Společnosti se při řešení problému stále častěji obracejí k softwaru pro správu rolí. Ten pomáhá analyzovat a mapovat pracovní funkce zaměstnance vůči odpovídajícím IT oprávněním a tyto role vytvářet a spravovat.
Začátkem roku 2007 potřeboval pojišťovací gigant Cigna standardizovat způsob přiřazování IT oprávnění svým 27 tisícům zaměstnanců přistupujícím k cca 300 aplikacím. Tradiční metoda společnosti – poskytování oprávnění novým zaměstnancům podle podobných zaměstnaneckých pozic – nepokrývala složitost a množství nových požadavků na účty.
„Bez rolí dochází k vytváření ID chaoticky,“ uvádí Craig Shumard, hlavní manažer zabezpečení informací pojišťovny Cigna. „Když třeba Bill povýší, můžete si říci: Dejme mu přístup všude, kam mohl Joe, protože se jedná o stejnou pozici. Jenže Joe mohl za ta léta získat mnoho dalších oprávnění, která by Bill mít neměl.“
Cigna původně vytvořila interní nástroj pro poskytování oprávnění podle pracovních postupů, který umožnil uživatelům zahájit proces poskytování výběrem funkcí pozice a IT potřeb prostřednictvím tzv. rozevíracích nabídek. Společnost si však rychle uvědomila, že potřebuje automatizovanější systém pro vytváření uživatelských rolí, který by také měl možnosti reportingu a monitoringu.
Cigna si tedy vybrala sadu Aveksa 3, která obsahuje monitoring rolí, reporting a funkce správy. Software také poskytuje analytické nástroje pro vyhodnocení stávajících rolí a definování nových, dále audit pro ověření dodržování směrnic a také automatickou certifikaci, která směruje reporty zaměstnaneckých rolí podnikovým manažerům ke schválení.
Kdo potřebuje správu rolí
Velké organizace pravděpodobně budou správu rolí chtít a skutečně potřebovat, protože obvykle mají mnoho uživatelů a uživatelských rolí, a to způsobuje vysokou zátěž IT personálu. To může ospravedlnit čas a náklady implementace správy rolí. Také společnosti v regulovaných odvětvích, jako jsou finance a zdravotnictví, jsou dobrými kandidáty pro správu rolí kvůli aspektům dodržování legislativy softwarem.
„Zřetelně nám to pomáhá v dodržování legislativy, jako je Sarbanes-Oxleyův zákon nebo norma HIPAA,“ pochvaluje si Shumard. „Používání správce rolí je však také finančně výhodné.“
Ne každá společnost však potřebuje nebo si může dovolit aplikaci pro správu rolí. Při zvážení průměrných nákladů na implementaci správy rolí, které jsou podle analytické IT firmy Burton Group cca 1,17 milionu Udolarů, by měla pro nasazení správy rolí existovat jednoznačná potřeba, která by tyto náklady ospravedlnila.
Podniky, které se vrhají do projektu implementace správy rolí, mohou být nakonec také zklamané. V průzkumu společností, které implementovaly správu rolí, bylo podle odpovědí 60 % organizací při prvním pokusu o nasazení neúspěšných. Důvody selhání obsahovaly příliš velký důraz na technické aspekty, nedostatek účasti a podpory uživatelů a manažerů z provozní sféry a také nedostatečný důraz na standardizované nasazení či organizační strategii.
Jako při implementaci jakékoli významné aplikace vyžaduje i správa rolí velké množství plánování předem, inventarizaci aplikací, které používají a ukládají informace o rolích i uživatelích či samotné definice rolí. Teprve poté přichází na řadu analýza rolí a zvážení jejich vícečetného použití v upravených podobách.
