Generalnie firmy sygnalizują potrzebę scentralizowanego zarządzania dostępem i cyfrowymi tożsamościami, jak również ochrony kont uprzywilejowanych, więc potencjał sprzedaży w tym segmencie rynku jest spory. Temat nie należy jednak do łat-
wych, bo klienci są dość ostrożni w wydawaniu pieniędzy. Nawet jeśli rozważają tego typu projekty, często nie planują na nie budżetów.

Ale to będzie się zmieniać. Zarówno na świecie, jak i lokalnie na rynku zarządzania dostępem i tożsamościami przewidywane są solidne wzrosty. Według analityków z Zion Market Research do 2022 r. ma on osiągnąć globalną wartość 15,92 mld dol. (w 2016 r. było to 7,85 mld dol.). Wśród najważniejszych wdrażanych komponentów zarządzania dostępem i tożsamościami mają być takie funkcje jak: provisioning, Single Sign-On, zaawansowane uwierzytelnianie, audyt, compliance & governance, usługi katalogowe i zarządzanie hasłami.

W stymulowaniu popytu ważne jest, by rozmowy z klientami o zarządzaniu dostępem były prowadzone bardziej w kontekście biznesowym niż technologicznym. W ten sposób łatwiej można przekonać rozmówców, że zaoszczędzą realne pieniądze, mając rozwiązane problemy dotyczące szeroko rozumianego „compliance” oraz bezpieczeństwa swoich systemów informatycznych. Większa świadomość przełoży się na rosnące zainteresowanie zarządzaniem dostępem do sieci i informacji. Potrzeba posiadania narzędzi IAM (Identity and Access Management – zarządzanie tożsamością i dostępem) oraz PAM (Privileged Access Management – zarządzanie dostępem uprzywilejowanym) z czasem stanie się integralnym elementem strategii rozwoju IT.

Zarówno klienci myślący o wykorzystaniu rozwiązań do zarządzania dostępem, jak i integratorzy mający pomóc im we wdrożeniach powinni śledzić najważniejsze trendy w tym obszarze zabezpieczeń. Tym bardziej że stają się one coraz bardziej złożone – ewoluują wraz z pojawianiem się nowych zagrożeń i dostosowują się do zmian w sposobach funkcjonowania przedsiębiorstw. Takie elementy rozwiązań IAM/PAM, jak scentralizowane zarządzanie dostępem, automatyzacja, raportowanie i składowe polityki bezpieczeństwa tworzone w kontekście specyficznych aplikacji, muszą sprostać wyzwaniom, z jakimi zmagają się dziś firmy. A tych jest niemało…

 

Coraz bardziej rozproszone środowisko pracy

Po pierwsze dostęp do aplikacji i danych od dawna nie ogranicza się tylko do wewnętrznej sieci. Mobilny i zdalnie pracujący personel może być bardziej produktywny od osób stale przebywających w biurze. Jednocześnie daje szansę na ograniczenie kosztów prowadzenia działalności biznesowej. Jednakże geograficznie rozproszeni pracownicy to dla działu IT istotny problem do rozwiązania. Jak zapewnić spójną obsługę użytkowników łączących się z zewnątrz z zasobami firmy, nie zmniejszając równocześnie ryzyka w kontekście bezpieczeństwa IT?

Większa mobilność i zdalny dostęp wymagają kontroli nad poczynaniami pracowników, zewnętrznych usługodawców, partnerów biznesowych itp., którą niełatwo zapewnić. W dodatku firmy zostały zmuszone do mniej lub bardziej formalnego wprowadzenia modelu BYOD, co jeszcze bardziej komplikuje sprawę. Wyzwanie działu IT polega na tym, jak szybko reagować na potencjalne zagrożenia, a jednocześnie nie ograniczać produktywności pracowników ani ich wolności wyboru. Administratorzy muszą sobie poradzić z ustaleniem praw dostępu do firmowych danych oraz określeniem urządzeń, z których dostęp może być zapewniany.

