Ce este IAM? Definiții, caracteristici și instrumente explicate

Publicat: 2019-11-23

Contribuție invitată de John Wilkinson

Identity and Access Management (IAM) este termenul umbrelă pentru structurile și procesele din cadrul oricărei organizații care administrează și gestionează accesul angajaților săi la resurse. Este important de menționat că IAM, strict vorbind, este o disciplină conceptuală. Soluțiile IAM sunt implementările software care impun de fapt strategia și politicile IAM ale unei organizații. În sensul acestui articol, vom aborda IAM și soluții în ceea ce privește resursele IT.

Cele mai distilate, soluțiile IAM centralizează, conectează și guvernează accesul la sistemele, datele și resursele tale. Gândiți-vă la ei ca la creierul care supraveghează mediul IT al unei organizații. Centralizarea informațiilor de identitate pentru fiecare individ păstrează permisiunile și securitatea asociate pentru a conduce și a facilita procesele automatizate. Standardizarea și sincronizarea IAM al organizației dumneavoastră stabilește crearea unei baze de date precise, ușor de gestionat, care facilitează accesul sigur și adecvat pentru toți utilizatorii.

Soluțiile IAM ajută la calibrarea punctului perfect între accesul prea deschis și securitatea prea rigidă pentru rolul specific al fiecărui utilizator în mediul și operațiunile unice ale organizației dumneavoastră. O implementare de succes vă oferă instrumente de management pentru resursele IT și procesele de afaceri. Acest lucru asigură utilizatorilor potriviți accesul corect la resursele potrivite, chiar la îndemâna lor, indiferent de locul în care îi poartă rolul.

De ce este IAM important? - Context istoric

Înțelegerea „De ce?” a ceva servește ca o parte crucială a înțelegerii „Ce?”. Deci, de ce sunt importante soluțiile IAM? Pentru aceasta, ne întoarcem la contextul istoric al proceselor de afaceri și al tehnologiei.

Tehnologia tradițională de afaceri funcționa independent, deoarece nu avea interconectivitatea oferită astăzi. Acest lucru a creat silozuri de date disparate care existau exclusiv în anumite sisteme. Uitați de transferul de informații de la mașină la mașină, acesta a fost adesea limitat la sisteme individuale și aplicații software. Procesele tradiționale de afaceri au funcționat în jurul acestor limitări, necesitând efort excesiv și urme de hârtie pentru a asigura cel mai bine finalizarea și păstrarea înregistrărilor corespunzătoare.

„Siloarea” se referă la actul de a izola ceva (de exemplu, date) în structuri sau sisteme autonome, sechestrandu-l departe de întregul mediu – gândiți-vă silozurile de cereale dintr-o fermă.

Atunci când organizațiile se bazează pe resurse și date izolate, lipsa de interconectivitate rezultată limitează utilizarea în limitele unei granițe explicite. De exemplu, utilitatea datelor HR ar fi limitată exclusiv la sistemul HR. Mai mult, separarea forțează adesea crearea unor procese de afaceri și de acces altfel ineficiente ca soluții alternative. Aceste soluții formale sau ad-hoc nu sunt un remediu, ci bandaje superficiale pentru oasele structurale rupte.

Multe dintre aceste soluții ar fi părut odată sensibile ca eforturi pre-digitale, moștenite – cum ar fi formularele pe hârtie care necesită rularea în cinci etape de aprobare. Cu toate acestea, apariția nesfârșită a noilor tehnologii le face în mod regulat redundante sau restrictive.

