3/2014
Časopis vydavatelství Economia — www.modernirizeni.cz — Cena 140 Kč / 6,20 €
TÉMA Z výsluní téměř na dno a zpět 8 rozhovor Krizový manažer Tomáš Pastrňák 12 MAnAžerskÉ dovednosTi Improvizace funguje nejen v divadle, ale i v byznysu
krizový management
48
HANA KEJHOVÁ
Ve firmách sílí požadavky na zvýšení bezpečnosti. pro jejich splnění se zavádí automatizace, čímž se odstraňují chybové faktory manuální správy uživatelů. z jednoho centrálního místa, kterým je identity manager, se snáze vynucují silnější bezpečnostní politiky. automatizace a centralizace znamená méně práce pro administrátory, kteří nemusí řešit zřizování, rušení a modifikaci jednotlivých přístupů a mohou se věnovat jiným a kreativnějším věcem. noví zaměstnanci se navíc dostanou rychleji ke svým přístupům.
StratEgický maNagEmENt
Černé duše ve firmě, spící účty a jak to řešit Na zavádění identity managementu tlačí legislativní požadavky, zákon o ochraně osobních údajů, zákon o bankách, zákon o základních registrech, opatření ČNB, energetický zákon a existují i speciální zákony pro firmy kotované na burze. Následují požadavky normativní, například řízení bezpečnosti informací, a existují také standardy pro firmy pracující s platebními kartami. Společnost PwC uvádí, že 80 % velkých společností zaznamenalo
34
v roce 2013 bezpečnostní incident, který zavinili zaměstnanci. A společnost Trustwave tvrdí, že průměrně trvá 173,5 dne, než se útok objeví. „Tato doba se spíše prodlužuje na 200 dnů, jak ukazují příklady z praxe,“ říká Jiří Vitinger, solution architekt ze společnosti AMI Praha, pro kterou je od roku 2008 identity management hlavním byznysem. Nastavovali tento systém například v České poště, v Raiffeisenbank, ve Skupině ČEZ… Identity manage-
StratEgický maNagEmENt
ment je totiž vhodný především pro střední a větší společnosti, které spravují velký objem uživatelů, kde snadno dojde k přehlédnutí „černých duší“ (tj. uživatelských účtů, které zůstaly po bývalých zaměstnancích) a případným únikům dat. Průzkum s názvem 2013 Market Pulse Survey uskutečnila společnost Loudhouse mezi 400 vedoucími IT oddělení v USA a v Evropě mezi firmami s více než 5000 zaměstnanci. Hlavním zjištěním není jen to, že
AD
Obr. 1: Identity manager má centrální přehled, kdo má přístup do IT systému a s jakým oprávněním. Může automaticky zrušit všechna přístupová práva uživatele na rozdíl od praxe, kdy pokyn zadává jen HR oddělení lokálnímu administrátorovi, který může přehlédnout „díru“ v bezpečnostním systému.
ERP
HR
VPN
Identity manager (IdM)
Time sheet
CRM Portal
firmy obvykle selhávají v zabezpečení svých dat na soukromých přístrojích zaměstnanců (BYOD) a v rámci cloudu, ale že celých 45 % zaměstnanců nemá problém tato data za správnou cenu prodat komukoliv dalšímu, včetně konkurence. „Identity manager má být schopen říci, kdo všechno má přístup do systémů a s jakým oprávněním. Dále to mohou být informace ke konkrétnímu datu v minulosti anebo historický report operací, například kdo všechno si změnil heslo v určitém období, což je vhodné při dopátrávání při bezpečnostních incidentech. Specifickým typem jsou auditní reporty, které zaznamenávají porušení bezpečnostních politik. Všechny zprávy je možné spouštět na vyžádání přímo na webové konzoli nebo si je nechat pravidelně posílat e-mailem či ukládat na disk,“ vysvětluje Jiří Vitinger z AMI Praha. Produkty se liší cenou, která obvyk-
moderní řízení
le koresponduje i s jejich funkčností. Poskytují je například Microsoft, Novell, Oracle či IBM.
tity managementu, kdy je lokální administrativa nahrazena centrální silou,“ říká Jiří Vitinger.
eXzaměstnaneC mŮže VykrÁdat bÝValou firmu
pomŮže identity management?
Každý systém ve firmě spravuje administrátor. Někdo ve firmě potřebuje CRM systém pro obchodníky, má docházkovou aplikaci a také VPN, připojení na dálku. Ve všech firemních systémech mají pracovníci uživatelské účty. Když zaměstnanec odchází ze společnosti, je jeho odchod spolehlivě vyřešen v mzdovém či personálním systému. V ostatních firemních systémech ovšem často zůstane uživatel i nadále, protože jeho deaktivace závisí na předávání informací mezi lidmi a manuálním zásahu administrátorů. Exzaměstnanec se připojí přes VPN, ukradne citlivá data a poskytne je současnému zaměstnavateli. Jak se bránit? „Nasazením iden-
BŘEZEN 2014
Společnost Trustware tvrdí, že průměrně trvá 173,5 dne, než se útok do IT systému objeví. Tato doba se spíše prodlužuje na 200 dní, jak ukazuje praxe, říká Jiří Vitinger, solution architekt z AMI Praha.
