Utrzymanie i rozwój infrastruktury IT odpowiedzialnej za bezpieczeństwo firmy, to jedno z największych wyzwań dla większości organizacji. Poza kosztem oprogramowania i czasem, który należy poświęcić na wdrożenie zmian, konieczne jest też stałe szkolenie specjalistów z nowych zagrożeń i dostępnych na rynku technologii.
Taka inwestycja pozwala na wykorzystanie zdobytej przez nich wiedzy oraz szeregu umiejętności, które są wymagane do tego, aby w odpowiedni sposób chronić zasoby firmy. Oczywiście nie chodzi tylko o zabezpieczenie pracownikom właściwego dostępu do sieci czy danych, a bardziej o spójne zarządzanie dostępnymi rozwiązaniami z pogranicza bezpieczeństwa i IT: sieciowymi, wirtualizacją czy też procesem konteneryzacji danych. Wszystko to ma na celu jedno – umożliwić ludziom elastyczność działania z dowolnej lokalizacji przy jednoczesnym zapewnieniu pełnego bezpieczeństwa danych i odseparowania od siebie prywatnych i firmowych zasobów.
Nowoczesny model polityki dostępu do zasobów firm z reguły pozwala na pewne modyfikacje w stosunku do ogólnie przyjętych zasad bezpieczeństwa. Organizacje zamiast inwestować w każdy element infrastruktury IT z osobna, posiadać na własność i w pełni kontrolować sieć, storage, serwery i urządzenia końcowe, coraz częściej dopuszczają wykorzystanie chmury. Zezwalają również na stosowanie prywatnych urządzeń, w celu uzyskania dostępu do firmowych danych czy aplikacji, także za pośrednictwem sieci publicznej. Aby zrealizować taki model dostępu do zasobów można wykorzystać usługi w chmurze oraz rozwiązania SaaS hostowane i zarządzanie np. przez firmy trzecie. Mimo, iż zagrożenia związane z danymi stają się coraz poważniejsze przyjęcie takiej strategii działania jest możliwe, jeżeli mamy gruntowną wiedzę na temat firmowych polityk i wiemy, jak je dostosować do zachowań użytkowników, tak by w konsekwencji zapewnić danym właściwe bezpieczeństwo.
To właśnie bezpieczeństwo danych, w takich dziedzinach jak finanse, opieka zdrowotna czy też w gałęziach przemysłu, objętych określonymi regulacjami przysparza specjalistom IT wielu zmartwień. Prawda jednak jest taka, że nie ma powrotu do czasów, w których monolityczne struktury IT, oparte na zamkniętych połączeniach sieciowych stanowiły podstawę technologiczną dla działań biznesowych. Co za tym idzie trzymanie się modeli bezpieczeństwa, zaprojektowanych z myślą o tamtych czasach nie ma większego sensu, gdyż są one nieskuteczne. Upowszechnienie mobilności spowodowało, że podejście do głównych potrzeb biznesowych zmieniło sposób, w jaki ludzie postrzegają technologie, z których korzystają na co dzień. To nakłada na IT obowiązek ponownego dostosowania regulacji w zakresie bezpieczeństwa, a także zastosowania nowoczesnych rozwiązań IT, tak by odpowiadały one obecnym potrzebom.
To właśnie tych potrzeb nie należy lekceważyć. Postępująca digitalizacja z jednej strony zwiększa ilość przetwarzanych i składowanych danych w organizacjach, ale także ma wpływ na wzrost naruszeń bezpieczeństwa danych, ich utraty, kradzieży czy też zwiększenia cyberprzestępczości. Nawet najsilniejsze zabezpieczania w pełni nie uchronią firmy przed błędami ludzi czy też atakami z zewnątrz.
Jedną z niewielu zalet starego modelu bezpieczeństwa była jego prostota: po zalogowaniu się przy użyciu ważnych poświadczeń, możliwe było uzyskanie dostępu i wyodrębnienie wszystkich pożądanych danych. Ta prostota to jednak cena, jaką trzeba było zapłacić w kontekście pojawienia się naruszeń danych i wyspecjalizowanych ataków.
Nowy model bezpieczeństwa powinien być prosty, użyteczny w przypadku każdego żądania dostępu do informacji i transakcji, ale przede wszystkim winien zapewniać ochronę danych w sposób, który w pełni odpowiada obecnemu stylowi pracy. Kluczem jest kontekstowe podejście do zasad dostępu do zasobów firmy. Można je określić odpowiadając na pięć kluczowych zagadnień:
Kto chce uzyskać dostęp do danych?
Do jakich danych stara się uzyskać dostęp?
Kiedy ma to miejsce?
Gdzie znajduje się użytkownik?
A także dlaczego go potrzebuje?