IAM manual – L-ați folosit tot timpul

Poate că nu vă dați seama, dar organizația dvs. aplică deja diverse politici și proceduri IAM – este posibil să nu fie automatizate sau digitalizate. Mai jos sunt câteva exemple care demonstrează procese IAM manuale sau bazate pe hârtie care controlează și monitorizează accesul la resurse:

  • Închiderea unei mașini de companie înregistrându-vă numele, data și kilometrajul de început și de sfârșit pe un clipboard lângă taste
  • Introducerea codurilor de securitate atribuite individual într-un lacăt cu combinație pentru a obține acces la clădire
  • Trimiterea formularelor de solicitare pe hârtie pentru aprobările de cheltuieli ale unui angajat

IAM Astăzi

Indiferent de industrie, dimensiune sau locație, organizațiile moderne au nevoie de resurse IT pentru a finaliza funcțiile zilnice: departamentul dvs. de resurse umane utilizează un sistem de resurse umane pentru informațiile angajaților; departamentul dumneavoastră de contabilitate folosește software de salarizare; vânzările folosesc sisteme de management al relațiilor cu clienții (CRM); marketingul utilizează Sisteme de management al conținutului (CMS); toată lumea accesează stocarea locală sau în cloud pentru partajarea fișierelor și a datelor; și așa mai departe.

Utilizarea acestor resurse necesită conturi de utilizator asociate persoanelor fizice. Pentru a accesa un cont de utilizator, un angajat trebuie să-și autentifice identitatea – adesea introducând nume de utilizator și acreditări de parolă. Conturile de utilizator trebuie să fie create, întreținute și dezactivate pe parcursul ciclului lor de viață, ceea ce se corelează cel mai adesea cu durata angajării utilizatorului respectiv.

Valorificarea eficientă a resurselor IT în mijlocul așteptărilor actuale de imediat necesită acces instantaneu la aplicații, fișiere și date în orice moment, de pe orice dispozitiv și în orice locație. Pe lângă toate acestea, atacul nesfârșit al entităților digitale rău intenționate într-o lume mai conectată decât oricând complică procesele și accesul tradițional.

Înflorirea în lumea afacerilor de astăzi depinde de operațiuni, date și securitate optimizate. Procesele ineficiente se adună rapid pentru a vă încetini. Gestionarea manuală a creării și aprovizionării contului de utilizator, solicitările ad-hoc, autentificarea, revizuirile de acces, eforturile de securitate și mai multe sarcini nu numai pentru personalul IT, ci pentru fiecare angajat care utilizează resursele IT. Combinând aceste provocări cu respectarea reglementărilor din ce în ce mai exigente (de exemplu HIPAA, SOX, FERPA) și riscuri de încălcare, fiecare întreprindere se confruntă în prezent cu cel mai riguros mediu de până acum.

Mai mult, ce tip de conturi sunt folosite în operațiunile zilnice? Atunci când rolurile cu permisiuni ridicate (de exemplu, directori, manageri, roluri de specialitate) efectuează operațiuni prin conturile lor privilegiate tot timpul, există o probabilitate mult mai mare ca acele conturi să devină nesigure și se poate desfășura activități excesive fără notificare. Gestionarea accesului privilegiat este esențială pentru a vă menține mediul în siguranță. Dacă nu este necesar să utilizați un cont privilegiat, nu . Este atat de simplu. La capătul opus, conturile generice partajate de mai mulți utilizatori elimină informațiile. Folosirea excesivă a conturilor privilegiate și generice facilitează gestionarea, deoarece nu există niciunul și totul este catastrofal de mai puțin sigur.

Eșecul de a pune în aplicare procese, politici și măsuri de securitate stricte creează haos. Fără acestea, drepturile de acces ale personalului dvs. pot scăpa rapid de sub control și, la rândul lor, pot complica înțelegerea tuturor rolurilor și responsabilităților. Această dezorganizare creează riscuri de securitate, neglijențe și neglijență cu potențialul de ramificații grave.

O soluție IAM este cea mai bună platformă pe care o puteți oferi pentru a vă pregăti organizația pentru succes. Automatizarea proceselor dvs. de management back-end asigură executarea corectă a sarcinilor critice și ușoare, oferă acces în siguranță și revendică capacitatea de a reorganiza oamenii dvs. cu sarcini mai importante.