Rośnie wykorzystanie opartych na chmurze aplikacji SaaS (Software as a Service), więc użytkownicy z dowolnego miejsca i dowolnego urządzenia uzyskują dostęp do podstawowych dla biznesu narzędzi, takich jak Office 365 czy Salesforce. Jednakże wraz z rozwojem rozproszonego środowiska pracy wzrasta złożoność zarządzania tożsamością użytkowników aplikacji chmurowych. Bez sprawnego administrowania hasłami trudno zapewnić bezproblemowy i bezpieczny dostęp do wykorzystujących chmurę aplikacji, a koszty obsługi sfrustrowanych użytkowników przez działy IT będą rosły.

 

Marta Zborowska
Sales Director, Connect Distribution

W Polsce nie ma jeszcze wysokiej świadomości klientów w obszarze zarządzania dostępem uprzywilejowanym. Szczególnie w mniejszych firmach, gdzie stosuje się wciąż bardzo niebezpieczne praktyki, jak np. przechowywanie haseł w nieszyfrowanych plikach na serwerach firmowych. Duży wpływ na wzrost zainteresowania tematem mają obowiązujące regulacje RODO. Dzięki nim problem zarządzania kontami uprzywilejowanymi jest coraz powszechniej dostrzegany i firmy zaczynają poszukiwać profesjonalnych metod oraz narzędzi.

 

Jak szybko przydzielić dostęp…

Bez scentralizowanego narzędzia administrator musi ręcznie przydzielać dostęp do systemu IT. Im więcej czasu potrzeba, by pracownik uzyskał dostęp do podstawowych aplikacji biznesowych, tym jest on dla firmy mniej produktywny. W wielu firmach administratorzy muszą „przekopywać się” przez konta użytkowników, by ustalić, do jakich zasobów mają im zostać przyznane prawa. Ręczne przydzielanie dostępu jest czasochłonne i prowadzi do błędów. Dlatego szczególnie duże przedsiębiorstwa potrzebują wydajnych narzędzi do zarządzania tożsamością użytkowników i dostępem.

…a później jeszcze szybciej go odebrać

Nie mniej ważne od przydzielania praw dostępu jest ich odbieranie. Brak odpowiedniego działania w przypadku pracownika, który opuszcza firmę bądź przenosi się do innego działu, może mieć poważne konsekwencje dla bezpieczeństwa informacji. Aby maksymalnie ograniczyć ryzyko nadużyć, dział IT musi odebrać dostęp najszybciej, jak to możliwe.

To bardzo ważny element IAM, ponieważ w czasie zatrudnienia w firmie pracownik mógł zgromadzić wiele haseł do różnych aplikacji. Bez scentralizowanego narzędzia do zarządzania administratorowi trudno jest się zorientować, kto ma do czego dostęp. W sytuacji, gdy narzędzie to zostanie zintegrowane z systemem obsługującym dział HR, chwilę po tym, jak odchodzący pracownik opuścił firmę, wszystkie prawa dostępu, jakie posiadał, mogą zostać odebrane. Gdyby miało to być obsługiwane ręcznie, proces trwałby miesiącami. Wobec szkód, do jakich może doprowadzić niezadowolony ze zwolnienia pracownik, oszczędności wynikające z szybkiego i skutecznego pozbawiania praw dostępu są łatwe do wykazania.

 

Zdaniem integratora

Adam Kuligowski, wiceprezes zarządu, Sidio

Nie tak łatwo jest sprzedać rozwiązanie PAM. Firmy większe, świadome zagrożeń dla bezpieczeństwa swojej infrastruktury znają produkty do zarządzania dostępem uprzywilejowanym i wiedzą, do czego one służą. Mimo to wiele z nich nie sięga po tego rodzaju rozwiązania, tylko korzysta z narzędzi takich jak TeamViewer czy Cisco WebEx, niezapewniających należytej kontroli. Mniejsi klienci zwykle w ogóle nie widzą potrzeby nadzorowania użytkowników uprzywilejowanych – zewnętrznych usługodawców czy własnych pracowników, którzy mają dostęp do zasobów krytycznych. Nie dostrzegają w tym żadnych zagrożeń. W efekcie dosyć trudno jest przekonać klientów do wygospodarowania budżetów. Dlatego bezwzględnie trzeba im wykazywać na praktycznych przykładach, że brak kontroli nad logującymi się użytkownikami to duże zagrożenie. Bez wiedzy o tym, kto i kiedy uzyskuje dostęp do systemu, co dzieje się z danymi dostępowymi przekazanymi zewnętrznym usługodawcom, trudno mówić o bezpieczeństwie.

