Dane są najcenniejszym zasobem każdej firmy. Dbanie o to, żeby dostęp do nich miały tylko powołane do tego osoby jest koniecznością. Jednocześnie dzisiaj nie można mówić już o czymś takim, jak zamknięte środowisko. Nasze wrażliwe dane są wszędzie. Wymieniamy je choćby za pomocą poczty elektronicznej, do której pragniemy mieć dostęp z każdego miejsca, o każdej porze i z możliwie każdego urządzenia. Udostępniamy je również naszym współpracownikom i podwykonawcom za pomocą różnego rodzaju usług dostępnych także w chmurze.

Zabezpieczenie ich wyłącznie poprzez hasło jest proszeniem się o kłopoty. Zespół specjalistów SimplySec od prawie 20 lat obserwuje ze szczególną uwagą ten obszar bezpieczeństwa IT. Co dostrzegamy? Incydenty dotyczące kradzieży danych/haseł nie przekładają się na zmianę nawyków użytkowników. Ci mają niezmienną tendencję do używania słabych, prostych haseł, czasem dla niepoznaki stosując mnemotechnikę. Trzeba pamiętać, że złamanie nawet tzw. silnych haseł nie przysparza dzisiaj zorganizowanym cyberprzestępcom większej trudności. Z drugiej strony wprowadzanie ograniczeń i budowanie kolejnych zapór i skomplikowanych reguł zachęca użytkowników raczej do ich obchodzenia niż stosowania. Stajemy zatem przed dylematem: jak bezpiecznie i w kontrolowany sposób zapewnić dostęp do kluczowych zasobów przedsiębiorstwa nie tracąc nic z elastyczności działania. Z pomocą mogą nam tutaj przyjść systemy zarządzania tożsamością i dostępem (IDM).

Trzeba zdać sobie sprawę, że systemy IDM funkcjonują na naszym rynku już wiele lat. Z jednej strony oferują nam możliwość bezpiecznego udostepnienia danych opierając się nie tylko na prostym mechanizmie użytkownik/hasło, ale dodatkowo wyposażając nas w ochronę w postaci wieloskładnikowych metod uwierzytelniania opartych o najnowsze metody biometryczne, których skala użycia dobierana jest w miarę potrzeb i oceny potencjalnego ryzyka niepowołanego dostępu. Z drugiej strony dają nam możliwość przekrojowego weryfikowania uprawnień użytkowników zarówno w zasobach lokalnych, ja i w chmurze w oparciu o zasady własne lub te narzucane przez zewnętrznych regulatorów oraz w oparciu o zdefiniowane czynniki ryzyka. Co więcej, pozwalają ciągle monitorować wszelkie odstępstwa od ustalonych zasad przez analizę segregacji uprawnień SoD (ang. Segregation of Duties) zgodnie z regułą najmniejszych przywilejów, albo przez dokonywanie okresowych przeglądów.

W SimplySec uważamy, że od stosowania najlepiej obu, opisanych wcześniej, mechanizmów, a przynajmniej zaawansowanych metod udostępniania nie ma już odwrotu. Dlatego pytanie, które musimy sobie zadać, nie powinno brzmieć: czy inwestować w systemy zarządzania tożsamością i dostępem, tylko jak szybko powinniśmy to zrobić oraz jakie dane musimy zabezpieczyć w pierwszej kolejności.