Co je to IAM

Informace jsou jedním z nejcennějších aktiv firmy, a proto kontrola přístupu k těmto informacím tvoří důležitou součást každodenních operací organizace. IAM (identity and access management) je soubor nařízení, procesů a systémů pro efektivnější řízení a nakládání s přístupy zaměstnanců k jednotlivým zdrojům uvnitř firmy či organizace. Řídí přístupová práva uživatelů, ověřuje jejich identitu, zkoumá, k čemu a v jakém rozsahu má konkrétní uživatel přístup, a monitoruje, jak uživatelé nakládají se svými přístupovými právy. IAM se dotýká všech organizací, bez ohledu na odvětví, ve kterém působí, nebo země, v nichž podnikají. Firmy si toho jsou dobře vědomy a průzkum potvrdil, že se řízení přístupu v jejich podnikání již plně etablovalo.

Co a jak se kontroluje

Architektura řešení IAM spočívá na několika základních procesech. Patří sem řízení uživatelů a jejich autentifikace, ověřování a potvrzování identit, autorizace rozhodující o přístupových právech a o tom, kdo má k jakým zdrojům organizace přístup v souladu s jejími pravidly a směrnicemi, řízení přístupu (zřizování a kontrolování přístupu), řízení dat a jejich poskytování a konečně monitoring a audit toho, jak uživatelé dodržují stanovená pravidla při přistupování k jednotlivým zdrojům organizace.
Přes devadesát procent respondentů v průzkumu uvedlo, že se jejich IAM projekty většinou zaměřují na interní zaměstnance a kontrolu jejich přístupu do vnitřních systémů a k informacím společnosti. Nicméně zhruba třetina projektů IAM se také zaměřuje na obchodní partnery nebo dodavatelské sítě.
Uživatelská jména a hesla – tento autentifikační mechanismus uvedli všichni respondenti. Tokeny jsou populární u více než padesáti procent respondentů, čipové karty a jiné certifikační mechanismy u 35 procent. Metodu RFID a biometrii uvedlo jako svůj autentifikační mechanismus dvanáct procent respondentů.

Projekty IAM – krize „zasahuje“

Pro úspěšné zavedení a fungování IAM je nezbytné mít strategii, která pokrývá nejen samotný projekt, ale i všechny ostatní zasažené procesy. Opírá se o celkovou firemní strategii tak, aby výsledky odpovídaly obchodním požadavkům jak z hlediska načasování, tak i očekávaných služeb a výsledků.
Podle průzkumu 48 procent respondentů zahájilo za poslední tři roky jeden nebo dva IAM projekty. Celých 87 procent zahájilo nejméně jeden projekt a více jak třetina dotazovaných (39 procent) více než tři projekty. Z nich téměř šest procent společností odstartovalo více jak deset projektů. Zajímavé je, že zatímco v roce 2008 zahájili alespoň jeden projekt téměř všichni respondenti, 13 procent respondentů z roku 2009 nezahájilo v uplynulých třech letech ani jeden projekt.
Je zjevné, že ekonomická krize dopadla i na projekty IAM. Čtvrtina respondentů uvedla, že provedla škrty v rozpočtu v rozsahu od pěti do padesáti procent. Třináct procent snížilo své rozpočty o více než padesát procent a u více než poloviny respondentů se změnil rozsah projektu. Přesto téměř tři čtvrtiny respondentů zcela nebo částečně souhlasily s tím, že by se investice do IAM projektů měly spíše zvýšit.

Kolik se investuje

V příštích třech letech plánuje 38 procent respondentů zahájit projekty s rozpočtem do výše 250 tisíc eur. Téměř jedenáct procent respondentů uvedlo, že mají vyčleněn rozpočet vyšší než jeden milion eur. Ve srovnání s výsledky z roku 2008 nejsou žádné rozdíly v oblasti investic patrné. Menší organizace s méně uživateli IT služeb disponují menšími IAM rozpočty a naopak rozpočty převyšující deset milionů eur se vyskytují v organizacích s více než pěti tisíci zaměstnanci.

