3/2014 Časopis vydavatelství Economia Cena 140 Kč /6,20

Transkript

1 3/2014 Časopis vydavatelství Economia Cena 140 Kč /6,20 TÉMA Z výsluní téměř na dno a zpět 8 rozhovor Krizový manažer Tomáš Pastrňák 12 MAnAžerskÉ dovednosti Improvizace funguje nejen v divadle, ale i v byznysu 48 krizový management

2 HANA KEJHOVÁ Ve firmách sílí požadavky nazvýšení bezpečnosti. pro jejich splnění se zavádí automatizace, čímž se odstraňují chybové faktory manuální správy uživatelů. zjednoho centrálního místa, kterým je identity manager, se snáze vynucují silnější bezpečnostní politiky. automatizace acentralizace znamená méně práce pro administrátory, kteří nemusí řešit zřizování, rušení amodifikaci jednotlivých přístupů amohou sevěnovat jiným akreativnějším věcem. noví zaměstnanci senavíc dostanou rychleji ke svým přístupům. StratEgický management Černé duše vefirmě, spící účty ajak tořešit Na zavádění identity managementu tlačí legislativní požadavky, zákon o ochraně osobních údajů, zákon o bankách, zákon o základních registrech, opatření ČNB, energetický zákon a existují i speciální zákony pro firmy kotované na burze. Následují požadavky normativní, například řízení bezpečnosti informací, aexistují také standardy pro firmy pracující splatebními kartami. Společnost PwC uvádí, že 80 % velkých společností zaznamenalo v roce 2013 bezpečnostní incident, který zavinili zaměstnanci. A společnost Trustwave tvrdí, že průměrně trvá 173,5 dne, než se útok objeví. Tato doba se spíše prodlužuje na 200 dnů, jak ukazují příklady z praxe, říká Jiří Vitinger, solution architekt ze společnosti AMI Praha, pro kterou je od roku 2008 identity management hlavním byznysem. Nastavovali tento systém například v České poště, v Raiffeisenbank, ve Skupině ČEZ Identity management je totiž vhodný především pro střední a větší společnosti, které spravují velký objem uživatelů, kde snadno dojde k přehlédnutí černých duší (tj. uživatelských účtů, které zůstaly po bývalých zaměstnancích) a případným únikům dat. Průzkum s názvem 2013 Market Pulse Survey uskutečnila společnost Loudhouse mezi 400 vedoucími IT oddělení v USA a v Evropě mezi firmami s více než 5000 zaměstnanci. Hlavním zjištěním není jen to, že 34 StratEgický management

3 AD Obr. 1: má centrální přehled, kdo má přístup do IT systému a s jakým oprávněním. Může automaticky zrušit všechna přístupová práva uživatele na rozdíl od praxe, kdy pokyn zadává jen oddělení lokálnímu administrátorovi, který může přehlédnout díru vbezpečnostním systému. (IdM) VPN Time sheet Portal firmy obvykle selhávají v zabezpečení svých dat na soukromých přístrojích zaměstnanců (BYOD) a v rámci cloudu, ale že celých 45 % zaměstnanců nemá problém tato data za správnou cenu prodat komukoliv dalšímu, včetně konkurence. má být schopen říci, kdo všechno má přístup do systémů a s jakým oprávněním. Dále to mohou být informace ke konkrétnímu datu v minulosti anebo historický report operací, například kdo všechno si změnil heslo v určitém období, což je vhodné při dopátrávání při bezpečnostních incidentech. Specifickým typem jsou auditní reporty, které zaznamenávají porušení bezpečnostních politik. Všechny zprávy je možné spouštět na vyžádání přímo na webové konzoli nebo si je nechat pravidelně posílat em či ukládat na disk, vysvětluje Jiří Vitinger z AMI Praha. Produkty se liší cenou, která obvykle koresponduje i s jejich funkčností. Poskytují je například Microsoft, Novell, Oracle či IBM. exzaměstnanec může VykrÁdat bývalou firmu Každý systém ve firmě spravuje administrátor. Někdo ve firmě potřebuje systém pro obchodníky, má docházkovou aplikaci ataké VPN, připojení na dálku. Ve všech firemních systémech mají pracovníci uživatelské účty. Když zaměstnanec odchází ze společnosti, je jeho odchod spolehlivě vyřešen v mzdovém či personálním systému. V ostatních firemních systémech ovšem často zůstane uživatel i nadále, protože jeho deaktivace závisí na předávání informací mezi lidmi amanuálním zásahu administrátorů. Exzaměstnanec se připojí přes VPN, ukradne citlivá data aposkytne je současnému zaměstnavateli. Jak se bránit? Nasazením iden- Společnost Trustware tvrdí, že průměrně trvá 173,5 dne, než se útok do IT systému objeví. Tato doba se spíše prodlužuje na 200 dní, jak ukazuje praxe,říká Jiří Vitinger,solution architekt z AMI Praha. tity managementu, kdy je lokální administrativa nahrazena centrální silou, říká Jiří Vitinger. pomůže identity management? Jde o centralizovanou správu uživatelských účtů napříč IT i celou společností. Poskytuje zjednoho místa informace ovšech uživatelských účtech ve společnosti. se může podívat, kam všude měl bývalý uživatel přístupy. Dále zajišťuje automatizaci procesů, čímž jsou eliminovány chyby vznikající při manuálním zpracování. Výhody tohoto systému jsou zvýšení bezpečnosti asnížení nákladů. Nasazením identity managera se tak eliminují případné budoucí zvýšené náklady, které musí firmy vynaložit na únik dat, například ukradená data o klientech. Společnost čeká nejen vysoká pokuta, ale musí např. také rozesílat omluvné moderní řízení BŘEZEN 2014 StratEgický management 35