Odpowiedzi na te pięć pytań określają zdecydowaną większość tego, co potrzebują wiedzieć eksperci ds. bezpieczeństwa. Pozwalają one zrozumieć, jakie decyzje należy podjąć w zakresie potencjalnego udzielenia lub braku zezwolenia na dostęp do zasobów określonym użytkownikom. W konsekwencji dział IT może zautomatyzować proces w oparciu o profil danego użytkownika i jego historię zachowań. Nowe modele bezpieczeństwa, które opierają na danych, uzyskanych ze wszystkich powyższych pytań, reagują i dostosowują się do preferencji użytkownika a także są w stanie sygnalizować potencjalne niebezpieczeństwo, jeśli ktoś próbuje uzyskać dostęp do firmowych zasobów za pomocą znanych poświadczeń, lecz z nieznanego urządzenia lub lokalizacji. Nie chodzi jedynie o weryfikację tożsamości użytkownika przy wykorzystaniu odpowiednich poświadczeń oraz hasła. Nie mają one znaczenia, jeśli dostęp ten jest niewłaściwy ze względu na jego pozycję w organizacji lub potencjalny cel wykorzystania.
Pytanie o to, kto wymaga dostępu do danych organizacji powinno być spójnie traktowane z pytaniem o to, do jakich zasobów dostęp ten jest potrzebny. Wrażliwe dane wymagają wyższego poziomu zabezpieczeń i autoryzacji, częstszych kontroli i surowszych polityk bezpieczeństwa. Nie warto obciążać pracowników niższego szczebla, korzystających z ogólnie dostępnych danych wielopoziomowym uwierzytelnianiem czy też koniecznością kilkukrotnego logowania w ciągu dnia. Istotniejsze zasoby mogą zostać zabezpieczone np. poprzez konieczność wcześniejszego zeskanowania identyfikatora użytkownika, czy też podanie danych biometrycznych. Dodatkowo niektóre działania w ramach poszczególnych danych mogą podlegać ograniczeniu, co do konkretnych, zaufanych urządzeń czy wcześniej zdefiniowanych połączeń sieciowych. Ponadto, to kto posiada dostęp powinno również podlegać analizie w kontekście kolejnych dwóch pytań, a zatem kiedy oraz skąd próbuje się go uzyskać. Nowoczesny model bezpieczeństwa powinien monitorować czy logowanie następuje o nietypowych godzinach (np. w porze nocnej), czy następuje z innej, niż typowa dla danej osoby lokalizacja (np. z innego kraju) oraz czy dane, do których ktoś próbuje uzyskać dostęp przypadkiem nie należą do innej jednostki organizacyjnej lub też nie są przypisane do innego projektu. Każde odstępstwo od standardowych zachowań i procedur niekoniecznie musi oznaczać odmowę dostępu, z pewnością jednak powinno być odnotowane.
System powinien również monitorować dlaczego poszczególni użytkownicy logują się do niego w nietypowy sposób. Możliwość analizy harmonogramu pracy osób a także ich biznesowych planów wyjazdowych z poziomu kalendarza elektronicznego pozwoli przewidywać, skąd i kiedy ludzie będą wymagali dostępu (np. różnice czasowe podczas podróży służbowych). Analizie może podlegać również to, w jaki sposób wymagania użytkowników odnośnie dostępu do określonych poziomów firmowych informacji będą ulegały zmianie w oparciu o zmiany ich roli w organizacji. To może zredukować potrzebę interwencji specjalistów IT w system a także pozwoli uniknąć niedogodności proceduralnych.
Firmowe zasoby jak i ich użytkownicy stają się coraz bardziej mobilni, co powoduje, że ostatni element nowoczesnej strategii bezpieczeństwa winien zakładać wsparcie i ochronę organizacji w ramach różnych scenariuszy, których podstawą jest szyfrowanie i możliwość weryfikacji. Zarówno tam, gdzie dane są transferowane czy przechowywane muszą podlegać szyfrowaniu, by nawet w razie naruszenia procedur bezpieczeństwa, czy też zasad ich wykorzystania nie były niepotrzebnie narażone. Łatwy, ale zarazem kompleksowy jeśli chodzi o zakres model dostępu ma tę zaletę, że jest oparty na odpowiednich dla tych czasów potrzebach, a nie węższych i arbitralnych kryteriach wyboru, wielokrotnie stosowanych w przeszłości. Połączenie mobilności i elastyczności wraz ze szczegółową kontrolą i kontekstowym dostępem pozwala ludziom na szersze wykorzystanie danych w ramach różnych scenariuszy, co zwiększa ich wydajność oraz wartość biznesową, bez jednoczesnego narażania organizacji na niepotrzebne ryzyko.
Sebastian Kisiel, Citrix Systems Poland
