מתקשים לראות, ולא מדליקים את האור
על אבטחת מידע ובחירת הכלי הנכון ליצירת תמונה אמיתית
אם היום ניתקל במישהו שמנסה לנווט למקום חדש עם ספר מפות – איך זה ייראה לנו? תמוה? בלתי נתפס? למה שמישהו היום יבחר לנווט באופן כה מסורבל? ומדוע לא להימנע מפקק תנועה אם יש מערכת שיכולה להתריע לנו על כך?
כשאני נפגש עם לקוחות ויצרנים, בארץ ובעולם, אני עדיין רואה ושומע על ארגונים רבים, שנדרשים לבצע בדיקה יזומה ומחזורית של מערך ההרשאות הארגוני מכורח החוק או תקנות ("רגולציות"), אך עדיין בוחרים לעשות זאת בשיטות ארכאיות ולא מדויקות.
לדוגמה, חברה פיננסית גדולה, עם אלפי משתמשים ומאות מערכות, שכולן מכילות נתונים רגישים ועל כולן יש לבצע פעילות מחזורית של בדיקת ההרשאות. זה תמוה, אך מסתבר שכמו הרוב המוחלט של הארגונים הגדולים באמת, אלה שמונים אלפי ועשרות אלפי משתמשים, אותה חברה פיננסית גדולה עדיין מנסה "להשתלט" על משימת בקרת ההרשאות באמצעות גיליונות נתונים של אקסל.
איך היא עושה זאת? אנשי המחשוב של החברה "שולפים" את רשימת כל המשתמשים וההרשאות מהמערכות הארגוניות אל תוך גיליונות נתונים באקסל, ומעבירים את הקבצים למנהלים האחראיים, כל אחד לפי תחומו. כל מנהל אמור לקרוא את הנתונים, להחליט ולסמן את מי מהמשתמשים או ההרשאות יש להשאיר ומה יש לבטל. בסיום, הקובץ חוזר לאנשי המחשוב, שאמורים לבטל במערכת התוכנה המבוקרת (למשל, מערכת הכספים) את ההרשאות שסומנו כלא תקינות.
במציאות, מדובר בעשרות ואף מאות קבצים בכל שנה. בנוסף, הנתונים בקבצים אינם מובנים ברובם המכריע למנהל (שפה "טכנית" של קודים והרשאות). יוצא מכך שהרוב המוחלט של סוקרי ההרשאות כלל אינם מבינים את הנתונים שעליהם הם נדרשים לחתום. יתר על כן, איסוף המידע לקבצים ופיזורו הם פעולות שלרוב מצריכות שילוב מספר גורמי מחשוב, מה שמסבך אף יותר את התהליך.
איפה הסכנה?
הצורך בבקרת הרשאות מיועד למנוע סיכונים לארגון. סיכונים כאלה קיימים אם מידע רגיש חשוף לעיניים לא רצויות, או ניתן לשינוי על ידי גורמים לא מוסמכים. במילים אחרות, אם למשתמשים קיימות הרשאות שלא לצורך.
אם תהליך הבקרה לא מסוגל לאתר את ההרשאות המיותרות (למשל, כי המנהל פשוט לא מבין את המונחים הטכניים של ההרשאות), יוצא כי בארגונים גדולים ומורכבים קיימות חריגות אבטחת מידע שפשוט "צועקות לשמיים", לא מאותרות ואינן מטופלות כראוי – למרות "תהליך בקרה" שלכאורה מבוצע שוב ושוב, מכורח החוק או הרגולציה.
כמו שרובנו משתמשים בווייז לניווט, כך אף מוסד פיננסי או בטחוני גדול לא היה "חולם" לנהל את קשרי הלקוחות או תהליכי התפעול הארגוניים שלו בקובץ אקסל. תארו לעצמכם שנציג שירות של חברת סלולר, קופת חולים או בנק גדול ינסה לשלוף או לעדכן מידע על הלקוח ששמור בין מיליוני שורות באקסל. הרי ברור שמלבד חוסר יעילות משווע, בתוך זמן קצר יופיעו טעויות של ממש.
כך קורה כשמטפלים ידנית באתגרים שדורשים מענה ממוכן.
מדוע ERP כן, ובקרת הרשאות לא?
נשאלת השאלה: למה לבסס את בקרת ההרשאות על "תהליך" ארגוני של תכתובות מייל וקבצי אקסל, במשחק ארוך ולא אפקטיבי בעליל של חתול ועכבר עם מנהלי המידע, העובדים הבכירים והזוטרים, הוותיקים והחדשים, ועם אפליקציות שאינן מתאימות?
זה משחק שלא ניתן לנצח בו ללא כלים מתאימים. התוצאה היא הקצאה עצומה של זמן ושל כוח אדם ייעודי (ואיכותי!), שרץ אחרי הזנב של עצמו בניסיון לסתום פרצות שיד אדם עם כלים בסיסיים פשוט לא יכולה לחסום לבדה.
פרולינק ניהול זהויות מציעה לארגונים את הידע והניסיון הנרחבים ביותר לכל תחומי ניהול הזהויות ובקרת ההרשאות הארגונית.
להרשמה לאירוע לחצו כאן.