IT@BANK. Technologie – Cloudware Polska Sp. z o.o: Zarządzanie tożsamością jako klucz do poprawy bezpieczeństwa i efektywności pracy banków

BANK 2019/11

Fot. Blue Planet Studio/stock.adobe.com

O tym, czym jest system klasy IDM i dlaczego warto z niego skorzystać, mówią Marcin Sztanderski, Technical Department Director oraz Łukasz Kuflewski, IAM Architect w Cloudware Polska Sp. z o.o.

Dziś banki stanowią potężne grupy wyspecjalizowanych podmiotów operujących w wielu krajach oraz wielu sektorach finansowych i ubezpieczeniowych. Powoduje to, że kluczowym zasobem i jednocześnie atutem są ludzie zatrudniani na wszystkich szczeblach oraz rodzajach stosunków pracy. Dodatkowo specyfika branży sprawia, że normalna jest duża rotacja osób, a także reorganizacje i zmiany stanowisk. Powyższe czynniki implikują zastosowanie zaawansowanych systemów zarządzania tożsamością, które stanowią nie tylko bazę do pracy dla działów HR, ale są także cennym rozwiązaniem z punktu widzenia IT oraz kadry zarządzającej – podkreśla Marcin Sztanderski.

Identity Management

Nowoczesne systemy klasy IDM (Identity Management) są czymś więcej niż tylko rejestrami pracowników oraz przypisanych do nich ról. Pozwalają na automatyzację procesów związanych z obsługą pracowników, optymalizują procedury on-boarding i off-boarding, a także – poprzez mechanizmy analizy i konsolidacji – umożliwiają wykrywanie luk w definicjach ról oraz łączenie w grupy osób o podobnych uprawnieniach. Dodatkowo takie systemy odpowiadają też za nadawanie i nadzór dostępów i uprawnień do pozostałych aplikacji i usług biznesowych. Dzięki temu stanowią zunifikowane rozwiązanie pozwalające monitorować i zarządzać tym. kto, kiedy i co robi w organizacji. Istotnym elementem jest także rozbudowana funkcja raportowania umożliwiająca – w czasie niemal rzeczywistym – analizę i optymalizację działania procesów HR – kontynuuje Marcin Sztanderski.

Identity Governance and Intelligence

Dobrym przykładem wiodących rozwiązań klasy IDM są tutaj produkty firmy IBM, która od lat wprowadza i rozwija innowacyjne systemy z obszaru zarządzania tożsamością. Rozwiązanie Identity Governance and Intelligence (IGI) usprawnia zarządzanie dostępem, automatyzuje cykl życia tożsamości i ogranicza liczbę zadań wykonywanych ręcznie. Oferowane możliwości obejmują zaawansowane funkcje zarządzania rolami, przepływ przyznawania dostępu na wielu poziomach oraz zintegrowane zarządzanie hasłami. Rozwiązanie IGI udostępnia szeroką gamę rozbudowanych i kompatybilnych adapterów aplikacji, działających w środowisku lokalnym i w chmurze. Dodatkowo rozwiązanie IGI umożliwia przedsiębiorstwom prowadzenie kampanii, w ramach których zweryfikują rzeczywiste potrzeby użytkowników w zakresie dostępu do danych dzięki konfigurowalnemu, samoobsługowemu kokpitowi użytkownika. Umożliwia to elastyczne, szybkie i skuteczne recertyfikowanie uprawnień dostępu użytkowników. Rozwiązanie IGI realizuje strategię ukierunkowaną biznesowo, aby wykrywać naruszenia zasady podziału obowiązków i nie polegać na porównywaniu poszczególnych ról. Użytkownicy biznesowi doskonale orientują się w takiej właśnie strategii, ponieważ prezentuje ona poziom ryzyka w jasny i praktycznie użyteczny sposób. Ponadto IGI można zintegrować z wieloma produktami do zarządzania kontami uprzywilejowanymi. Dzięki temu organizacje mogą w scentralizowany sposób zarządzać wszystkimi tożsamościami (w tym tożsamościami i uprawnieniami uprzywilejowanymi) i je nadzorować. Tego typu integracja pozwala zarządzać certyfikacją, delegacją i podziałem obowiązków – dodaje Łukasz Kuflewski.

