На протяжении всего 2013 года года мы в компании Аванпост освещали множество вопросов связанных с управлением доступом к корпоративным ресурсам компании. Давайте подведем итоги этой работы и еще раз взглянем на те, наиболее проблемные участки, которым стоит уделить пристальное внимание.
Комплексность
Управление доступом тема многогранная и важная для любой организации. При этом, чем большего организация размера, тем более сложной представляется ее система управления доступом к корпоративным ресурсам. В современной крупной компании, серьезно занимающейся вопросами информационной безопасности, можно условно выделить 3 основные подсистемы управления доступом к корпоративным ресурсам – подсистема управления учетными записями и привилегиями (IDM – Identity Management), подсистема управления аутентификацией (SSO – Single SignOn) и подсистема учета носителей ключевой информации и сертификатов (PKI – Public Key Infrastructure).
Каждая из этих подсистем решает свои задачи в рамках процессов управления доступом, тем не менее, хотелось бы обратить внимание на то, что при планировании стратегии развития системы управления доступом, необходимо учитывать все эти подсистемы. Мы часто сталкиваемся с ситуациями, когда компания, планируя процесс модернизации и развития своей системы управления доступом, поступает крайне не дальновидно и занимается решением узких задач. Эта ситуация приводит в конечном итоге к сложностям в интеграции различных решений, а иногда и к полному пересмотру ранее принятых в эксплуатацию решений и замену их более функциональными. Все это, само собой, влечет к неэффективному расходованию финансовых средств. Т.о. правильное и комплексное планирование развития системы управления доступом – это первое и наиболее важное, на что стоит обратить внимание.
Сложность
Управление доступом, как может показаться на первый взгляд, - процесс довольно простой и прозрачный. Но если начать разбираться в этом вопросе более детально, то довольно скоро становится ясно, что тут не все так просто. К слову говоря, основываясь на своем уже более чем семилетнем опыте работы с системами управления доступом к корпоративным ресурсам, могу сказать, что эта проблематика – ключевая и в то же время одна из самых сложных тем в информационной безопасности в целом. Эта сложность проявляется во многих моментах, начиная от выстраивания четких бизнес-процессов по согласованию и утверждению прав доступа, и заканчивая проблемами создания ролевых моделей.
Компания должна четко понимать к какому результату она движется, можно даже сказать, что она должна «созреть» до необходимости внедрения системы управления доступом на базе технологий IDM. Должна быть готова к тому, что в рамках процесса модернизации своей подсистемы управления доступом к корпоративным ресурсам ей, а скорее сотрудникам служб ИТ и ИБ, придется многое сделать. Образно говоря, тут не получится попросить стороннюю компанию интегратора сделать все своими силами и предоставить в виде результата красивую зеленую кнопочку с надписью «СТАРТ».
Функциональность и интегрируемость
Третьей областью, которая заслуживает пристального внимания, я бы выделил качественные свойства выбираемого решения. Сегодня на рынке в России присутствует довольно большой выбор решений подобных классов, чего не наблюдалось еще года 3-4 назад. И если ранее доминировали один-два крупных западных вендора, то теперь выбрать, как говорится, есть из чего – подтянулись и решения более мелких игроков с западного рынка, плюс появились российские компании, разрабатывающие программные продукты в данном сегменте. Все это, безусловно, играет на руку потребителям, ведь конкуренция толкает развитие продуктов вперед и корректирует их ценовые политики.
Таким образом в реалиях 2013 года вам уже не нужно будет подстраивать свои желания под возможности того или иного продукта, сегодня продукты готовы подстраиваться под ваши требования. Обращайте внимание на то, с какими информационными системами продукт уже успешно интегрировался, это очень важно для любого IDM и SSO решения. Какой функционал вендор готов доработать, чтобы максимально отвечать вашим потребностям.
Александр Санин, коммерческий директор компании Аванпост
За тему обеспечения мобильной безопасности ухватились многие ведущие игроки рынка ИБ, но, на мой взгляд, тема корпоративной защиты мобильных устройств еще не вышла на свое плато продуктивности и этап разочарований у нее впереди. В частности, в отличие от антивирусной защиты, здесь типичный заказчик еще не выработал требования к решениям; в этой ситуации тон задают вендоры.
Сейчас уже никому не нужно объяснять, насколько ценны сведения, находящиеся в информационных системах организаций, каким рискам эти сведения подвергаются и сколь масштабными могут быть негативные последствия несанкционированного доступа к ним. Информация уже стала важнейшим активом компании – и ее надо очень серьезно защищать.