Consultați infograficul de mai jos pentru mai multe statistici despre gestionarea identității și accesului:

Soluții IAM definite

Soluțiile IAM sunt tehnologii dinamice care gestionează, integrează și combină identitățile utilizatorilor, ciclurile de viață ale conturilor, permisiunile utilizatorilor și activitățile. Într-o engleză mai simplă – soluțiile IAM gestionează cine, ce, unde, când, de ce și cum , în raport cu utilizatorii care operează în „mediile tehnologice din ce în ce mai eterogene” ale oricărei organizații (Gartner).

Implementarea unei astfel de platforme permite utilizatorilor verificați să acceseze resursele necesare, profesioniștilor IT să se concentreze pe munca productivă în loc de sarcini administrative ușoare și organizației în ansamblu să opereze mai eficient. IAM oferă unei organizații capacitatea de a transfera energia către operațiuni de impact, concentrate pe ROI și benefice, mai degrabă decât să fie constrânsă de managementul sistemelor sale.

Componentele soluției IAM

Există patru componente principale ale oricărei soluții IAM:

1. Managementul autentificării

Authentication Management verifică identitățile și, în consecință, acordă sau refuză accesul inițial la sisteme. Aceasta este partea „identității” a IAM și asigură că fiecare utilizator este cine spune că este.

Verificarea tradițională a identității necesită acreditări de nume de utilizator și parolă, dar mai noua Autentificare Multifactor (MFA) acceptă utilizarea parolelor unice (OTP), jetoane, carduri inteligente și multe altele. Una dintre cele mai comune metode de autentificare actuale este să vă conectați la Microsoft Active Directory (AD) atunci când angajații se conectează pentru prima dată la computerul lor.

2. Managementul Autorizării

Administrarea autorizațiilor garantează că un utilizator autentificat poate accesa doar aplicațiile și resursele necesare pentru rolul său. Aceasta este partea „Gestionarea accesului” a IAM și poate include elemente suplimentare, cum ar fi modelele de rol Single Sign-On și Access Governance (AG), care constă într-o matrice care impune controlul accesului bazat pe roluri (RBAC).

Modelele pot fi gândite ca diagrame digitale care conturează structurile ierarhice ale angajaților legate de acces. Single Sign-On (SSO) pune la dispoziție toate resursele IT ale utilizatorilor după finalizarea unei singure autentificări pentru a elimina încercările repetitive de autentificare și securitatea slabă a parolei atunci când accesează diferite sisteme și aplicații.

3. Administrare

Administrarea automatizării ciclurilor de viață ale conturilor de utilizator: crearea, modificarea, dezactivarea și ștergerea conturilor de utilizator pentru sisteme și aplicații. În timp ce Autentificarea și Managementul Autorizării supraveghează securitatea accesului, Administrația supraveghează furnizarea resurselor. Conectând sistemele sursă (de exemplu, sistemele de resurse umane, cum ar fi UltiPro sau WorkDay) la sistemele țintă (de exemplu, AD, O365, G Suite, SalesForce, Adobe), soluțiile IAM vă permit să automatizați sarcinile manuale pentru aprovizionare completă, de la capăt la capăt.

Administrarea coincide cu ciclul de viață al contului de utilizator, de la configurare în prima zi a angajatului până la dezactivare la plecarea acestuia. Pe măsură ce rolurile angajaților se schimbă (de exemplu, promoții, reorganizări), soluțiile IAM vor reprovisiona și actualiza automat resursele și vor accesa în consecință. Modificările ad-hoc pentru lucruri precum proiectele unice pot fi gestionate prin funcționalitatea de autoservire, permițând utilizatorilor să solicite acces direct de la managerul lor sau de la „proprietarul” resursei. Deoarece soluțiile IAM oferă interfețe administrative, cunoștințele tehnice nu mai sunt necesare pentru furnizarea utilizatorilor. Managerii pot să aprobe pur și simplu o schimbare și să lase soluția să proceseze restul.

4. Monitorizare și audit

Aceste capabilități susțin managementul intern și activ și revizuirea operațiunilor și proceselor unei organizații prin intermediul jurnalelor de activitate cuprinzătoare. Jurnalele de activitate pot fi utilizate pentru a compila rapoarte de business intelligence și piste de audit, pentru a efectua revizuiri de acces, pentru a asigura roluri corecte și pentru a remedia orice procese sau probleme IAM ineficiente.