4 dopisy klientům a vypořádat se se sníženou reputací firmy na trhu. Výzkumy ukazují, že 95 % úniků firemních dat mají na svědomí zaměstnanci. Například banka HSBC přišla odata 24 tisíc klientů, ukradl je zaměstnanec. automatická deaktivace VŠeCh ÚČtŮ Je rozdíl mezi odchodem zaměstnance zfirmy, která je řízena manuálně, atakovým, kde je nasazen identity management. Videálním případě, kdy funguje identity management, zaměstnanec odejde anazákladě informace zpersonálního systému jsou mu automaticky deaktivovány všechny uživatelské účty. Když se vpersonálním systému naopak objeví nový zaměstnanec, identity manager mu automaticky založí veškeré potřebné přístupy. K tomu slouží pravidla pro automatické přidělení rolí, vysvětluje Jiří Vitinger. Rozhoduje se na základě pracovní pozice v organizační struktuře, kde se zaměstnanec nachází. Když je například přijat obchodník do obchodního oddělení, tak mu identity manager automaticky nastaví všechny potřebné účty, jako například účet v. Pokud obchodník zjistí, že potřebuje přístup do nějaké další aplikace, požádá si o přístup opět prostřednictvím identity managera. ČasoVě omezený přístup při auditech Výhodné je, že je možné zvolit časově omezený přístup do systému, což může být užitečné například u auditorské pozice. Lidský faktor je omezen na schvalování přístupu do systému. Dále je výhodné, že lze z jedné konzole poměrně snadno změnit hesla do všech systémů, do kterých má uživatel přístup. Proč mít změnu hesla z jednoho místa? Lze lépe ohlídat sílu hesla či časovou exspiraci hesel. Jak jsou na sobě závislé systémy a systém identity managera? Jedna cesta je, že vše, co se stane v personálním systému, autoritativně vyvolá změny v identity manage- Obr. 2:Dva rozdílné přístupy směr šipek ukazuje, kdo je řídící autoritou při správě dat. Je to buď oddělení, nebo identity manager. AD AD 36 StratEgický management

