מודל RBAC לניהול הרשאות – למה כל ארגון צריך אותו ומאיפה מתחילים?

עם התגברות המודעות לאבטחת מידע, עלייתן של רגולציות בתחום הגנת הפרטיות וקיומם של איומים מצד גורמים פנים וחוץ ארגוניים, מודל ה-RBAC (ר"ת Role-based Access Controls) – או בשמו העברי, בקרת גישה מבוססת תפקידים – הפך בשנים האחרונות לבקרה חשובה ביותר להגנה על המערכות והמידע השמור בהן.

גישת RBAC מאפשרת לוודא שהגישה הניתנת לעובד (או קבוצת עובדים) מבוססת על תפקידיהם ואחריותם ומבטיחה שעובדים יוכלו לגשת למידע ולבצע את הפעולות הדרושות להם כדי להוציא לפועל את עבודתם, ומהצד השני, שעובדים לא יוכלו לגשת למידע ולבצע פעולות שהם אינם נדרשים להן במסגרת עבודתם

מה זה RBAC?

RBAC הוא מודל מתן הרשאות, שמטרתו להבטיח שגישה למערכות ולמידע תינתן לעובדים בארגון בהתאם לתפקיד שלהם, לעבודה שהם מבצעים ולדטה אשר אליו הם צריכים ויכולים להיחשף.

RBAC מבוסס על שני עקרונות עיקריים מעולם אבטחת המידע: Least Privileges – מתן מינימום הרשאות ויכולות במערכת – ו-Need to Know – חשיפה למינימום מידע על מנת שהעובד יוכל לבצע את תפקידו ללא הפרעה.

במילים אחרות, גישת RBAC מאפשרת לוודא שהגישה הניתנת לעובד (או קבוצת עובדים) מבוססת על תפקידיהם ואחריותם ומבטיחה שעובדים יוכלו לגשת למידע ולבצע את הפעולות הדרושות להם כדי להוציא לפועל את עבודתם, ומהצד השני, שעובדים לא יוכלו לגשת למידע ולבצע פעולות שהם אינם נדרשים להן במסגרת עבודתם.

למה להטמיע RBAC בארגון?

תפקידים מוגדרים, הנחיות ותהליכים ברורים – במסגרת הטמעת ה-RBAC מאשרים מראש תפקידים ובוחנים גם את התהליכים הקיימים של מתן, גריעת והוספת הרשאות, שינויים ובקשות מיוחדות, בקרות וכדומה. זו ההזדמנות לעשות סדר ולנהל את התהליך בצורה מובנית ומתועדת.

הגנה על מידע רגיש – ניהול מסודר של תהליכי הרשאות מאפשר לארגון שליטה טובה יותר במי חשוף לאיזה מידע ומה הוא יכול לעשות איתו. בכך הסיכון לפריצות ולדליפת נתונים קטן.

פחות טעויות – דיוק במתן הרשאות לפי תפקיד וצורך מאפשר לוודא שרק הפונקציות המתאימות בארגון יוכלו לעדכן דטה במערכות. צמצום הפונקציות ה"כותבות" והיכולת של הארגון לדעת למי יש גישה לשנות נתונים, תוצאתם דטה נקי ומהימן יותר.

הכנה לאוטומציה – הסדר וההגדרות משמשים כהכנה לאוטומציה של ניהול הרשאות, בדרך כלל באמצעות מערכת IDM (ר"ת Identity Management System). בשלב מתקדם זה, תהליכי ניהול ההרשאות נעשים באופן אוטומטי, בהתאם לתפקיד ולשיוך הארגוני שהוגדר לעובד במערכת ה-HR.

עמידה ברגולציות – מחוקי הגנת הפרטיות, דרך SOC, ISO ועד ל-SOX, רגולציות דורשות (בין היתר) ניהול מסודר ותיעוד בעולם ניהול ההרשאות. RBAC מאפשר לעמוד ברגולציות, על ידי השגת השליטה והבקרה הדרושות, כולל הפרדת תפקידים מנוהלת כדי להבטיח SOD (ר"ת Segregation of Duties).

אתגרים

לצד היתרונות המשמעותיים, ישנם גם אתגרים שכדאי לקחת בחשבון לפני שמתחילים. מדובר בתהליך מורכב, הצורך זמן ומשאבים, ובמקרים רבים מייצר עבודה מתגלגלת. הפרויקט מצריך הירתמות ארגונית ומעלה סוגיות של איזון בין יעילות תפעולית לדרישות אבטחת המידע.

שיטות עבודה מומלצות ליישום מוצלח

זיהוי בעלי עניין ועובדים בעלי ידע – חשוב לזהות ולערב את כל בעלי העניין כבר מהשלב ההתחלתי ולשמור על תקשורת סדירה לאורך הפרויקט.

Source of Truth – קיומו של מקור אחד שמאחד בתוכו את העובדים, תפקידיהם והמחלקות השונות בארגון (בדרך כלל – מערכת משאבי אנוש). לפני שממפים ומייצרים אוטומציות, יש לוודא שהמקור עליו אנחנו מתבססים מעודכן ומסודר.

לתעדף ולהתחיל בקטן – מומלץ להתחיל ממספר קטן של מערכות. רצוי להגדיר מראש את השלבים הבאים וה-KPIs לאמוד ששלב אחד הסתיים והגיע הזמן להתקדם לשלב הבא.

זיהוי מכנים משותפים וחריגים – שיטת המיפוי מבוססת על זיהוי המכנים המשותפים בתוך קבוצות התפקידים השונים. חשוב גם לזהות מצבים חריגים, בהם יש להגדיר מראש נהלים ומאשרים, כדי לוודא שהארגון יודע להתמודד עם מקרים שונים בצורה יעילה.

אין פרות קדושות – בעת המיפוי חשוב לא רק לתעד אלא גם לבחון ולאמת את מה שאולי נשמע מובן מאליו. רק כך ניתן להגיע למקומות הרגישים והעמוקים בהם יש סיכון גבוה יותר מבחינת הרשאות או התנגשות תפקידים.

תכנית מתמשכת ושיפור מתמיד – חשוב להבין שלא מדובר בפרויקט חד פעמי, אלא בפרויקט מתפתח הדורש עדכון ושיפור מתמיד.

הכותבת היא יועצת בכירה בחברת Energy Team, המתמחה בייעוץ IT