Příkladem nechť je správa uživatele a jeho přístupů. Běžný den informatika pak vypadá zhruba tak, že řeší nashromážděné servisní požadavky. Z personálního odboru přicházejí požadavky na založení účtů novým zaměstnancům. Požadavky nadřízených na rozšíření profilu podřízeného o přístupy do interních aplikací, ale i systémů mimo perimetr úřadu. Pravidelně zvýšený výskyt požadavků o reset hesla v době dovolených. Několik incidentů s přístupem k informacím.
Někdo se dostal tam, kam neměl, jiný se nedostal tam, kam měl. A tak dál. K tomu všemu před deseti minutami začala porada ohledně vzhledu nového portálu…
Vypadá to na návod, jak věci nedělat. Přitom úlohou informatiky je primárně poskytnout efektivní podporu a nástroje pro výkon činností ostatních částí organizace. Pojďme si ve světle této premisy projít ten den ještě jednou tak, jak to dělat efektivně s nižšími riziky pro úřad.
Do úřadu nastoupili dva noví zaměstnanci. O tom ví nejlépe odbor lidských zdrojů, tento odbor je vlastníkem procesu přijetí nového zaměstnance. Založí nové zaměstnance do personálního systému, přihlásí na ČSSZ, zajistí vyplácení mzdy atd.
Pokud zaměstnanec odejde, promítnou tuto skutečnost opět do personálního systému.
Postradatelnost I. – Informatik vytváří a deaktivuje uživatele.
ŘEŠENÍ: Místo informatika spravuje data uživatelů personální odbor v personálním systému. Jelikož jsou procesy spjaté se správou v organizacích tradičně velmi dobře zavedeny a vykonávány, lze považovat personální systém za nejkvalitnější zdroj dat o zaměstnancích.
Využíváme jej proto jako autoritativní zdroj dat pro vytváření identity uživatele v úložišti identit, ve kterém probíhá metamorfóza záznamu zaměstnance v záznam uživatele. A to obohacením záznamu
o uživatelské jméno, heslo a případně další autentizační prvky. IT „pouze“ poskytuje personálnímu oddělení efektivní nástroj, jak zakládat, měnit, deaktivovat uživatele prostřednictvím systémové integrace personálního systému a úložiště identit. Vytvořením Úložiště identit také získáváme důležitý centralizovaný přehled o rozsahu oprávnění, která zaměstnanec v průběhu svého působení získal a zda jsou stále tato oprávnění aktivní.
Postradatelnost II. – Informatik spravuje přístupy uživatelů k aplikacím.
ŘEŠENÍ: Vytvoření funkčních míst a administračního rozhraní. Novým zaměstnancům lze podle pracovního zařazení přiřadit funkční místa, která jsou definována sadou přístupových oprávnění k aplikacím. Například funkční místo Účetní má vždy přístup k e -mailu, SAP Finance a Internímu portálu pro schvalování objednávek. Není tedy nutné vymýšlet tyto přístupy pro každou účetní znovu a znovu. Problém s neoprávněným přístupem k informacím, způsobený typicky komunikačním šumem, případně jednoduchým ukliknutím admina je tímto rovněž eliminován.
Požadavek nadřízeného o rozšíření přístupových práv je pak možné zadat přes Administrační rozhraní. Díky nastavenému workflow procesu je pak zpracován bez další nutné lidské interakce.
Postradatelnost III. – Ke zjištění přístupů uživatelů k informacím je nutno
projít logy několika aplikací.
ŘEŠENÍ: Přístupová brána. Zajistí bezpečnost provozovaných aplikací proti útokům, zajistí identifikaci, autentizaci a autorizaci uživatele a jeho požadavků a především udržuje informaci o přístupech uživatele na jednom centralizovaném místě, které lze také samozřejmě využít pro integraci s libovolným SIEM řešením. Nutno rovněž zdůraznit, že taková brána musí být otevřená dalším zjednodušeným integracím, připravena na legislativní požadavky v podobě podpory eIDAS. Uživatelský komfort v podobě single sign je samozřejmostí.
Postradatelnost IV. – Nutnost spravovat uživatele úřadu interně, ale i externě.
ŘEŠENÍ: Synchronizace uživatelů a správa všech přístupů na jednom místě.
Synchronizace úložiště identit s JIP Czech POINT má smysl již od počtu několika desítek uživatelů, ať už přistupují do Czech POINT, nebo ne, protože zásadních benefitů, které toto řešení přináší, je několik:
1. Všichni uživatelé úřadu jsou spravováni na jednom místě. Úřad má tímto přehled o rozsahu přidělených oprávnění uživatele.
2. Uživatelé mají stejné jméno a heslo také do jiných informačních systémů veřejné správy. Ve vzácném efektu se tím navyšuje uživatelský komfort a bezpečnost zároveň.
3. Úřad získává elektronickou identitu zaměstnance ztotožněnou vůči registru obyvatel.
4. Úřad průběžně získává aktuální agendové činnostní role pro přístup do základních registrů.
5. Odpadá riziko „zapomenutého uživatele“, protože je tento účet díky systémové integraci rovněž deaktivován při odchodu zaměstnance z úřadu. Přece nechcete bývalému zaměstnanci nechat přístupy do rejstříku trestů, bodového hodnocení řidiče, případně jiných neveřejných rejstříků. Kromě toho je synchronizace otevřená i pro synchronizaci s jinými identitami prostory či aplikacemi.
Příkladem uceleného řešení nejen uvedených Postradatelností je Lokální JIP společnosti NEWPS.CZ, které replikuje best practices JIP Czech POINT, ve kterém spravuje data svých uživatelů a jejich přístupových oprávnění více než 8 500 subjektů pro více než 120 000 uživatelů. Lokální JIP přenáší praxí ověřené principy správy uživatelů a přístupů orgánům veřejné správy s využi tím a podporou sdílených služeb e -governmentu.
Jedná se o licencované řešení, lokální JIP vysoutěžíte jako kterékoliv softwarové řešení.
Lokální JIP odstraní Postradatelnosti.
Den se rozbíhá a informatik má prostor na schůzku a může se plně věnovat efektivnímu rozvoji IT svého úřadu.
Tomáš Řemelka, delivery director, NEWPS CZ
PŘEDPLATNÉ
ČLÁNKY DO MAILU