Automatyzacja procesów biznesowych to jeden z najwa?niejszych trendów rynkowych ostatnich lat. Jak podaje Deloitte, rynek zautomatyzowanych technologii ro?nie a? o 40,6% rocznie. Automatyzacja niesie bardzo wiele korzy?ci dla organizacji, ale jest tak?e ?ród?em powa?nych wyzwa? zwi?zanych z zapewnieniem bezpiecznej realizacji procesów zgodnie z przepisami prawa czy zasadami ?adu korporacyjnego. Rozwi?zaniem tych problemów s? systemy zarz?dzania to?samo?ci? i dost?pem typu IAM (Identity and Access Management).
Kontrola i rozdzia? uprawnie? w systemach informatycznych przedsi?biorstwa nie jest zjawiskiem nowym, ale ostatnie lata pokaza?y du?y wzrost potrzeb oraz inwestycji, jakie poczyni?y organizacje w tym obszarze. Wed?ug raportu instytutu badawczego Markets and Markets ?wiatowa warto?? rynku w 2020 roku wynios?a a? 12,3 mld USD, a wed?ug prognoz do 2025 roku uro?nie do poziomu 24,1 mld USD. Tak du?y wzrost inwestycji to zas?uga m.in. rozwoju rozwi?za? Internet of Things, upowszechnienia chmury obliczeniowej, ale tak?e efekt pandemii Covid-19, która przyczynia si? do zmian w modelu pracy wi?kszo?ci organizacji.
Trzeba doda? do tego tak?e wyra?ny trend w automatyzacji procesów biznesowych oraz stale zmieniaj?ce si? przepisy prawa i regulacje, które musz? spe?nia? przedsi?biorstwa czy instytucje. W efekcie rozdzia? uprawnie? i kontrola dost?pu sta?y si? absolutnym standardem w ka?dej firmie chc?cej efektywnie konkurowa? na rynku.
Jaki jest cel wdra?ania systemów klasy IAM?
Automatyzacja procesów biznesowych wi??e si? z ich digitalizacj? i przeniesieniem do firmowych systemów IT, niezale?nie czy mówimy o podmiotach z w?asn? infrastruktur? czy korzystaj?cych z chmury obliczeniowej. Dost?p do systemów oraz danych organizacji, niekiedy wra?liwych i poufnych, wymaga zabezpieczenia, monitorowania i kontroli, aby te nie wpad?y w r?ce osoby nieupowa?nionej. Mówimy tutaj zarówno o atakach zewn?trznych, ale tak?e o wyciekach danych wynikaj?cych z nadu?y? lub b??dów pope?nianych przez samych pracowników. Drugim aspektem s? korzy?ci wynikaj?ce z automatyzacji procesów biznesowych takie jak wydajno??, skalowalno?? czy efektywno?? kosztowa. Systemy zarz?dzania to?samo?ci? i dost?pem posiadaj? w?a?nie taki zestaw cech. Jednak przede wszystkim organizacje maj? obowi?zek zapewnienia bezpiecznej realizacji danego procesu zgodnie z przepisami prawnymi (np. ustawa Sarbanes-Oxley), zasadami kontroli wewn?trznej oraz dobrymi praktykami biznesowymi. Kluczowe jest tu minimalizowanie ryzyka dost?pu do danych przez osoby nieuprawnione oraz ryzyka wyst?powania wspomnianych wcze?niej nadu?y?.
Istot? wdro?enia IAM jest unikni?cie sytuacji zbyt szerokiego dost?pu pracowników do systemów lub obszarów spoza ich kompetencji czy odpowiedzialno?ci wynikaj?cej z roli w organizacji. Wa?ne jest, by proces przyznawania i kontroli uprawnie? przebiega? w sposób ci?g?y i firma mog?a reagowa? na zmiany, np. odej?cie pracownika, przypisanie mu nowego zakresu obowi?zków, wdro?enie nowych procedur, zmiany struktury organizacyjnej czy pojawienie si? nowej aplikacji w ekosystemie IT firmy. Daje to organizacji gwarancj?, ?e dzia?a zgodnie z przyj?tym ?adem korporacyjnym, zewn?trznymi przepisami i potrafi tego dowie?? podczas audytu.
„Problemem wielu organizacji w zakresie zarz?dzania dost?pem do systemów jest brak aktualnych danych. Mo?e to wynika? ze skomplikowanej lub specyficznej struktury organizacyjnej, cz?stych i du?ych zmian w firmie, a nawet niedopracowanych procedur czy ludzkiego niedopatrzenia. Je?li dodamy do tego du?? ilo?? ró?nych systemów czy aplikacji nie po??czonych ze sob?, to mamy przepis na k?opoty. Rozwi?zanie jest proste – automatyzacja tego procesu w ramach jednego systemu, który zintegruje wszystkie mo?liwe systemy w firmie i da nam pe?n? kontrol? oraz ograniczy ryzyka wycieku danych czy dost?pu do nich przez osoby niepo??dane.” – powiedzia? Rafa? Bara?ski, prezes firmy braf.tech, która wdra?a autorski system IAM w organizacjach.