Execuție IAM

Soluțiile IAM rulează pe „date autorizate”, care este cel mai precis și complet set care conține informațiile de identitate ale angajatului dvs. Organizațiile trebuie să furnizeze date autorizate pentru o soluție IAM. Datele autorizate trebuie să fie curate și introduse într-un format consistent, altfel automatizarea va avea probleme. Majoritatea datelor de identitate sunt stocate în „sisteme sursă”, cum ar fi un sistem de resurse umane care conține informații personale/de contact, date de începere și de sfârșit, funcție/rol, departament, locație etc.

Gândiți-vă la sistemele și datele sursă precum o baterie de mașină - puteți conecta tot felul de funcții și caracteristici electrice, dar, ca sursă, bateria trebuie să furnizeze suficient curent electric curat pentru ca acestea să funcționeze. Procesele IAM pot fi realizate numai printr-o rulare cu intrări de date curate, consecvente și complete. Folosind conectori standard între sisteme, soluțiile IAM pot agrega date din multe sisteme sursă diferite înainte de a le împinge către țintele conectate.

Organizațiile trebuie să determine, în detaliu, ce resurse primește un anumit individ pentru rolul său și să le încorporeze în modelul lor AG. Soluțiile IAM se bazează pe declanșatoare și procese configurabile pentru a prelua aceste date de autoritate și pentru a le sincroniza în întregul dumneavoastră mediu IT. Un sortiment de câmpuri și valori sunt monitorizate pentru modificări. Când apar modificări ale valorilor sursei, monitorizarea declanșatorului IAM inițiază un proces asociat pentru sincronizarea datelor conform logicii configurate.

Persoanele dintr-o organizație pot avea identități diferite, care sunt adesea stocate separat într-o soluție IAM. Pe baza acestor identități, IAM poate crea și gestiona diferite conturi de utilizator pentru diferite tipuri de angajați și responsabilități de rol. Dacă un utilizator trebuie să îndeplinească sarcini care necesită privilegii ridicate (de exemplu, accesarea informațiilor privind salariile), ar trebui să folosească un cont privilegiat. Pentru a-și verifica e-mailul sau pentru a crea un document, ar trebui să-și folosească contul general de utilizator fără privilegii ridicate. Gestionarea accesului privilegiat permite mai bine angajaților să opereze cu contul de utilizator care se potrivește situației.

Sistemele sursă oferă în continuare toate informațiile despre aceste identități, dar nu ajută la gestionarea corectă a acestora. O soluție IAM acționează asupra datelor autorizate și este ceea ce face posibile toate aceste legături complexe între identități și utilizatori.

Securitate IAM

Riscurile de securitate încep atunci când un angajat este angajat cu predarea conturilor și acreditărilor nou create până în ziua în care angajatul pleacă. Pe parcursul angajării lor, nevoile de resurse ale unui utilizator se vor schimba probabil. Promoțiile, reorganizările, schimbările de rol și proiectele ad-hoc, toate contribuie la schimbarea nevoilor de acces. În timp, o mare parte din acest acces poate deveni inutil sau chiar un risc de conformitate, ceea ce se traduce în preocupări de securitate. Este deosebit de îngrijorător dacă accesul în cauză amenință informații sensibile, cum ar fi informații de identificare personală (PII), numere de card de credit sau de securitate socială etc. Această acumulare de acces este denumită „permission bloat”. Soluțiile IAM contracarează „balonarea permisiunii” prin restricționarea accesului la nevoile angajatului în funcție de rolul lor aici și acum.

Aceste riscuri nu se termină nici după ce angajatul pleacă, decât dacă aveți un proces cuprinzător și automat de deprovisioning. Un proces de deprovisioning se ocupă cu curățarea conturilor și accesul angajaților care pleacă. Fără o soluție IAM, urmărirea în siguranță a tuturor conturilor, acreditărilor și accesului (fizice sau digitale) ale unui anumit utilizator – cu atât mai puțin să le eliminați pe toate în timp util – devine imposibilă.

