Upravljanje identitet: zakaj je pomembno?

Če podjetje upravlja »Active directory« (aktivni imenik) in pristopa k upravljanju identitet skozi jasno definirana pravila, to kaže na zrelost podjetja in njegovih procesov. Gre za shranjevanje informacij o uporabnikih, računalnikih in drugih virih v omrežju ter za upravljanje informacij. Prav »Active directory« pogosto služi kot osrednja platforma za upravljanje identitet. Združevanje podatkov v sistemu je zelo pomembno, saj lahko na podlagi vseh teh podatkov sprejemamo pravilne odločitve.

V praksi opažamo, da v zahodni Evropi podjetja zelo stremijo k temu, da čim manj procesov opravljajo ročno, pri nas pa je ta praksa še vedno zelo prisotna.

Zakaj podjetje potrebuje rešitev za upravljanje identitet?

Upravljanje identitet podjetja potrebujejo za zmanjševanje tveganj in IT varnost, revizijo in skladnost s predpisi, poslovno agilnost, operativno učinkovitost in omejitev stroškov.
Z rešitvijo za upravljanje identitet boste sprejemali boljše varnostne odločitve s kombiniranjem varnostnih informacij in politik iz več sistemov in ne samo iz enega, kot je to pri ročnem upravljanju. Poenostavili in avtomatizirali boste lahko poročanje o skladnosti in reviziji ter tudi postopek določanja uporabniškega oziroma privilegiranega dostopa, sledenja odobritvam ter kdo ima dostop do določenih podatkov in zakaj ima odobrenega. Za vse uporabnike, podatke in privilegirane račune boste zagotovili enotno platformo za upravljanje.

Tudi ko govorimo o ceni, je povečanje donosnosti naložbe jasno. Po eni strani skrajšate čas za odobritev dostopa, z avtomatizacijo in natančno določenimi pravili zmanjšate tveganja, za to pa potrebujete manj ljudi, kot ste jih potrebovali ob ročnem dodeljevanju.



Je ideja upravljanje identitet predvsem avtomatizacija?

Če nekdo ročno dodeljuje pravice, odvzema in ustvarja  profile,  je  sledenje  procesom  takoj vprašljivo. Ideja upravljanja identitet je prav v tem, da vse procese avtomatiziraš s pravili. Ko naletiš na izjemo, pa sta samo dve možnosti: ali se stvar ne bo zgodila, ker se po pravilih ne zgodi in izjemo nato posebej obravnavaš; ali popraviš pravila, da se bo ob prihodnjem dogodku nekaj zgodilo tako, kot želiš, da se zgodi.

To pa ni zgolj za zaposlene v podjetju, je mnogo širše …

Seveda. Ne gre zgolj za upravljanje identitet oziroma dodeljevanje dostopov zaposlenim v podjetju. Lahko so to tudi zunanji sodelavci ali posamezniki iz drugih podjetij. To, da partnerjem, zaposlenim in strankam lahko zagotavljamo takojšen dostop do tega, kar potrebujejo, takrat, ko potrebujejo in kjer koli to potrebujejo, je izrednega pomena. In to jim moramo zagotoviti na najboljši možen in predvsem varen način. Zelo pomembno je, da pri učinkovitem upravljanju identitet dobijo vedno prave osebe prave stvari ob pravem času in iz pravih razlogov.

Kako pa je z NIS 2, direktivo o omrežjih in informacijskih sistemih. Ali zahteva upravljanje identitet?

Čeprav je normativni del direktive NIS2 tehnološko nedorečen, je v uvodnih izjavah nekaj zanimivih podrobnosti. Uvodna izjava 51 spodbuja uporabo inovativnih tehnologij, vključno z umetno inteligenco. Uvodna izjava 52 podpira uporabo odprtokodnih tehnologij. Še bolj zanimivo je, da uvodna izjava 89 izrecno omenja upravljanje identitete in dostopa (IAM).

Ker gre za zakonodajni akt, NIS2 ni zelo specifičen, ko gre za tehnične podrobnosti. Edini »tehnični« opis v normativnem delu direktive je člen 21, ki navaja 10 točk, ki omenjajo ukrepe kibernetske varnosti, ki jih je treba izvesti. Ni zelo običajno, da bi bila določena tehnologija omenjena v zakonodajnem aktu. Seveda bodo nastale nianse v prenosih direktive NIS2 v nacionalne zakonodaje. Upravljanje in administracija identitete (IGA) bosta dejansko igrala ključno vlogo pri skladnosti z NIS2. To lahko ponazorimo s skladnostjo s standardom ISO 27001, pri katerem IGA sodeluje pri približno 57 od 93 kontrol, opredeljenih v standardu. Zato je zelo malo verjetno, da bi bila katera koli srednje velika ali velika organizacija skladna z NIS2 brez vzpostavljene delujoče platforme IAM.