 

Problem z hasłami

Średnia firma zwykle korzysta z kilkudziesięciu aplikacji, baz danych i systemów, które wymagają od użytkowników uwierzytelnienia. Im większe przedsiębiorstwo, tym większy problem. Wyniki badań przeprowadzonych wśród firm z listy Fortune 1000 ujawniają, że posługują się one średnio 200 bazami lub katalogami z informacjami o użytkownikach w celu kontrolowania dostępu do swoich systemów informatycznych.

Przybywa też rozwiązań bazujących na chmurze, a pracownicy są zmuszeni zapamiętywać coraz więcej haseł dostępu do aplikacji, które mogą wykorzystywać różne metody uwierzytelniania o odmiennych standardach i protokołach. Użytkownicy spędzają coraz więcej czasu na obsłudze danych uwierzytelniających, więc ich frustracja rośnie. Tym bardziej że – w przypadku niektórych aplikacji – zmiana hasła jest wymagana co 30 dni. Jak wszyscy wiemy, hasła muszą być długie i złożone – to zalecenie powtarzane jest od lat jak mantra. Powinny zawierać małe i wielkie litery, cyfry oraz znaki specjalne. Konieczność zapamiętywania coraz większej liczby skomplikowanych haseł to udręka dla użytkowników. Trudno się więc dziwić, że w badaniu firmy Cyberark prawie jedna trzecia respondentów oznajmiła, że przechowuje poświadczenia w pliku na firmowym komputerze. Kolejne 20 proc. ankietowanych przyznało się, że ma je zapisane w prywatnych notatkach.

Gdy dla pracowników obsługa haseł staje się dużym problemem, częściej zwracają się po pomoc do działu IT. Statystyki pokazują, że nawet jedna trzecia zgłoszeń do help desku może dotyczyć próśb o zresetowanie hasła. Takiemu marnowaniu cennych zasobów może zapobiec skutecznie wdrożone rozwiązanie z mechanizmem SSO (Single Sign-On), zapewniającego jednorazowe logowanie się do usługi sieciowej i uzyskanie dostępu do wszystkich autoryzowanych zasobów z nią związanych. W celu zwiększenia bezpieczeństwa uwierzytelnianie SSO powinno być wieloskładnikowe.

Dostęp uprzywilejowany

Przez wewnętrznych użytkowników najczęściej rozumie się pracowników firmy. Aby jednak skutecznie ograniczyć ryzyko niepożądanych wizyt w systemie, definicję trzeba rozszerzyć. Za użytkowników wewnętrznych powinno się uznać pracowników, zewnętrznych usługodawców, partnerów, a także dostawców, którzy mają dostęp do firmowych systemów i danych.

Wyniki ankiety przeprowadzonej wśród 400 specjalistów IT z Ameryki Północnej i Europy przez firmę Loudhouse pokazują, że średnio 59 proc. kont uprzywilejowanych w przedsiębiorstwach jest tworzonych dla zewnętrznych podmiotów (w tym partnerów/resellerów – 30 proc., zewnętrznych usługodawców – 16 proc., i niezależnych dostawców – 13 proc.). Wychodzi więc na to, że większość „użytkowników wewnętrznych” z prawami administratora to osoby mało znane administratorom IT lub w ogóle nieznane.

Nierzadko w firmie liczba kont uprzywilejowanych (czyli takich, których niewłaściwe wykorzystanie stwarza największe zagrożenie dla bezpieczeństwa) przekracza liczbę użytkowników. Dzieje się tak, ponieważ pracownicy muszą radzić sobie z wieloma dostępami, a do tego dochodzą jeszcze maszyny i aplikacje, które także muszą uzyskiwać dostęp do określonych danych i systemów. Co istotne, wobec postępującej automatyzacji wymagających uwierzytelniania interakcji typu maszyna–maszyna czy aplikacja–aplikacja będzie coraz więcej.