Jde o centralizovanou správu uživatelských účtů napříč IT i celou společností. Poskytuje z jednoho místa informace o všech uživatelských účtech ve společnosti. Identity manager se může podívat, kam všude měl bývalý uživatel přístupy. Dále zajišťuje automatizaci procesů, čímž jsou eliminovány chyby vznikající při manuálním zpracování. Výhody tohoto systému jsou zvýšení bezpečnosti a snížení nákladů. Nasazením identity managera se tak eliminují případné budoucí zvýšené náklady, které musí firmy vynaložit na únik dat, například ukradená data o klientech. Společnost čeká nejen vysoká pokuta, ale musí např. také rozesílat omluvné ▶
StratEgický maNagEmENt
35
▶ dopisy klientům a vypořádat se se sníženou reputací firmy na trhu. Výzkumy ukazují, že 95 % úniků firemních dat mají na svědomí zaměstnanci. Například banka HSBC přišla o data 24 tisíc klientů, ukradl je zaměstnanec.
automatiCkÁ deaktiVaCe VŠeCh ÚČtŮ
Je rozdíl mezi odchodem zaměstnance z firmy, která je řízena „manuálně“, a takovým, kde je nasazen identity management. V ideálním případě, kdy funguje identity management, zaměstnanec odejde a na základě informace z personálního systému jsou mu automaticky deaktivovány všechny
uživatelské účty. Když se v personálním systému naopak objeví nový zaměstnanec, identity manager mu automaticky založí veškeré potřebné přístupy. „K tomu slouží pravidla pro automatické přidělení rolí, “ vysvětluje Jiří Vitinger. „Rozhoduje se na základě pracovní pozice v organizační struktuře, kde se zaměstnanec nachází. Když je například přijat obchodník do obchodního oddělení, tak mu identity manager automaticky nastaví všechny potřebné účty, jako například účet v CRM.“ Pokud obchodník zjistí, že potřebuje přístup do nějaké další aplikace, požádá si o přístup opět prostřednictvím identity managera.
ČasoVě omezenÝ přístup při auditeCh
Výhodné je, že je možné zvolit časově omezený přístup do systému, což může být užitečné například u auditorské pozice. Lidský faktor je omezen na schvalování přístupu do systému. Dále je výhodné, že lze z jedné konzole poměrně snadno změnit hesla do všech systémů, do kterých má uživatel přístup. Proč mít změnu hesla z jednoho místa? Lze lépe ohlídat sílu hesla či časovou exspiraci hesel. Jak jsou na sobě závislé HR systémy a systém identity managera? Jedna cesta je, že vše, co se stane v personálním systému, autoritativně vyvolá změny v identity manage-
Obr. 2: Dva rozdílné přístupy – směr šipek ukazuje, kdo je řídící autoritou při správě dat. Je to buď HR oddělení, nebo identity manager.
HR
AD
HR
Identity manager
CRM
36
StratEgický maNagEmENt
AD
Identity manager
ERP
CRM
ERP
ru a přes něj v dalších systémech. Je ale možné i to, že v centru dění je identity manager, který řídí i změny v HR systému jako v jednom ze spravovaných systémů a řídí tak například i externisty. V obou případech identity manager vyhodnocuje a vynucuje správný stav všech uživatelských účtů v systémech. Každý identity manager by měl mít k dispozici různé modely, které se liší podle rozsáhlosti systému. Má oprávnění podívat se na koncové oprávnění a stanovit role a provádět analýzu oprávnění. Zkušenosti z firem ovšem ukazují, že praxe je složitější, než jsou poučky společností, které tyto systémy prodávají.