Când un utilizator părăsește o organizație, toate conturile asociate trebuie să fie dezactivate și deprovisionate. Dacă nu, utilizatorul inițial se poate conecta în continuare la ele cu aceleași acreditări, chiar dacă a părăsit organizația dvs. Un fost angajat rău intenționat poate prelua date sensibile (de exemplu, informații despre client, proprietate intelectuală, acreditări ale contului) sau poate deteriora mediul în cel mai rău caz. Foștii angajați vă pot accesa resursele IT până la dezactivare. Ar putea fi zile, săptămâni, luni sau chiar ani. Eșecul de a curăța conturile și accesul expune stocarea în cloud, datele clienților, proiectele viitoare, materialele de marketing și multe altele. Dezactivarea blocată este deosebit de periculoasă pentru resursele găzduite în cloud pe care oricine le poate accesa de pe dispozitivele personale.

„Conturi orfane”

Celălalt motiv principal pentru aderarea la un proces standard de dezactivare este prevenirea acumulării de „conturi orfane”. Conturile orfane sunt cele care nu mai sunt asociate cu un utilizator activ și rămân în mediul dumneavoastră. Acest detritus digital aglomera capacitatea dumneavoastră de a vă evalua cu precizie mediul înconjurător, ocupând totodată spațiu de stocare. Unul dintre cele mai importante procese ale unei soluții IAM este curățarea acestora.

Privind spre viitor: IAM și cloud

Astăzi, majoritatea companiilor își împart mediul IT încorporând aplicații cloud pentru costurile de întreținere reduse, implementare mai rapidă și flexibilitate de acces. Cu toate acestea, aceste medii hibride ridică provocări serioase pentru operațiunile tradiționale de afaceri și „IAM manual”. Utilizarea negestionată a aplicației cloud implică riscuri de securitate prin nenumăratele deschideri noi din mediul dumneavoastră IT – ca să nu mai vorbim că poate frustra utilizatorii cu conectări repetitive. Probleme precum acestea sunt motivul pentru care funcționalitatea SSO bazată pe cloud sau web este atât de importantă.

Soluțiile IAM cu funcționalitate SSO (Single Sign-On) bazată pe cloud/web ajută la reducerea decalajului în mediile hibride. Portalul central de conectare al unui SSO atrage toate resursele IT ale utilizatorilor în spatele unei singure autentificări cu protocoale de securitate stricte și politici de acces configurabile. Odată autentificat, un utilizator are tot accesul de care are nevoie pentru rolul său într-un portal care minimizează deschiderile în rețea și riscurile de încălcare asociate. Pentru securitate suplimentară, MFA poate fi adăugat la autentificarea SSO.

Fără o bază de date centrală, cu autoritate, care să funcționeze ca intermediar pentru utilizatorii dvs. și resursele acestora, aceștia vor trebui să se conecteze în mod repetat la conturile lor separate în infrastructura dvs. on-premise și cloud. Gestionarea tuturor acestor conturi diferite complică utilizarea zilnică, precum și administrarea. Utilizatorii trebuie să jongleze cu URL-urile, complexitatea acreditărilor, expirarea parolelor, deconectarea automată și alte măsuri care, în timp ce oferă securitate, împiedică accesul ușor și aduc productivitatea la o oprire bruscă.

Pentru a dezvolta o organizație de succes, personalul dumneavoastră trebuie să aibă posibilitatea de a avea succes ca indivizi sau echipe. Acest lucru necesită acces la mijloacele și resursele necesare pentru îndeplinirea sarcinilor zilnice (de exemplu, aplicații, share-uri, instrumente de management, spații de colaborare) și flexibilitatea de a acționa decisiv atunci când momentul o cere. Cerințele complicate de acces și procesele de afaceri umflate nu fac altceva decât să pună în pericol productivitatea personalului dvs., motivația acestora și impulsul tuturor.