5 ru a přes něj v dalších systémech. Je ale možné ito, že vcentru dění je identity manager, který řídí i změny v systému jako v jednom ze spravovaných systémů a řídí tak například i externisty. V obou případech identity manager vyhodnocuje a vynucuje správný stav všech uživatelských účtů v systémech. Každý identity manager by měl mít k dispozici různé modely, které se liší podle rozsáhlosti systému. Má oprávnění podívat se na koncové oprávnění a stanovit role a provádět analýzu oprávnění. Zkušenosti z firem ovšem ukazují, že praxe je složitější, než jsou poučky společností, které tyto systémy prodávají. VChaosu se obtížně definují role Jaroslav Vacek ze ŠkoFINu upozorňuje, že firmy často přesně nevědí, jak přiřadit v identity managementu jednotlivé role, a situace je ještě mnohem složitější, pokud jde o korporaci, kde o mnohých postupech rozhoduje centrála vzahraničí. Koncové systémy na tento přístup nejsou mnohdy připraveny. oddělení podle Vacka umí spíše pracovat s parametry přijmout/zamítnout. Zanedbatelná není ani cena implementace takového systému, což je podle obchodního ředitele AMI Praha Petra Urbana kolem 1,5 milionu korun, pokud zvažujeme například tři koncové systémy a jeden autoritativní řídící zdroj. Samotná analýza potřeb firmy a návrh vhodného řešení zaberou kolem půl roku. Vyplatí se proto spíše ve velkých firmách, od 200 počítačů. Urban zdůrazňuje, že jde o obecnou kalkulaci pro lepší představu. Jedná se o cenu implementace, ve které nejsou zahrnuty ceny licencí, které jsou odlišné pro každý produkt. Důležité je i proškolení všech administrátorů pro efektivní použití systému. Že nejde o levnou záležitost, potvrzuje Zdeněk Jiříček, konzultant v oblasti bezpečnosti, Microsoft ČR. V dnešní době, kdy téměř vše existuje v digitální podobě a lidé potřebují a chtějí mít přístup k informacím, penězům, kontaktům, dokumentům odkudkoli a kdykoli, je řízení identity pro každou firmu kritické. Velká komplexní řešení ajejich dlouhodobá údržba se vpraxi často ukazují jako příliš náročné, ažnadlidské úkoly ajetotaké velmi nákladné. dvapřístupy, rozhoduje, kdo je dirigent Nejčastější a v zásadě i nejvýhodnější architekturou celého řešení je použití systému jako autoritativního zdroje identit. V takovém případě si identity manager automaticky stahuje údaje o zaměstnancích z tohoto systému a ihned je zpracovává. Ihned tedy zřizuje nové účty novým zaměstnancům, ruší účty odchozím a modifikuje oprávnění těm, kteří změnili pracovní pozici. Pro práci personálního oddělení se přitom nic nemění oproti původnímu stavu bez identity managera. V některých případech ale nelze uvedený přístup použít. Důvodem může být to, že v personálním systému nejsou dostatečně kvalitní či dostatečně aktuální data nebo zde zcela chybějí informace o některé skupině pracovníků. V praxi jde často o externisty, kteří v personálním systému žádné záznamy nemají. V takovém případě přichází na řadu alternativní architektura identity managera, která znamená správu pracovníků přímo v tomto systému. V obou přístupech ale zůstávají zachovány všechny výhody řešení, jako automatické zakládání a rušení účtů v připojených systémech, centrální dohled a reporting apod. Pouze vstupní bod pro údaje o pracovnících se v těchto přístupech liší. Oba přístupy je navíc možné kombinovat, např. první přístup pro zaměstnance a druhý pro externisty. Udržování definovaných rolí spevnými přístupovými právy předpokládá poměrně stabilní organizační strukturu amůže bránit schopnosti rychle reagovat na potřeby zákazníků, říká Zdeněk Jiříček, konzultant voblasti bezpečnosti, Microsoft ČR. Pokud chce organizace zvolit přístup, který je spolehlivý aprakticky udržitelný, měla by soustředit základní informace ouživatelích, jejich identifikaci aautentizaci, aofiremních aplikacích do zabezpečené síťové infrastruktury jako např. Active Directory. Tím omezí duplikování uživatelských účtů a vytvoří předpoklady pro komfort jediného přihlášení do sítě a také pro řízení přístupu k firemním aplikacím. Autorizaci pro úrovně oprávnění pak mohou flexibilně řešit správci jednotlivých aplikací nebo využívat zabezpečných skupin přímo v Active Directory či pomocí správy životního cyklu identit (např. Forefront Identity Management). kontrakty sobchodními partnery Pro přístup kaplikacím vcloudu nebo u externích obchodních partnerů lze efektivně využít tzv. federaci identit, kdy hostující organizace důvěřuje autentizaci externích uživatelů z jejich vlastní firemní sítě. Hlavními výhodami jsou umožnění komfortu jediného přihlášení i k aplikacím mimo vlastní firmu a dále eliminace zmíněných mrtvých duší. Jde oto, že firmy jsou nuceny z obchodních důvodů zřizovat přístupové účty externím pracovníkům, avšak nemají prakticky možnost si vynutit, aby při odchodu těchto externích pracovníků byly účty okamžitě zrušeny. Přístupové účty takových mrtvých duší jsou bezpečnostní díry do sítě hostující organizace. Federace identit může zajistit, aby všechna přístupová práva pracovníka měnícího pozici nebo odcházejícího z firmy byla změněna nebo zrušena ke všem aplikacím najednou uvnitř i mimo vlastní firmu. hana.kejhova@economia.cz Firmy často přesně nevědí, jak přiřadit videntity managementu jednotlivé role. A situace je ještěmnohem složitější, pokud jde okorporaci, kde o mnohých postupech rozhoduje centrála vzahraničí. Koncové systémy na tento přístup nejsou mnohdy připraveny, říká JaroslavVacek ze ŠkoFINu. moderní řízení BŘEZEN 2014 StratEgický management 37