Software pro rozumné sraby Software pro minimalizaci bezpečnostních rizik v IT

Vyhazov? Co jim provedu? Odebrali mi důsledně všechny přístupy do systémů? Potřebujete přístup do databáze zákazníků? Kdo to musí schválit, kdy přístup dostanu? Dá se schvalovací proces automatizovat? Po zavedení pravidel pro kvalitu hesel přichází k IT mnoho požadavků na odemčení zablokovaných účtů? Hesla jsou nalepená zespodu na klávesnicích a žlutých papírcích na monitorech? Ztratila se tajná data - kdo měl přístup, kdo přistupoval, komu byl přístup zamítnut, kdo přístup schválil? Nepokouší se někdo nabourat bezpečnost IT systému? Zvnitřku? Zvenčí?




Centrální správa uživatelů
Z pohledu správy systémů znamená příchod nového zaměstnance mnoho práce. Je třeba pro něj vytvořit přístupové účty na všech systémech, kam má nový uživatel právo přistupovat. Například účet ve Windows, v ekonomickém systému, přístup k poště, na intranet, do databáze, na Linux atd. Každá firma má mnoho podobných účtů. U některých firem jsou to i desítky či stovky. Typickým problémem těchto systémů je opomenutí a nepřesnost. Třeba za měsíc pracovník zjistí, že nemá přístup do skladového systému, kam kvůli svému pracovnímu zařazení přístup potřebuje. Možná ještě horší je situace, kdy takový uživatel mění pracovní pozici nebo odchází. Jen málokterá firma má přesnou a aktualizovanou evidenci o všech účtech (přístupových jménech) na serverech v databázích a aplikacích, které kdy byly pracovníku přiděleny. Opomenutí odstranit takový účet představuje v systému zbytečná data, ale hlavně bezpečnostní rizika. Ne vždy odchází zaměstnanec s dobrými úmysly.
Systém pro centrální správu uživatelů IBM Tivoli Identity Manager minimalizuje nezbytné administrační činnosti. Pokud uživatel požádá o přístup, je pro něj na základě definovaného scénáře workflow potvrzen manažery a nakonec je automaticky vytvořen fyzický přístup. Pouhé zařazení zaměstnance do organizační struktury může automaticky vyvolat schvalovací proces a vytvoření účtů pro přístup ke všem systémům s příslušnými oprávněními. Systém lze provázat i s personálními systémy. Tím se může zjednodušit proces zakládání uživatele, změna pozice, při odchodu zaměstnance může systém k datu ukončení pracovního poměru automaticky zablokovat přístup zaměstnance k datům.
Centrální správa uživatelů zjednodušuje život i uživatelům. Změna hesla do všech systémů z jednoho místa ušetří uživateli mnoho práce a chyb. Lze tak pro zvýšení bezpečnosti žádat od uživatele i složitější hesla či jejich častější změnu, neboť je to nyní podstatně snazší. Heslo lze nastavit například přes webovou stránku. Jinou variantou je synchronizace všech hesel uživatele podle hesla do Windows.

Řízení přístupu k informacím
a Single Sign-On
IBM Tivoli Access Manager poskytuje rozšíření možností řízení přístupu k informacím. Velmi často se uplatňuje pro webové aplikace, kde zabezpečuje přístup k webovým stránkám. Mimo tuto úlohu zajišťuje jednotné přihlášení - Single Sign-On. Uživateli se nezobrazují opakované žádosti o zadání jména a hesla. Nutné je pouze první zadání hesla či jiný způsob ověření, pak je již uživatel přihlašován k různým zdrojům automaticky. Access Manager také zajistí logování a audit přístupů k citlivým informacím, což je velmi významný bezpečnostní prvek. Access Manager pro operační systémy rozšiřuje ověřovací možnosti těchto prostředí. Například v unixových systémech lze omezit neomezeného vládce systému - uživatele root. U kiosků a sdílených stanic může zvýšit bezpečnost automatickým odhlášením po době nečinnosti, ani uživatelsky řízený reset hesel není pro koncového uživatele problémem.


Dohled nad dodržováním bezpečnostních pravidel
Mají uživatelé, kteří se připojují do počítačové sítě, správnou verzi antiviru? Jsou všechny notebooky zabezpečeny heslem na harddisku? Má každé PC běžící a správně nastavený bezpečnostní firewall? Jsou nainstalovány všechny kritické bezpečnostní záplaty?
Dobré otázky. Asi si z pohledu bezpečnosti vybavíte mnoho dalších požadavků na správné nastavení stanic. Jak to uhlídat? Velmi jednoduše: IBM Tivoli Security Complience Manager ohlídá, zda se na stanicích a serverech definovaná bezpečnostní pravidla a nařízení dodržují. Tento nástroj je schopen s minimálními náklady zásadním způsobem zvýšit bezpečnost celého počítačového prostředí firmy. Uveďme několik příkladů za všechny. Notebook s citlivými daty, zanechaný na sedačce automobilu bez zaheslovaného disku, opuštěný počítač v kanceláři, u něhož se včas nezamkne obrazovka, domácí uživatel PC, na němž děti přistupují k nedůvěryhodným stránkám bez antiviru a firewallu, který se pak s bezpečnostně nevhodným softwarem připojí do vaší firmy a otevře útočníkům bránu.
Security Compliance Manager může automaticky upozornit uživatele na zjištěný nedostatek a doporučí nápravu. Při neřešení problému informuje například manažera. Samozřejmě lze mnoho nápravných akcí automatizovat nebo zablokovat přístup k citlivým částem systému. To je ale již úkol pro jiné nástroje Tivoli.


Analýza bezpečnostních rizik
V komplexnějších prostředích větších firem existuje mnoho míst, kde jsou evidovány bezpečnostní údaje: přístup k citlivým datům, zamítnuté a povolené průchody přes firewall, systémy IDS (Intruder Detection), systémové logy evidující úspěšná a neúspěšná přihlášení a mnoho dalších údajů. Úkolem IBM Tivoli Risk Manageru je pomocí analýzy získaných informací zjistit reálná bezpečnostní rizika. Uveďme opět příklad: neúspěšné přihlášení uživatele pravděpodobně není bezpečnostní problém. Když to ovšem tento uživatel zkouší na pět různých systémů, pak je to s vysokou pravděpodobností bezpečnostní útok. Zjistit tuto informaci v komplexním prostředí mechanickou analýzou logů je časově náročné a většinou téměř nereálné.
Bezpečnost je téma, které je pro každou firmu velmi kritické. IBM Tivoli Software je modulární software, jenž je na jednu stranu cenově dostupný i pro malé a střední firmy, na stranu druhou je prověřený v nejkritičtějších prostředích velkých zákazníků. Tyto nástroje nejsou samozřejmě zadarmo, ale návratnost investic je v tomto případě prokazatelná a krátkodobá. Následky používání nezabezpečených systémů jsou často fatální.

Petr Klabeneš, Tivoli Brand Leader CZ/SK.
IBM Tivoli Risk Manager.
IBM Tivoli Security Complience Manager.










Komentáře