Najczęstsze błędy popełniane przez administratorów – zarządzanie uprawnieniami

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

JAK ISTOTNE JEST ZARZĄDZANIE DOSPĘPAMI DO SYSTEMÓW I APLIKACJI
DLACZEGO WŁAŚCICIELE SYSTEMÓW WOLĄ PRZYZNAWAĆ DUŻĄ LICZBĘ UPRAWNIEŃ WYKRACZAJĄCĄ ZAKRES ODPOWIEDZIALNOŚCI PRACOWNIKÓW I JAKI MA TO WPŁYW NA ORGANIZACJĘ I JEJ BEZPIECZEŃSTWO
DLACZEGO OKRESOWE RAPORTY Z UPRAWNIENIAMI PRZYZNANYMI PRACOWNIKOM MOGĄ POMÓC W TERMINOWYM ODBIERANIU IM UPRAWNIEŃ
CZYM JEST MACIERZ KONFLIKTUJĄCYCH UPRAWNIEŃ
CZY AUTOMATYZACJA ZARZĄDZANIA DOSTĘPAMI DO SYSTEMÓW I APLIKACJI MOŻE ROZWIĄZAĆ PROBLEMY GENEROWANE PRZEZ PROCES ZARZĄDZANIA UPRAWNIENIAMI

Zarządzanie dostępem do systemów oraz aplikacji jest trudnym zadaniem bez względu na rozmiar organizacji.

W dużych firmach problemy generuje często skala zjawiska – przy setkach systemów, tysiącach pracowników i ich znacznej rotacji zarządzanie ich uprawnieniami wiąże się z dłuższym od oczekiwanego czasem nadawania czy odbierania uprawnień oraz ryzykiem popełnienia błędów. W średnich firmach wyzwaniem jest najczęściej ustalenie odpowiedzialności za ten proces – administratorzy obarczeni są wieloma zadaniami i zarządzanie uprawnieniami rzadko znajduje się wysoko na liście ich priorytetów. Z kolei w małych firmach głównym problemem jest brak możliwości rozdzielenia uprawnień pomiędzy różnych pracowników, co powoduje wyższe ryzyko nadużyć.

Trudne słowo minimalizacja

Podstawową zasadą zarządzania uprawnieniami jest nadawanie ich wyłącznie w niezbędnym zakresie. Nie da się ukryć, że dużo łatwiej jest to powiedzieć, niż faktycznie zrobić. Z jednej strony pracownicy, poza stanowiskami niskiego szczebla, często mają dość szerokie zakresy odpowiedzialności, a z drugiej strony konieczność regularnego dodawania i odbierania uprawnień w związku z ciągle zmieniającymi się potrzebami użytkowników motywuje właścicieli systemów by uprawnień przyznać więcej i oszczędzić sobie w przyszłości biurokracji.

Niestety przyznawanie zbyt wielu uprawnień może się łatwo zemścić na organizacji. Co więcej, przy braku odpowiedniego nadzoru zdarzają się przypadki nadawania uprawnień bez przestrzegania firmowych procedur. Administrator systemu, który może jednocześnie manipulować logami, będzie w stanie dokonać nadużycia a następnie usunąć jego ślady. Pracownik, który może jednocześnie zgłaszać wydatki i je zatwierdzać, z łatwością będzie mógł wyłudzać nienależne zwroty z firmowej kasy. Zmuszenie pracowników by w razie próby dokonania nadużycia musieli działać w większej grupie znacząco zmniejsza prawdopodobieństwo zajścia takiego incydentu oraz zwiększa szanse jego wykrycia.

Łatwo nadać, trudniej odebrać

Jednym z najczęściej spotykanych problemów w obszarze zarządzania uprawnieniami jest nie ich nadawanie, a odbieranie. Można to wyjaśnić w bardzo prosty sposób – o ile pracownik, któremu uprawnień brakuje będzie najczęściej ubiegał się o ich przyznanie tak długo, aż je otrzyma, o tyle pracownik, który ma za dużo uprawnień, z reguły nie ma żadnego interesu w dbaniu o pozbycie się ich nadmiaru.

Nadmiarowe uprawnienia w pracy nie przeszkadzają, a wręcz mogą się czasem przydać. Interes w dbaniu o terminowe odbieranie niepotrzebnych uprawnień powinien mieć gestor systemu – czyli osoba, która odpowiada za zawarte w nim dane i zarządzanie dostępem do nich. Niestety bardzo często jest to osoba zajęta innymi obowiązkami i nie dysponuje czasem, by problemowi odbierania uprawnień bliżej się przyjrzeć.

Podobnym problemem jest odbieranie uprawnień osobom, które odchodzą z pracy. Czasem zdarza się, że były pracownik nadal ma dostęp zdalny do różnych systemów lub może np. przekierować pocztę ze swojego starego konta na nowe i odbierać emaile jeszcze wiele miesięcy po ustaniu stosunku pracy.

Oczywiście w zarządzaniu uprawnieniami mogą pomóc np. okresowe raporty wskazujące, kto jakimi uprawnieniami dysponuje w kontekście zajmowanego stanowiska. Proces identyfikacji nadmiarowych uprawnień można częściowo zautomatyzować, jednak niewiele jest organizacji, którym udało się zapewnić terminowe odbieranie uprawnień użytkownikom.

W zapewnieniu prawidłowej konfiguracji uprawnień w systemach na pewno pomoże sporządzenie macierzy konfliktujących uprawnień, czyli listy uprawnień, których nie powinna posiadać jedna i ta sama osoba. Sporządzenie takiej listy może być sporym wysiłkiem, jednak to bardzo przydatne narzędzie.

Jak monitorować

Trudno zapobiegać nadużyciom nie monitorując zagrożonych procesów. Na rynku istnieje wiele narzędzi wspierających zarządzanie uprawnieniami i ich wdrożenie może pomóc organizacji uporać się z takim problemem. Z jednej strony dzięki automatyzacji będzie można odciążyć administratorów, którzy będą mogli zająć się innymi zadaniami, a z drugiej pozwoli ona w większym stopniu na wyeliminowanie błędów w procesach nadawania i odbierania uprawnień oraz wykrywaniu uprawnień nadmiarowych.

Monitorowanie wykorzystania uprawnień, szczególnie w przypadku kont uprzywilejowanych, powinno być istotnym elementem usługi Security Operations Center. Prawidłowo skonfigurowane reguły monitoringu mogą pomóc wykryć zarówno uzyskiwanie uprawnień przez osoby nieautoryzowane, jak i nadużywanie posiadanych uprawnień przez osoby autoryzowane.

Podsumowanie

Przypomnijmy najważniejsze zalecenia dotyczące dbania o prawidłowe zarządzenie uprawnieniami w organizacji:

organizacja powinna wyznaczyć osoby odpowiedzialne za zatwierdzanie uprawień dla poszczególnych systemów i aplikacji,
należy stosować zasadę przyznawania jedynie niezbędnych uprawnień,
trzeba zadbać o prawidłowe procesy nie tylko nadawania, ale przede wszystkim przeglądu i odbierania uprawnień,
warto stworzyć i stosować macierz konfliktujących uprawnień,
wykorzystanie uprawnień musi być regularnie monitorowane pod kątem występowania anomalii,
należy bardziej angażować firmowe działy m.in. HR, compliance, bezpieczeństwa korporacyjnego w monitoring bieżących uprawnień.