Ochronę zasobów i zachowanie zgodności z regulacjami ułatwią klientom rozwiązania PAM. Umożliwiają zabezpieczanie, zarządzanie i monitorowanie kont uprzywilejowanych oraz uzyskiwanego za ich pomocą dostępu.

Adam Kuligowski, wiceprezes zarządu w Sidio, zauważa, że klienci decydujący się na zakup rozwiązania do zarządzania dostępem uprzywilejowanym wybierają je przede wszystkim ze względu na szeroko pojęte zarządzanie sesjami administracyjnymi.

Chcą kontrolować, kto i do czego ma mieć dostęp oraz w jakim zakresie, nagrywać sesje administracyjne na wideo i otrzymywać ich transkrypcje – tłumaczy integrator.

 

Marta Zborowska, Sales Director w Connect Distribution, także zwraca uwagę na możliwość kontroli przez nagrywanie sesji administracyjnych. Celem jest audyt w przypadku jakichś nieprawidłowości w działaniu administratorów i wyeliminowanie nieuzasadnionych podejrzeń. Jej zdaniem bardzo często zarządzanie dostępem do kont uprzywilejowanych jest też kojarzone z administrowaniem hasłami.

Najbardziej świadomi klienci szukają rozwiązań kompleksowych, obejmujących całokształt kontroli dostępu na każdym poziomie: od stacji końcowych przez wszelkie urządzenia infrastruktury podlegające zarządzaniu aż po serwery i działające na nich aplikacje – mówi specjalistka warszawskiego VAD-a.

Zgodność z regulacjami

Kłopoty związane z compliance & governance należą do najważniejszych powodów wdrażania rozwiązań IAM/PAM. W ostatnim czasie najwięcej mówiło się o konsekwencjach wprowadzenia unijnego rozporządzenia RODO, ale nie mniej ważne okazują się regulacje branżowe.

W obliczu kar za niezastosowanie się do przepisów przedsiębiorstwa muszą starać się ograniczyć ryzyko związane z nieuprawnionym dostępem do informacji. Polega to m.in. na modyfikowaniu reguł polityki bezpieczeństwa dotyczących zarządzania i ochrony danych. Odpowiednie narzędzia znakomicie ułatwiają obsługę takich zadań, jak określanie praw dostępu dla użytkowników uprzywilejowanych czy śledzenie oraz dokumentowanie, kto i kiedy miał dostęp do konkretnych zasobów informacji. W rezultacie przyczyniają się do zachowania zgodności z regulacjami i sprawiają, że proces audytu może przebiegać bezproblemowo.

Z drugiej strony działanie rozwiązań IAM/PAM będzie na tyle skuteczne, na ile skuteczne będzie zaimplementowana polityka bezpieczeństwa w kontekście dostępu i zarządzania tożsamościami. Te produkty w praktyce mają odzwierciedlać reguły stworzone wcześniej „na papierze”. Tym samym bezpośrednio odnoszą się do sfery „compliance”. Dostawcy twierdzą, że jest to tak ewidentne, że nawet nie trzeba klientom tego tłumaczyć.

Podczas prezentacji rozwiązania PAM staram się nie odwoływać bezpośrednio do RODO. Wiem, że odbiorcy sami zauważą, jak bardzo tego rodzaju narzędzia wpisują się w kontekst zachowania zgodności z tymi i innymi przepisami związanymi z „compliance” – mówi Paweł Rybczyk, Business Developer CEE & Russia w firmie Wallix.

