Contextul actual, caracterizat prin combinaţia dintre munca la birou şi munca la distanţă, nevoia angajaţilor de a accesa din orice loc echipamentele, reţelele şi aplicaţiile companiei, folosirea echipamentelor personale pentru îndeplinirea sarcinilor de serviciu (bring your own device - BYOD) şi utilizarea de soluţii cloud, a obligat companiile să-şi regândească abordarea în domeniul apărării cibernetice. Accentul se mută acum de la parametrii legaţi de reţea, la modul în angajaţii pot accesa şi utiliza resursele companiei. Arhitectura de tip Zero Trust, un concept care implică o abordare integrată a politicilor de guvernanţă şi a administrării identităţii în cadrul unei companii, este un exemplu de soluţie pentru noile provocări cu care se confruntă companiile.
Construirea unei arhitecturi Zero Trust este posibilă cu ajutorul unor soluţii pentru managementul identităţii (identity Access Management – IAM) şi al accesului privilegiat (Privileged Access Management – PAM), care definesc nivelul şi perioada de acces al unui utilizator la resursele organizaţiei. În prezent, necesitatea adoptării unor astfel de soluţii a crescut considerabil, având în vedere gradul de încărcare a departamentelor de IT şi securitate din organizaţii, responsabile cu acordarea acestor privilegii în mod manual sau automat, aspect care îngreunează alocarea rapidă a accesului pentru anumiţi utilizatori.
Cum poate fi implementată o soluţie de gestionare a identităţii şi a privilegiilor acordate utilizatorilor? Companiile trebuie să aibă în vedere trei dimensiuni pentru a crea o arhitectură de tip Zero Trust.
Acces doar la resursele absolut necesare
În primul rând, să îşi propună să aibă în cadrul organizaţiei utilizatori cu acces la un nivel minim necesar (least privileges). Spre exemplu, noii angajaţi ar trebui să primească permisiunea de a accesa un număr cât mai redus de resurse; în numeroase companii, abordarea este la polul opus - aceştia primesc acces încă din prima zi la cât de multe resurse posibil, pentru a evita încărcarea ulterioară a departamentului IT sau de securitate. Aceste departamente ar trebui să aibă o imagine de ansamblu a drepturilor de acces pentru fiecare utilizator prin construirea unui inventar cât mai clar al resurselor din companie, de la aplicaţii, la date, la centralizarea şi gruparea tuturor drepturilor de acces ce pot fi alocate utilizatorilor într-un catalog de servicii, cu scopul de a îmbunătăţi procesul de acordare a permisiunilor. În acest sens, este importantă implementarea unui portal de tip self service, cu ajutorul căruia orice utilizator poate cere permisiunile respective, utilizând unul din cele două tipuri de fluxuri – cu auto-aprobare sau cu aprobare prin intermediul unui factor uman decizional.
Cum arată „viaţa” unui utilizator
În al doilea rând, companiile trebuie să acorde o atenţie sporită manierei în care definesc ciclul de viaţă pentru fiecare utilizator, de la stabilirea proprietarului unei resurse, până la determinarea unui proces de aprobare pentru a avea control asupra oricăror schimbări survenite în atribuţiile angajatului, şi crearea unui catalog complex şi granular de permisiuni care pot fi cerute de orice utilizator. Este important ca organizaţiile să ia în calcul implementarea unor controale predictive pe întreg procesul de acordare a accesului utilizatorilor, capabile să optimizeze timpul de intervenţie umană, şi a unor reguli pentru a preveni situaţii periculoase, precum cea în care un utilizator ajunge să deţină puteri absolute pe linia sa de business (de exemplu, apariţia unei persoane care poate iniţia plăţi pe care apoi le poate şi aproba).
Optimizare, optimizare, optimizare
De asemenea, organizaţiile trebuie să optimizeze modul în care stabilesc nivelul de acces al fiecărui utilizatorşi timpul petrecut de aprobatori în procesul de acordare a accesului. O soluţie de gestionare a identităţii şi a privilegiilor acordate utilizatorilor poate ajuta în acest sens prin recomandarea unui anumit set de permisiuni în baza unui tipar identificat cu ajutorul inteligenţei artificiale. Spre exemplu, dacă 95% din personalul departamentului de contabilitate are aceleaşi permisiuni, automat, când în organizaţie va ajunge un nou membru al acelui departament, acesta va avea acces la aceleaşi resurse ca restul echipei, conform recomandării soluţiei de inteligenţă artificială.
În concluzie, implementarea unor soluţii de management al identităţii şi al accesului privilegiat a devenit o nevoie stringentă în contextul actual pentru a putea păstra un nivel optim de securitate în cadrul organizaţiilor. În contextul creşterii masive a complexităţii infrastructurilor digitale din organizaţii, lipsa unor astfel de soluţii va duce la atragerea unor atacatori externi sau interni care pot profita de lipsa unor controale riguroase.
Material de opinie de Mihai Olteanu, Director Cyber Defense Advisory, Deloitte România