Poznaj swoje s?abe strony
Wdro?enie systemu zarz?dzania rozdzia?em i kontrol? uprawnie? oznacza równie? wiele innych korzy?ci dla organizacji. Jedn? z nich jest u?wiadomienie organizacji jej s?abych stron czy luk w procedurach i ograniczenie ryzyka nadu?y? oraz b??dów, jakie mog? wyst?pi?. Praktyka pokazuje, ?e dopiero na etapie projektowania czy dostosowania systemu do zarz?dzania dost?pem i to?samo?ci? do potrzeb firmy, analitycy wychwytuj? niespójno?ci w wewn?trznych przepisach, które teraz mo?na skorygowa?.
„Bardzo wa?ne jest ustalenie takiej procedury, która zapewni sprawne nad??anie za zmianami, b?dzie uwzgl?dnia? uwarunkowania i obowi?zki, którym podlega dany podmiot, oraz wspiera? spe?nienie wymogów audytowych. Jednak w procedurach nie da si? przewidzie? i opisa? wszystkich scenariuszy, dlatego trzeba dobrze przeanalizowa? i zmapowa? potrzeby organizacji oraz reagowa? na zmiany. Wiele firm nie ma ?wiadomo?ci konieczno?ci wdra?ania takich systemów zarz?dzania zintegrowanego. One nie tylko usprawniaj? prac? i funkcjonowanie organizacji, ale pozwalaj? unikn?? przysz?ych problemów.” – powiedzia?a Ewa ?ak-Lisewska, dyrektor ds. rozwoju w braf.tech.
Centralizacja uprawnie? zamiast rozproszenia
Kolejn? zalet? wdro?enia systemów zarz?dzania to?samo?ci? i dost?pem jest unifikacja informacji o uprawnieniach i rolach. Du?e organizacje cz?sto wykorzystuj? wiele ró?nych systemów i aplikacji, które nie s? ze sob? zintegrowane i nie funkcjonuje wymiana danych pomi?dzy nimi. Osoby odpowiadaj?ce za administracj? dost?pami czy ich przydzielanie musz? wi?c korzysta? z ró?nych ?róde? danych i cz?sto aktualizowa? je r?cznie. W efekcie sprawdzenie uprawnie?, ich odebranie albo modyfikacja wi??e si? ze sprawdzeniem zapisów w kilku ?ród?ach, co wyd?u?a proces. Nale?y wzi?? te? pod uwag?, ?e w wyniku b??dów ludzkich nie zawsze dane s? prawid?owe lub aktualne. Rozwi?zaniem jest w?a?nie automatyzacja w ramach systemów IAM.
„Systemy zarz?dzania dost?pem i to?samo?ci?, po wdro?eniu w organizacji, przejmuj? rol? g?ównej bazy informacji o u?ytkownikach, ich rolach i uprawnieniach. System ??czy si? z szyn? danych, pozyskuje je i prowadzi aktywn? wymian?. Okre?lone role i uprawnienia otrzymuj? ustalone atrybuty, które s? wykorzystywane w poszczególnych aplikacjach czy systemach. Aplikacje wykorzystywane w firmie s? nast?pnie integrowane z systemem IAM. Od tej pory nie ma przeszkód, by zarz?dza? dost?pami z jednego miejsca, wykorzystuj?c aktualne dane.” – powiedzia? Rafa? Bara?ski.
W zgodzie z przepisami
Inna i by? mo?e najwa?niejsza zaleta systemów IAM to spe?nienie wymaga? audytorów, regulatorów czy innych zainteresowanych podmiotów. Kontrola dost?pu i uprawnie? jest konieczno?ci? wynikaj?c? z przepisów prawa, takich jak wspomniana ju? ustawa SOX reguluj?ca praktyki finansowe i ?adu korporacyjnego. Systemy zautomatyzowane typu IAM spe?niaj? te wymogi i wspieraj? nie tylko kontrol? zarz?dcz? wynikaj?c? z wewn?trznych procedur firmy, ale tak?e zewn?trzne audyty realizowane przez niezale?ne organy. Systemy te posiadaj? mechanizmy kontrolne, u?atwiaj? raportowanie i dostarczaj? dowody audytowe.
„Stosowanie systemów IAM to nie tylko czerpanie korzy?ci wynikaj?cej z automatyzacji procesów. Rozdzia? i kontrola uprawnie? pozwala nam minimalizowa? wyst?powanie nadu?y? czy b??dów, np. w obszarze finansowym. Zaszycie mechanizmów kontrolnych w systemach zwi?ksza bezpiecze?stwo procesu i prowadzi do wyeliminowania kontroli manualnych. Firmy musz? prowadzi? regularn? sprawozdawczo??, przechodzi? audyty zewn?trzne, a ich procesy wewn?trzne czy systemy spe?nia? okre?lone wymagania w zakresie compliance. Brak zgodno?ci oznacza problemy podczas audytu, a to mo?e skutkowa? bardzo powa?nymi konsekwencjami – od kar finansowych nak?adanych przez regulatorów, przez utrat? reputacji, a? po spadek warto?ci akcji.” –  powiedzia?a Ewa ?ak-Lisewska.