kdy téměř vše existuje v digitální podobě a lidé potřebují a chtějí mít přístup k informacím, penězům, kontaktům, dokumentům odkudkoli a kdykoli, je řízení identity pro každou firmu kritické. Velká komplexní řešení a jejich dlouhodobá údržba se v praxi často ukazují jako příliš náročné, až nadlidské úkoly a je to také velmi nákladné.“
dVa přístupy, rozhoduje, kdo je dirigent
Nejčastější a v zásadě i nejvýhodnější architekturou celého řešení je použití HR systému jako autoritativního zdroje identit. V takovém případě si identity manager automaticky stahuje údaje o zaměstnancích z tohoto V Chaosu se obtížně systému a ihned je zpracovává. Ihned tedy zřizuje nové účty novým definují role Jaroslav Vacek ze ŠkoFINu upozorzaměstnancům, ruší účty odchozím ňuje, že „firmy často přesně nevědí, a modifikuje oprávnění těm, kteří jak přiřadit v identity managezměnili pracovní pozici. Pro práci mentu jednotlivé role, a situace je personálního oddělení se přitom ještě mnohem složitější, pokud jde nic nemění oproti původnímu stavu o korporaci, kde o mnohých postubez identity managera. V něktepech rozhoduje centrála v zahraničí. rých případech ale nelze uvedený Koncové systémy na tento přístup přístup použít. Důvodem může být nejsou mnohdy připraveny“. HR to, že v personálním systému nejsou oddělení podle Vacka umí spíše dostatečně kvalitní či dostatečně pracovat s parametry přijmout/zaaktuální data nebo zde zcela chybějí mítnout. Zanedbatelná není ani informace o některé skupině pracena implementace takového covníků. V praxi jde často o extersystému, což je podle obchodního nisty, kteří v personálním systému ředitele AMI Praha Petra Urbana žádné záznamy nemají. V takovém kolem 1,5 milionu korun, pokud případě přichází na řadu alternativzvažujeme například tři koncové ní architektura identity managera, systémy a jeden autoritativní řídící která znamená správu pracovníků zdroj. Samotná analýza potřeb firmy přímo v tomto systému. a návrh vhodného řešení zaberou V obou přístupech ale zůstávají kolem půl roku. Vyplatí se proto zachovány všechny výhody řešení, spíše ve velkých firmách, od 200 jako automatické zakládání a rušení počítačů. Urban zdůrazňuje, že jde účtů v připojených systémech, cento obecnou kalkulaci pro lepší předrální dohled a reporting apod. Pouze stavu. Jedná se o cenu implemenvstupní bod pro údaje o pracovnítace, ve které nejsou zahrnuty ceny cích se v těchto přístupech liší. Oba licencí, které jsou odlišné pro každý přístupy je navíc možné kombinoprodukt. Důležité je i proškolení vat, např. první přístup pro zaměstvšech administrátorů pro efektivní nance a druhý pro externisty. „Udrpoužití systému. Že nejde o levnou žování definovaných ‚rolí‘ s pevnými záležitost, potvrzuje Zdeněk Jiříček, přístupovými právy předpokládá konzultant v oblasti bezpečnospoměrně stabilní organizační ti, Microsoft ČR. „V dnešní době, strukturu a může bránit schopnosti
moderní řízení
BŘEZEN 2014
rychle reagovat na potřeby zákazníků,“ říká Zdeněk Jiříček, konzultant v oblasti bezpečnosti, Microsoft ČR. „Pokud chce organizace zvolit přístup, který je spolehlivý a prakticky udržitelný, měla by soustředit základní informace o uživatelích, jejich identifikaci a autentizaci, a o firemních aplikacích do zabezpečené síťové infrastruktury jako např. Active Directory. Tím omezí duplikování uživatelských účtů a vytvoří předpoklady pro komfort jediného přihlášení do sítě a také pro řízení přístupu k firemním aplikacím. Autorizaci pro úrovně oprávnění pak mohou flexibilně řešit správci jednotlivých aplikací nebo využívat zabezpečných skupin přímo v Active Directory či pomocí správy životního cyklu identit (např. Forefront Identity Management).“
kontrakty s obChodními partnery
Pro přístup k aplikacím v cloudu nebo u externích obchodních partnerů lze efektivně využít tzv. federaci identit, kdy hostující organizace důvěřuje autentizaci externích uživatelů z jejich vlastní firemní sítě. Hlavními výhodami jsou umožnění komfortu jediného přihlášení i k aplikacím mimo vlastní firmu a dále eliminace zmíněných „mrtvých duší“. Jde o to, že firmy jsou nuceny z obchodních důvodů zřizovat přístupové účty externím pracovníkům, avšak nemají prakticky možnost si vynutit, aby při odchodu těchto externích pracovníků byly účty okamžitě zrušeny. Přístupové účty takových „mrtvých duší“ jsou bezpečnostní díry do sítě hostující organizace. Federace identit může zajistit, aby všechna přístupová práva pracovníka měnícího pozici nebo odcházejícího z firmy byla změněna nebo zrušena ke všem aplikacím najednou – uvnitř i mimo vlastní firmu.
Firmy často přesně nevědí, jak přiřadit v identity managementu jednotlivé role. A situace je ještě mnohem složitější, pokud jde o korporaci, kde o mnohých postupech rozhoduje centrála v zahraničí. Koncové systémy na tento přístup nejsou mnohdy připraveny, říká Jaroslav Vacek ze ŠkoFINu.
[email protected]
StratEgický maNagEmENt
37
