Wraz z postępującą cyfryzacją rośnie potrzeba coraz większej kontroli nad dostępem do systemu informatycznego. Obecnie nie ma mowy o wydzielonej, bezpiecznej sieci, w której w każdej chwili wiadomo: kto, skąd i w jaki sposób łączy się z firmowymi zasobami. W dodatku pracownicy chcą korzystać z dostępu w dowolnym czasie, z dowolnego miejsca i z dowolnego urządzenia. Trzeba też zapewnić możliwość łączenia się z systemem przedstawicielom firm zewnętrznych, świadczących określone usługi IT. Użytkownicy stają więc przed wyzwaniem, jak to umożliwić, by jednocześnie nie rosło ryzyko dla bezpieczeństwa systemu informatycznego. Szczególnie że „kradzież tożsamości” nie należy obecnie do rzadkości.

Rozwiązanie stanowi nowa generacja zaawansowanych platform do zarządzania tożsamością i dostępem (IAM – Identity and Access Management) oraz narzędzia do zarządzania dostępem uprzywilejowanym (PAM – Privileged Access Management). PAM zapewnia kontrolę i monitoring działania tych użytkowników, którym przyznano prawa administratora systemu. Bezpieczeństwo dostępu dodatkowo zwiększy wdrożenie wieloskładnikowego uwierzytelniania.

Marcin Marciniak, inżynier systemów bezpieczeństwa w Versim, zwraca uwagę, że zainteresowanie rozwiązaniami PAM rośnie z dwóch powodów. Po pierwsze bardzo wzrasta wykorzystanie outsourcingu, co wymaga dokładnego rozliczania ludzi z dostępu i wykonanej pracy. Po drugie klienci zdali sobie sprawę, że dają dostęp do najważniejszych zasobów firmy (w tym poufnych danych) także użytkownikom z zewnątrz – często na poziomie uprzywilejowanym, często bardzo słabo kontrolowanym.

– Wykorzystanie narzędzi do zarządzania dostępem uprzywilejowanym sprawi, że nadużycia staną się niemożliwe albo, jako rejestrowane, przestaną mieć sens dla nieuczciwego użytkownika – wyjaśnia ekspert Versimu.

Mówiąc o potrzebie wprowadzania zarządzania dostępem, w tym uprzywilejowanym, Paweł Rybczyk, Business Developer CEE & Russia w firmie Wallix, przytacza analogię do systemu kontroli dostępu do budynku i związanego z tym procesu. W biurowcu nie możemy ominąć recepcji czy biura ochrony. Należy wpisać się do książki wejść/wyjść, gdzie odnotowywana jest godzina wejścia i cel naszej wizyty. Sprawdzana jest nasza tożsamość, a uprawnienia do wizyty są weryfikowane krótkim telefonem do podanej przez nas osoby. Ma to zagwarantować, by nikt niepowołany nie dostał się na teren obiektu. W trakcie wizyty, gdy przechodzimy przez kolejne korytarze i jedziemy windą, jesteśmy rejestrowani przez system CCTV. Posługując się podobnym przykładem, integrator może klientowi zadać pytanie, czy w jego infrastrukturze IT jest zdefiniowany podobny proces, opisany w polityce bezpieczeństwa i określający reguły dostępu. Choćby taką, że nie można po prostu podejść do przełącznika i wpiąć się do niego bez uwierzytelnienia.