Managementul Identitatii

A+ A A-

Managementul identitatii si accesului (MIA)

Managementul identitatii si accesului (MIA) reprezinta procesul gestionarii acesului diferitelor persoane asupra informatiilor in decursul timpului. Aceasta activitate trans-functionala implica crearea unor identitati distincte pentru indivizi si sisteme, precum si asocierea de sisteme cu conturi la nivel de aplicatii cu aceste identitati.  
Procesele MIA sunt folosite pentru a initia, capta, inregistra si gestiona identitatile utilizatorilor si permisiunile de acces legate de acestia cu informatiile ce intra in proprietatea organizatiei. Acesti utilizatori se pot extinde in afara organizatiilor. De exemplu, utilizatorii pot fi vanzatori, clienti, conturi administrator generice si badge-uri fizice de acces. Mijloacele folosite de catre organizatie pentru a facilita administrarea conturilor utilizatorilor si pentru a implementa controale adecvate privind securitatea datelor reprezinta fundamentul Managementului Identitatii si Accesului.
Desi multi manageri privesc MIA ca pe o functie de IT, acest proces are impact asupra fiecarei unitati de business din cadrul unei organizatii. De exemplu, cadrele de conducere trebuie sa fie asigurate asupra faptului ca exista un proces care sa gestioneze accesul catre resursele companiei, iar riscurile aferente acestuia au fost adresate. Unitatile de business trebuie sa stie ce reprezinta MIA si cum poate acesta sa fie gestionat in mod eficient. Departamentele de IT trebuie sa inteleaga modul in care Managementul Identitatii si Accesului poate sustine procesele de business si apoi sa furnizeze solutii care sa intalneasca obiectivele organizatiei fara a o expune la riscuri nejustificate. Adresarea tuturor acestor nevoi necesita o intelegere solida a conceptelor fundamentale MIA.
Pentru a intelege starea curenta a companiei si a proceselor, trebuie obtinute informatii de la managementul pe business si IT. Dupa acest pas, se poate dezvolta o strategie care se bazeaza pe cat de mult sunt aliniate procesele existente cu obiectivele de business ale companiei, riscuri si nevoi.
Urmatoarele aspecte trebuie luate in considerare in momentul dezvoltarii MIA:
•    Riscurile asociate cu sistemul si modul in care acestea sunt adresate. 
•    Nevoile adresate de catre organziatie
•    Cum sa fie privit MIA in cadrul organizatiei si cum arata un proces MIA eficient.
•    Procesele folosite pentru identificarea utilizatorilor si numarul acestora prezenti in cadrul organizatiei
•    Procesele folosite pentru autentificarea utilizatorilor
•    Nivelurile de acces acordate utilizatorilor
•    Daca utilizatorii acceseaza resursele IT in mod neadecvat
•    Procesele folosite pentru urmarirea si inregistrarea activitatii utilizatorilor.
Pe masura ce o organizatie se schimba, si procesele aferente Managementului Identitatii si Accesului trebuie sa se schimbe. Astfel, o data ce schimbarea are loc, managerii trebuie sa fie atenti ca procesele MIA sa nu devina negestionabile sau sa expuna organizatia unor riscuri nejustificate din cauza folosirii neadecvate a bunurilor IT.
Este important sa examinam motivele multiple pentru care o organizatie ar trebui sa opteze pentru proiecte MIA. Acestea includ:
•    conformitate regulata imbunatatita
•    reducerea riscului aferent securitatii informatiei
•    reducerea costurilor IT de operare si dezvoltare 
•    imbunatatirea eficientei operative si a transparentei
•    improved user satisfaction imbunatatirea satisfactiei utilizatorului
•    cresterea eficientei initiativelor cheie de business
 Un factor ce contribuie la implementarea MIA cu succes este postura imbunatatita a riscurilor ce provine din implementarea unor mai bune identitati si controale de acces. Stiind cine are acces la ce si modul in care un acces este relevant unei functii sau unui job in mod direct, MIA imbunatateste, per ansamblu, forta de control a mediului organizatiei.
In multe organizatii inlaturarea drepturilor de acces unui utilizator sau drepturile de acces pentru o identitate digitala poate dura pana la trei sau patru luni. Aceasta poate prezenta un risc inacceptabil, mai ales daca un utilizator poate accesa in continuare sistemele si resursele companiei in aceasta perioada. De exemplu, au fost dovezi care indicau faptul ca unii utilizatori, precum contractorii, au continuat sa aiba drepturi de acces ani de zile, ceea ce duce la acces neautorizat la sisteme si expunerea infrastructurii organizatiei la tentative de frauda.
MIA este un proces complex ce consta intr-o varietate de politici, proceduri, activitati si tehnologii care necesita coordonarea mai multor grupuri ale companiei precum resurse umane si IT.
Practic, MIA incearca sa adreseze urmatoarele trei intrebari importante:
1.    Cine are acces la ce informatie? O identitate robusta si un sistem de gestionare a accesului va ajuta organizatia nu numai sa gestioneze identitatile digitale, dar si sa gestioneze accesul la resurse, aplicatii si informatii catre aceste identitati
2.    Este accesul corelat functia? Acest element cuprinde doua aspecte. Primul reprezinta accesul corect si definit in mod adecvat pentru a sustine un job spefic. Al doilea, defineste daca accesul catre o resursa anume intra in conflict cu alte drepturi de acces, devenind astfel o potentiala problema de desegregare a sarcinilor.
3.    Sunt accesul si activitatile monitorizate, logate si raportate in mod corespunzator? Pentru a beneficia de eficienta sistemului, procesele MIA ar trebui definite intr-o maniera care sa sustina conformitatea normativa. Una dintre cele mai mari realitati normative se afla sub ordinul Sarbanes-Oxley, iar alte reglementari sunt acelea ca drepturile de acces trebuie definite, documentate, monitorizate, logate si raportate in mod corespunzator.

Concepte
•    Identitate – element sau combinatie de elemente folosite pentru a descrie in mod unic o persoana sau masina. Poate fi ceea ce stie, precum o parola sau un numar de identificare personala; ceea ce are, precum Carte de Identitate, token de securitate sau de software; ceea ce este, precum amprenta sau modelul retinei; sau oricare combinatie a acestor elemente.
•    Acces – informatia care reprezinta drepturile acordate identitatii. Aceste informatii asupra drepturilor de acces pot fi acordate pentru a permite utilizatorilor sa efectueze functii tranzactionale la nivele diferite. Unele exemple ale functilor tranzactionale sunt copierea, transferul, adaugarea, schimbarea, stergerea, revizuirea, aprobarea, sau anularea.
•     Titluri – colectia de drepturi de acces pentru a efectua functii tranzactionale. Nota: Acest termen este folosit ocazional si sinonim cu drepturile de acces.


www.bion-team.ro - Template Design - ITNet