędzia te umożliwiają też kontrolę nad zewnętrznymi usługodawcami, których trzeba wynajmować, gdy brakuje własnego personelu.

Braki w zatrudnieniu są tak duże, że nierzadko w przedsiębiorstwach po prostu nie ma kto zająć się obsługą narzędzi do zarządzania dostępem. W rezultacie otwiera to integratorom pole do działania w modelu IAM/PAM as a Service. Są produkty zapewniające świadczenie takich usług, a dostawcy przyznają, że klienci pytają o możliwość zakupu rozwiązania opłacanego w abonamencie i zarządzanego przez jakiś zewnętrzny podmiot. Na pytaniach się jednak zwykle kończy, bo kiedy dochodzi do testów, zwykle wybierają oni wersję on-premise. Z jednej strony może to świadczyć o tym, że czas robienia biznesu z wykorzystaniem chmury jeszcze u nas nie nadszedł, a z drugiej wskazywać, że IAM/PAM jako narzędzia z newralgicznego obszaru mogą się w modelu usługowym trudniej sprzedawać.

– W przypadku PAM as a Service mogą się pojawić problemy natury „politycznej”. Sytuacja, gdy jeden integrator, zarządzający usługą, ma kontrolować działania drugiego integratora, wynajętego przez klienta do innych prac, jest potencjalnie konfliktowa – zauważa Paweł Rybczyk.

Integrator oferujący rozwiązania typu IAM/PAM musi nie tylko posiadać dużą wiedzę o dostępnych narzędziach, ale także wykazać się głęboką znajomością środowiska klienta oraz zachodzących tam procesów. Dbając o ochronę dostępu, nie może zapomnieć o innych aspektach bezpieczeństwa oraz o konieczności integracji wdrażanych narzędzi z istniejącymi systemami.

– Dlatego przy wyborze rozwiązania do zarządzania dostępem powinien kierować się nie tylko kryterium ceny, ale przede wszystkim funkcjonalnością, możliwością integracji z innymi systemami bezpieczeństwa i elastycznością konfiguracji w zależności od potrzeb klienta – twierdzi Marta Zborowska.

Ten wybór jest rownież – jak zawsze w przypadku rozwiązań z zakresu bezpieczeństwa – wynikiem pewnego kompromisu. Integratorzy wdrażający narzędzia do zarządzania tożsamościami i dostępem do firmowych zasobów oraz działy IT klientów muszą znaleźć równowagę pomiędzy zaawansowaniem mechanizmów bezpieczeństwa a uproszczeniem procedur dostępu. Klient tylko wtedy uzyska duży zwrot z inwestycji, gdy zapewni mu się ochronę, która z jednej strony skutecznie zabezpieczy przed materialnymi i niematerialnymi stratami wynikającymi z naruszeń bezpieczeństwa, a z drugiej będzie miała pozytywny wpływ na produktywność pracowników.

Artykuł Zarobić na dostępie pochodzi z serwisu CRN.