System IGI oferuje precyzyjne mechanizmy kontroli (na poziomie obiektów transakcji i autoryzacji) umożliwiające wykrywanie naruszenia zasady podziału obowiązków w przypadku użytkowników i ról systemu SAP. Pozwala na czyszczenie ról i ograniczanie przypadków naruszeń przez użytkowników w środowisku SAP. Dodatkowo rozwiązanie IGI pozwala użytkownikom zyskać pewność, że przetwarzane, gromadzone i przechowywane dane osobiste są należycie chronione, a dostęp do nich i możliwość zarządzania nimi mają wyłącznie uprawnione osoby. Rozwiązanie IGI prezentuje zagrożenia określone przez RODO w sposób czytelny dla użytkowników biznesowych. Dzięki takiemu kontekstowi biznesowemu użytkownicy bez przygotowania technicznego mogą podejmować słuszne decyzje dotyczące dostępu, co przekłada się na wyższą ogólną trafność podejmowanych decyzji – wyjaśnia Łukasz Kuflewski.

Aplikacja IGI pomaga rozpoznawać obszary ryzyka i optymalizować dostęp dzięki zaawansowanym analizom tożsamości, które zapewniają bezcenne informacje wizualne na temat podejrzanych użytkowników i ich zachowania. Zapewnia to lepszą widoczność i kontrolę dostępu użytkowników na potrzeby eksploracji i modelowania ról. Rozwiązanie IGI umożliwia kompleksowe zarządzanie hasłami. Dzięki temu pomaga zyskać pewność, że komfort i bezpieczeństwo użytkowników końcowych stoi na wyższym poziomie. Oferuje funkcje synchronizacji haseł i odwrotnej synchronizacji haseł, a także moduł Desktop Password Reset Assistant (DPRA) – tłumaczy Marcin Sztanderski z Cloudware Polska.

IBM Security Access Manager

ISIM realizuje silne uwierzytelnianie wieloczynnikowe, które akceptuje lub odrzuca żądania dostępu bądź wymaga dodatkowego uwierzytelnienia na podstawie takich czynników ryzyka, jak dane aplikacji, lokalizacja geograficzna i reputacja adresu IP. Ponadto umożliwia użytkownikom biznesowym logowanie się do aplikacji używanych w pracy, takich jak Office 365, przy użyciu odcisków palców w miejsce haseł – mówi Łukasz Kuflewski.

Mechanizm oceny ryzyka wbudowany w IBM Security Access Manager umożliwia wdrożenie systemu kontroli dostępu bazującego na analizie zagrożenia. Autoryzacja odbywa się wówczas w kontekście informacji o użytkownikach, ich urządzeniach mobilnych oraz innych informacji związanych z konkretną sesją, ale bez zakłócania pracy użytkownika końcowego. Dodatkowo funkcja federacji tożsamości wchodząca w skład produktu IBM Security Access Manager pomaga w bezpiecznej integracji zewnętrznych aplikacji SaaS z istniejącą infrastrukturą, tak by użytkownicy musieli logować się tylko raz, zarówno z komputerów, jak i urządzeń mobilnych – kontynuuje Łukasz Kuflewski.

W systemie ISIM uwierzytelnianie nie musi ograniczać się do podania nazwy użytkownika i hasła. Możliwe jest wdrożenie uwierzytelniania wieloczynnikowego i dodatkowe uwierzytelnianie ryzykownych żądań przy użyciu hasła jednorazowego, weryfikacji adresu mail lub pytań wymagających określonej wiedzy – dodaje Marcin Sztanderski.

Wymienione powyżej dwa rozwiązania z bogatego portfolio aplikacji IBM do zarządzania tożsamością pokazują kierunek i możliwości, jakie dają nowoczesne rozwiązania klasy IDM. Pozwalają one zarządzać i optymalizować wszelkie aspekty związane z uprawnieniami, dostępem oraz bezpieczeństwem aplikacji. Dzięki temu złożone i dynamiczne organizacje takie jak banki, mogą zminimalizować ryzyka i koszty związane z niepowołanym dostępem do danych i aplikacji oraz zwiększyć produktywność pracowników poprzez zapewnienie odpowiednich dostępów i uprawnień we właściwym czasie – tłumaczy Marcin Sztanderski.

Udostępnij artykuł: