Zarządzanie tożsamością i dostępem nie zaczyna się i nie kończy na ustawieniu uprawnień w domenie. Im bardziej liczna osobowo organizacja tym sytuacja staje się bardziej zagmatwana. Ale nie musi tak być nawet jeśli masz kilka tysięcy userów w swojej sieci. Wszystko da się ułożyć. W SimplySec zajmujemy się rozplątywaniem węzłów gordyjskich już od blisko 20 lat, choć zamiast miecza używamy innych narzędzi. Jednym z nich jest role-mining.

Prawdopodobnie wiesz o co chodzi, ale z kronikarskiego obowiązku wyjaśnimy. Role-mining to nic innego jak proces analizy uprawień poszczególnych użytkowników i całych grup. Celem jest znalezienie wspólnych cech, żeby móc opracować zbiory uprawnień przynależących do tych właśnie osób. Dla przykładu mogą to być użytkownicy należący do tego samego departamentu lub działu.

Pozwala to na uporządkowanie kwestii dostępu i przeciwdziała kolekcjonowaniu uprawnień przez osoby zmieniające swoje miejsca i stanowiska pracy. W praktyce przekłada się to na wyższy poziom bezpieczeństwa oraz na wzorcowy porządek w tym zakresie.

Role-minig w trzech podejściach

Jak wygląda ten proces? Stosuje się trzy główne sposoby:

  • Podejście pierwsze – „z góry na dół” W tym podejściu role są formułowane od nowa w oparciu o indywidualne umiejętności bądź obowiązki pojedynczego użytkownika lub stanowiska.
  • Podejście drugie – „z dołu do góry”. Jak łatwo się domyśleć proces ten bazuje na już istniejących uprawnieniach przypisanych do użytkowników. W tym przypadku podchodzimy do zagadnienia niskopoziomowo i z każdym kolejnym obiegiem/cyklem staramy się wyłonić coraz więcej cech wspólnych składających się na końcowy rezultat jakim jest sformułowanie roli opartej o indywidualne obowiązki pojedynczego stanowiska lub komórki organizacyjnej. W między czasie tworząc np. zbiory bardziej ogólne np. role departamentowe.
  • Podejście trzecie – „przez przykład” polega na wybraniu z całej organizacji jednego elementu np. działu i na tej podstawie zbudowanie modelu uprawnień, w oparciu o prowadzone, np. z menedżerami, konsultacje. W następnym kroku próbujemy znaleźć w strukturze podobny element, zbiór użytkowników i odtworzyć uzyskany model uprawnień w innym miejscu organizacji.

role mining simplysec

W SimplySec stosujemy najczęściej mix sposobu pierwszego i drugiego. Dlaczego? Wynika to z naszych praktycznych doświadczeń. Dzięki elastycznemu podejściu do wyzwania można uzyskać zaplanowane efekty znacznie szybciej.

Role-mining. Co będzie potrzebne oprócz dobrych chęci?

Jakość danych do analizy. Jeśli cały proces ma być wykonany dobrze i przynieść efekty trzeba wykonać kawał ciężkiej pracy. System po systemie, użytkownik po użytkowniku, uprawnienie po uprawnieniu. Żeby nie wyglądało to w aż tak czarnych barwach  podpowiemy, że można użyć do tego dedykowanego narzędzia.

Odpowiadając z góry na mogące się pojawić pytanie: nie, Excel się w tym przypadku nie nada. Chcąc przeprowadzić role-mining profesjonalnie potrzebne są informacje w „czasie rzeczywistym”. Siłą rzeczy Excel przedstawia stan z przeszłości. Dalszej lub bliższej ale jednak. Organizacja, szczególnie ta większa to żywy organizm i zmiany zachodzą cały czas.

Dedykowane narzędzie pozwoli na:

  • prezentację faktycznego stanu w danej chwili,
  • wykonanie precyzyjnego przeglądu uprawnień i dostępów,
  • wprowadzanie korekt.

Dzięki temu można płynnie przejść od etapu analizy do etapu porządkowania, tworzenia modeli, wzorców na rozdzielaniu uprawnień kończąc.

Oprócz narzędzia potrzebny będzie doświadczony partner. SimplySec to doświadczony zespół specjalistów zajmujących się tym zagadnieniem od prawie dwudziestu lat. Co ciekawe do skutecznego działania nie ma potrzeby wcześniejszego rozpoznania organizacji. W każdym przypadku uczymy się specyfiki danej organizacji poprzez komunikację w trakcie trwania projektu oraz wyniki prowadzonych analiz. Dodatkowo doświadczenie pozwala nam na taki dobór narzędzi i najlepszych praktyk, który będzie optymalnie pasować do danego przypadku. Jak już wspominaliśmy wcześniej – jesteśmy elastyczni.

Co da finalnie role-mining?

Wzorcowy porządek w zakresie uprawnień i dostępów, a co za tym idzie wyższy poziom bezpieczeństwa. Zakończenie procesu skutkuje również wypracowaniem wewnętrznych standardów w tym obszarze, co przełoży się na większą kontrolę również w przyszłości. Nie jest bowiem tajemnicą, że przegląd uprawnień powinien być wykonywany cyklicznie, najlepiej raz na 6 miesięcy. Oczywiście będą grupy danych i dostępów do nich, w których warto robić to częściej, na przykład informacji powiązanych z RODO. Jednak generalnie warto wpisać w wewnętrzne procedury półroczną częstotliwość przeglądów tego typu.

Chcesz uporządkować dostępową stajnię Augiasza?

Zwróć się do SimplySec. Jesteśmy do dyspozycji. Wystarczy, że się z nami skontaktujesz. Ze swojej strony oferujemy doświadczenie, zaangażowanie i profesjonalny poziom usług. Jesteśmy otwarci na nowe wyzwania. Im bardziej ambitne tym lepiej. Zatem do usłyszenia i do zobaczenia!