„Při nasazení role managementu měříte čas v měsících, nikoli v týdnech,“ uvádí Kevin Kampman, analytik společnosti Burton Group. „Na řadu přichází značné množství interpretací. I když víme, že všechny dané osoby mají přístup k daným prostředkům, přesto musíme zjistit, zda jsou tyto skupiny správné, nebo zda jde o důsledky špatných postupů.“
Ukázkovým případem je potravinářský řetězec Safeway. V roce 2006 začala společnost implementovat produkty Oracle Role Manager (dříve Bridgestream SmartRoles) a Sun Microsystem Access Manager. Začátkem letošního roku Safeway dokončila první etapu, kterou šéfarchitekt Paul Rarey nazývá instalatérskou fází.
Ta zahrnovala vyčištění a sladění dat a implementaci modulu identity pro mapování zaměstnanců a funkcí jejich pracovních pozic ve vztahu ke specifickým přístupovým právům. Společnost také nainstalovala adaptéry pro připojení Oracle Role Manageru k Sun Access Manageru, který bude vytvářet role používané Role Managerem. Následující fáze zahrnuje připojení Role Manageru k různým podnikovým aplikacím, které budou používat role nebo obsahují data, jež bude potřebovat Role Manager. Tyto aplikace zahrnují korporátní adresáře, aplikace pro správu vybavení a systém personalistiky od společnosti PeopleSoft. Dvouletá implementace byla dokončena teprve nedávno.
Rarey říká, že jeho společnost implementuje správu rolí, aby se vyrovnala s rostoucím počtem zaměstnanců a korporátních sídel. Před rokem 2006 neměla žádný automatizovaný proces pro přiřazování přístupových práv k IT. Nyní s více než 1 700 potravinářskými prodejnami v Severní Americe, s korporátními sídly a 17 distribučními závody může tato společnost proces zautomatizovat.
„Po celém světě máme asi 300 až 500 zaměstnanců v centrech telefonické podpory, z nichž všechny mají stejná oprávnění v příslušných systémech, ale zodpovídají se různým organizacím řetězce Safeway. Potřebujeme být schopni mezi těmito rolemi rozlišovat,“ vysvětluje Rarey.
Výběr správného správce rolí
Podle expertů by se měla zohledňovat škálovatelnost, podpora stávajících IT systémů apod. Nejvíce však odlišují produkty pro správu rolí specifické kombinace vlastností a funkcí. Například firma Eurekify vytvořila produkt Sage Role Manager, který je zaměřen na zjišťování a modelování rolí. Další dodavatelé softwaru jako Avatier nebo Oracle nabízejí správu rolí coby součást svých sad pro správu identit.
To, co mohou organizace od produktů pro správu svých rolí požadovat, zahrnuje řadu funkcí. Funkce Zjišťování rolí identifikuje uživatele, kteří mají přístup k IT systémům, a rozdělí je pomocí kategorií do logických skupin, aby bylo možné pro ně vytvořit role. Banka ABSA v jižní Africe, která je součástí společnosti Barclays Group ve Velké Británii, použila produkt Eurekify Sage Role Manager k dolování uživatelských účtů a bezpečnostních oprávnění ze svých systémů. Získané informace byly poté automaticky předávány do softwaru Identity Manager od společnosti CA, který spravuje přístup k mnoha IT systémům banky.
Ruční sběr a analýza všech IT účtů a přístupových oprávnění uživatelů banky by byly neproveditelné, jak vysvětluje David Lello, výkonný ředitel konzultantské společnosti Global Security Solutions, která se zabývá podnikovou integrací a jež tuto práci pro banku ABSA prováděla.
Produkty pro správu rolí také vytvářejí role na základě různých zaměstnaneckých atributů a funkcí spjatých s danou pracovní pozicí. Zaměstnanci mohou mít několik rolí, jako např. „zpracování výplatních pásek“, „kanceláře na třetím patře“ a „junior manažer“.
