Nyögvenyelősen megy a hozzáférések felügyelete

Sok vállalatnál rendszeresen szükség van a felhasználói hozzáférések felülvizsgálatára. Azonban ez általában sok időt, energiát és odafigyelést igényel, ami a legtöbb esetben nem áll rendelkezésre.
 

A felhasználói hozzáférések felülvizsgálata és hitelesítése hosszadalmas, monoton, visszatérő és gyakran feleslegesnek tűnő folyamat. A procedúrát azonban nem lehet megúszni egyetlen olyan szervezetnél sem, amelyre vonatkozik valamilyen megfelelőségi előírás, így például az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény, a HIPAA, a Sarbanes-Oxley vagy a PCI. Ezek ugyanis mind előírják, hogy a vállalatok csak a munkakörüknek megfelelő hozzáféréseket biztosítsák az alkalmazottak számára az informatikai rendszerekben, és rendszeresen ellenőrizzék is azokat.
 
A megfelelőség nem garancia a biztonságra
 
A NetIQ szerint maga a folyamat a vizsgálatot végző személy szempontjából nézve leginkább ahhoz hasonlítható, mintha biztonsági őrt kellene játszania egy moziban, és a film alatt rendszeresen ellenőriznie kellene minden egyes néző jegyét, hogy kiszúrhassa, ha valaki egy másik teremből surrant át. Az ilyen feladatra sokan felesleges adminisztrációs teherként tekintenek, és megpróbálnak valamilyen egyszerűbb utat választani.
 
Sok szervezetnél minden ellenőrzéskor egyszerűen végigszáguldanak a listán, és meghagyják a jogosultságokat különösebb módosítások nélkül, hogy készen legyenek a feladattal a határidőre vagy az audit idejére. A NetIQ szakértői szerint viszont a megfelelőség nem mindig egyenlő a biztonsággal.
 
A megoldás: elemzés és súlyozás
 
Ez a feladat akkor kivitelezhető alaposan és hatékonyan, ha megadják a kontextust és a prioritásokat az ellenőrzésért felelős személyek számára a felülvizsgálati folyamat során. A mozis példával élve: ahelyett, hogy azt várnák tőlük, hogy minden egyes jegyet külön ellenőrizzenek, olyan rendszerre van szükség, amely felhívja a figyelmüket a felnőtteknek szóló filmeket vetítő termekbe belopózott tinédzserekre.
 
Egy intelligens rendszer számos különböző tényező alapján képes elemezni és súlyozni, hogy mely fiókok és személyek érdemelnek nagyobb figyelmet. Többek között az alapján, hogy mennyire érzékeny információkhoz biztosít hozzáférést az adott jogosultság, vagy mikor léptek be utoljára az adott fiókba. Ilyen megoldásnak számít például a NetIQ Access Review, amely egy helyen gyűjt össze minden, a felhasználókhoz és a jogosultságokhoz kapcsolódó információt. Egy ilyen technológia segítségével az is ellenőrizhető, hogy megegyeznek-e a jóváhagyott és az érvényben lévő jogosultságok.