Soluțiile IAM au asigurat întotdeauna accesul, conformitatea și securitatea adecvate, dar acum încep să culeagă beneficii mai mari de pe urma datelor noi, a interoperabilității diverse a aplicațiilor și a inteligenței de afaceri. Ca o contribuție activă la creșterea organizațională, soluțiile IAM oferă o gamă largă de funcționalități care dă putere utilizatorilor la fiecare nivel.

Legând totul împreună

În ciuda fiecărei descoperiri tehnologice inovatoare și care perturbă industria, utilizarea datelor rămâne cea mai importantă constantă pentru toate resursele dumneavoastră IT.

Prin implementarea identităților verificabile, proceselor automate, guvernării accesului și capabilităților de autoservire, o soluție IAM utilizează datele organizației dvs. pentru a-și construi cadrul. Acest cadru controlează și monitorizează toate provocările menționate mai sus în ceea ce privește procesele de afaceri, accesul și securitatea.

Soluțiile IAM elimină dilema organizației dumneavoastră de a alege între acces și securitate prin politici de guvernare care permit productivitatea utilizatorilor și eficientizează operațiunile. O implementare cu succes va stimula eficiența organizațională și va menține jurnalele de audit detaliate pentru a revizui accesul și activitatea unui utilizator.

Fără o schimbare semnificativă a intrărilor (de exemplu, angajații, fluxul de numerar, oferta/cererea), singura modalitate posibilă de a obține rezultate sporite este prin eficiența organizațională. Soluțiile IAM oferă instrumentele de management pentru a urmări această creștere a producției – fie că este vorba despre realizarea unei organizații mai flexibile, implementări tehnologice mai ambițioase, consolidarea securității, eforturi ridicate ale întreprinderii sau orice obiectiv și viziune aveți.

Pentru a recapitula, soluțiile IAM:

  • Asigurați-vă că utilizatorii pot accesa resursele de care au nevoie.
  • Restricționați accesul inutil sau neregulat pentru aplicarea securității
  • Oferiți managementului și IT-ului instrumentele și informațiile necesare pentru a efectua sarcini administrative complexe și optimizarea proceselor
  • Automatizați procesele și sarcinile ușoare, oferind organizației dvs. flexibilitatea de a reorganiza oamenii cu o muncă mai de impact
  • Implementați securitatea pe tot parcursul ciclului de viață al contului de utilizator – de la furnizarea și transmiterea în siguranță a conturilor și a acreditărilor până la dezactivarea rapidă după plecări
  • Asistență la pregătirea auditului prin rapoarte sofisticate și jurnalele de activitate

Unii furnizori de soluții IAM:

  • Tools4ever
  • Okta
  • IBM
  • Microsoft Azure
  • Centrați
  • Identitatea PING
  • Automatizarea identității
  • SailPoint

În concluzie, soluțiile IAM beneficiază de toți membrii organizației dvs.

Această mentalitate holistică, condusă de organizație, este esențială pentru implementarea cu succes a unei soluții IAM. Încă de la început, considerați soluțiile IAM ca elemente care le permit a ceea ce realizează, mai degrabă decât o serie de implementări tehnice „setare și uitare” trimise departamentului IT pentru a porni. În timp ce procesele sunt automatizate, soluțiile IAM necesită un management activ și o configurare pentru a obține rezultatele dorite - execută ceea ce le spuneți. Pentru a se integra cel mai bine cu nevoile și operațiunile organizației dvs., configurația soluției dvs. trebuie să le reflecte pentru a fi eficientă.

O soluție IAM este, așadar, una dintre cele mai inteligente și responsabile din punct de vedere financiar deciziile pe care le-ar putea lua orice afacere modernă. Un plan tehnologic cuprinzător acționează ca o pârghie organizațională, permițând mai multe realizări cu mai puțin. Dacă această premisă este adevărată, atunci Identity and Access Management este punctul de sprijin cu care acea multiplicare obține cel mai mare beneficiu.