Počet rolí, které mohou různé organizace mít, se může velmi lišit. Když se Debra Cuadrosová, provozní viceprezidentka konzultantské společnosti Simeio Solutions specializující se na správu identit na základě rolí, účastnila projektu v jedné velké firmě zábavního průmyslu, převedli 60 % organizace (několik tisíc uživatelů) do pouhých 25 rolí. K tomu však poznamenává: „Všichni měli velmi standardní pracovní úkoly, takže bylo snadnější skupiny tvořit.“
Kampman uvádí, že podle výsledků nedávného průzkumu firmy Burton Group může činit počet rolí 1–14 % celkového počtu zaměstnanců. Aplikace pro správu rolí obvykle nabízejí šablony a průvodce pro identifikaci a definici rolí.
Software pro správu rolí „může doporučit role nebo názvy pro skupiny, které máte – často podobně jako pracovní sešit,“ říká Hemal Vimadalal, ředitel Simeio Solutions. Jakmile jsou role vytvořeny, software předá definice rolí do aplikace pro tvorbu definic uživatelů nebo systému správy přístupu, kde se přiřazují a spravují příslušné uživatelské účty.
Správci rolí mohou rovněž pomoci definovat podnikové zásady pro zabezpečení a přístupová práva. Mohou také upozornit na konflikty, když má někdo přiřazeny dvě role se vzájemně nekompatibilními úkoly – jako např. když manažer nákupů také dostane úkol platit dodavatelům.
„Než se vůbec dostaneme k problematice řízení přístupu, je nutné porozumět, proč lidé potřebují přístup k prostředkům. Správa rolí umožňuje formulovat role a zásady a oddělit úkoly, kde je to potřebné,“ uvádí Kampman.
Reporting pomáhá organizacím s dodržováním legislativy. Díky možnosti zobrazit role a oprávnění zaměstnanců a důsledkům změn role a konfliktů je zjišťování shody mnohem snazší. Spousta manažerů rolí obsahuje reporty speciálně určené pro účely shody s legislativou.
Izraelská banka Leumi použila produkt Eurekify Sage k identifikaci redundantních, nepoužitých a konfliktních oprávnění u svých 11 tisíc zaměstnanců. Přibližně 27 % uživatelů mělo přehnaná a nadbytečná oprávnění, jak uvádí Hanania Kafri, ředitel zabezpečení této finanční instituce. Kafri odstranil nadbytečná oprávnění, i když k tomu byla nutná opatrnost.
„Trochu jsem se procesu obával, smazal jsem tedy jen několik z nich,“ popisuje. „Když za to po mně nikdo nezačal ‚střílet‛, smazal jsem po několika dnech i zbytek.“
Stejně jako u kteréhokoli softwarového projektu se doporučuje dlouhý proces vyhodnocení a pilotní či koncept ověřující projekt.
„Může existovat mnoho různých způsobů, jak produkt provádí definici rolí, a to se může, i nemusí hodit pro vaši společnost,“ varuje Cuadrosová ze společnosti Simeio. „Dodavatelé používají různé metodologie s rozličnou funkcionalitou, která může, ale i nemusí vaši organizaci vyhovovat. Při výběru dodavatele je tedy nutná velká obezřetnost. Seznámení se s několika funkcemi není v tomto případě ekvivalentem podrobného vyhodnocení produktu.“
Přesto by se však IT manažeři neměli nechat odstrašit od zavádění správy rolí, jak radí Cuadrosová. Toto řešení může poskytnout významné výhody, je-li implementováno s dostatečným plánováním a podporou vedení podniku. Cuadrosová doporučuje začít s odděleními, která to pravděpodobně potřebují nejvíce, jako například personální a finanční, či se zaměstnanci, kteří mají nejobvyklejší role.
„Podaří-li se vám u 60 % uživatelů, kteří mají definovanou funkci, vytvořit sadu rolí pro takovou skupinu, získáte tak ihned velký viditelný přínos. To vám pomůže věnovat se potom těm komplikovanějším,“ dodává.
Tento článek vyšel v tištěném SecurityWorldu 2/2009.