 

Paweł Rybczyk
Business Developer CEE & Russia, Wallix

To dobry czas dla rozwiązań takich jak PAM. Po pierwsze dlatego, że na rynku nie brakuje problemów z zatrudnieniem specjalistów IT, które będą jeszcze narastać. W rezultacie organizacje muszą sięgać po zewnętrznych usługodawców, których trzeba kontrolować i rozliczać. Drugim powodem wzrostu zainteresowania rozwiązaniem PAM są różnego rodzaju normy i wytyczne – ogólne albo specyficzne dla wybranej grupy klientów czy sektora rynku. Wszystkie regulacje, w kontekście PAM, zazwyczaj odnoszą się do kontroli dostępu do danych oraz zarządzania kontami uprzywilejowanymi. Po trzecie coraz więcej mówi się o automatyzacji w IT. Podczas wymiany informacji między elementami zautomatyzowanej infrastruktury często dochodzi do wymiany poświadczeń i autoryzacji czynności, więc także w tym wypadku zapewnienie bezpiecznego dostępu jest krytyczne dla bezpieczeństwa całego systemu IT.

 

Kontrola dostępu: całościowe podejście

Klienci mają kłopoty ze znalezieniem specjalistów IT. Na rynku brakuje ludzi z odpowiednimi kompetencjami, a zatrudnianie ich coraz więcej kosztuje. Powinno to napędzać sprzedaż rozwiązań takich jak IAM/PAM, automatyzujących wiele zadań, które musiałyby być wykonywane ręcznie przez pracowników działu IT. Narzędzia te umożliwiają też kontrolę nad zewnętrznymi usługodawcami, których trzeba wynajmować, gdy brakuje własnego personelu.

Braki w zatrudnieniu są tak duże, że nierzadko w przedsiębiorstwach po prostu nie ma kto zająć się obsługą narzędzi do zarządzania dostępem. W rezultacie otwiera to integratorom pole do działania w modelu IAM/PAM as a Service. Są produkty zapewniające świadczenie takich usług, a dostawcy przyznają, że klienci pytają o możliwość zakupu rozwiązania opłacanego w abonamencie i zarządzanego przez jakiś zewnętrzny podmiot. Na pytaniach się jednak zwykle kończy, bo kiedy dochodzi do testów, zwykle wybierają oni wersję on-premise. Z jednej strony może to świadczyć o tym, że czas robienia biznesu z wykorzystaniem chmury jeszcze u nas nie nadszedł, a z drugiej wskazywać, że IAM/PAM jako narzędzia z newralgicznego obszaru mogą się w modelu usługowym trudniej sprzedawać.

W przypadku PAM as a Service mogą się pojawić problemy natury „politycznej”. Sytuacja, gdy jeden integrator, zarządzający usługą, ma kontrolować działania drugiego integratora, wynajętego przez klienta do innych prac, jest potencjalnie konfliktowa – zauważa Paweł Rybczyk.

Integrator oferujący rozwiązania typu IAM/PAM musi nie tylko posiadać dużą wiedzę o dostępnych narzędziach, ale także wykazać się głęboką znajomością środowiska klienta oraz zachodzących tam procesów. Dbając o ochronę dostępu, nie może zapomnieć o innych aspektach bezpieczeństwa oraz o konieczności integracji wdrażanych narzędzi z istniejącymi systemami.

Dlatego przy wyborze rozwiązania do zarządzania dostępem powinien kierować się nie tylko kryterium ceny, ale przede wszystkim funkcjonalnością, możliwością integracji z innymi systemami bezpieczeństwa i elastycznością konfiguracji w zależności od potrzeb klienta – twierdzi Marta Zborowska.

Ten wybór jest rownież – jak zawsze w przypadku rozwiązań z zakresu bezpieczeństwa – wynikiem pewnego kompromisu. Integratorzy wdrażający narzędzia do zarządzania tożsamościami i dostępem do firmowych zasobów oraz działy IT klientów muszą znaleźć równowagę pomiędzy zaawansowaniem mechanizmów bezpieczeństwa a uproszczeniem procedur dostępu. Klient tylko wtedy uzyska duży zwrot z inwestycji, gdy zapewni mu się ochronę, która z jednej strony skutecznie zabezpieczy przed materialnymi i niematerialnymi stratami wynikającymi z naruszeń bezpieczeństwa, a z drugiej będzie miała pozytywny wpływ na produktywność pracowników.