Soulad s pravidly – hlavní hnací motor IAM

Vyhovět regulatorním a zákonným požadavků – to je podle 72 procent respondentů hlavní motor IAM projektů a hraje ještě důležitější roli než při loňském průzkumu. Firmy totiž potřebují záruku, že přístup k programům a datům je řízený, kontrolovaný a zabezpečený. Snaží se proto vyhovět regulatorním požadavkům, snížit rizika při nakládání s informacemi a zlepšit fungování vnitřních procesů.
Právě snaha přizpůsobit se náročným předpisům a legislativním požadavkům je důvodem, proč si finanční sektor osvojil IAM principy poměrně brzy. Výrazný pozitivní posun je od roku 2008 zřejmý u veřejného sektoru a zdravotnictví, které již implementují IAM projekty pravidelně. Mezi respondenty, kteří zahájili více než deset IAM projektů za poslední tři roky, jsou významně zastoupeny právě finanční instituce a veřejný sektor. Za nimi se pohybují výrobní společnosti a spotřební průmysl.

Očekávání a realita

Jedním z klíčových faktorů úspěšného projektu IAM je zapojení všech zainteresovaných manažerů a vedoucích pracovníků. Podle průzkumu však většinu projektů řídí a posouvají vpřed lidé spjatí s IT službami ve firmě. Za strategii IAM je u 24 procent respondentů odpovědné IT oddělení. Dále je to manažer zodpovědný za bezpečnost (33 procent) nebo za řízení rizik (12 procent).
Vedle technologických aspektů jsou však důležitá i obchodní hlediska. Pokud nejsou IT a obchodní cíle v dostatečném souladu, mohou existovat významné rozdíly mezi očekávanými a realizovanými výhodami IAM. Nedostatečné zapojení ostatních organizačních složek je totiž hlavní příčinou neúspěchu projektu IAM. Polovina respondentů uvedla, že jejich obchodní oddělení nebylo připravené na navrhované řešení, a stejný počet souhlasil s tím, že u nich byla nedostatečná podpora ze strany managementu a zúčastněných stran.

Jaké si vybrat řešení?

Celkem 63 procent respondentů zvolilo specifickou IAM architekturu nebo projekt IAM začlenilo do své stávající IT architektury. Centrální řízení oprávnění zvolilo nejvíce respondentů (39 procent), 34 procent spoléhá na svého preferovaného dodavatele. To naznačuje, že firmy kladou velký důraz na to, aby jejich řešení IAM zapadlo do stávající firemní IT infrastruktury. 24 procent deleguje řízení IAM na třetí osobu, 20 procent používá otevřené standardy a jen 18 procent se při volbě řešení orientuje na nejlepší nabídku dostupnou na trhu.

Měření je problém

Firmy si často nevědí rady s tím, jak měřit náklady a zhodnotit kvalitu projektů. Celkem 49 procent z nich neví jak měřit, nebo vůbec neměří své náklady spojené s dodávkou služeb IAM. 48 procent pak nesleduje kvalitu poskytovaných služeb. 37 procent nezná své náklady, které souvisejí s interním či externím přezkoumáním přístupových práv.
Jak ale vlastně poznáme, že firemní řízení přístupu je vyspělé a splňuje dostupné standardy? Naši kolegové z Nizozemska společně s Univerzitou v Tillburgu vyvinuli model na základě oborových standardů (CMMI, COBIT, World Class IT) a pokusili se stanovit několik základních úrovní vyspělosti IAM.
Procesy se totiž mohou významně lišit ve stupni své vyspělosti. Mohou se měřit podle různých charakteristik. Model byl proto vyvinut tak, aby jeho uživatelé získali větší přehled o stavu svých IAM projektů. S jeho pomocí mohou mapovat IAM projekty na různých úrovních vyspělosti, identifikovat místa, která je nutno zlepšit a nasměrovat společnost ke zlepšování procesů.

Jaké tedy mohou být jednotlivé úrovně IAM v organizaci?

• neexistující – žádný z procesů IAM nebyl identifikován, je nutné nejprve stanovit základní požadavky a určit problémy,
• počáteční – bylo definováno jen několik málo procesů, které však fungují na ad hoc bázi,
• opakovatelné – procesy fungují řádně a opakují se,
• definované – procesy jsou standardizované, zdokumentované a mohou být kontrolovány na základě správné dokumentace,
• řízené – řídí se výkonnost a kvalita poskytovaných služeb,
• optimální – procesy se neustále zlepšují a dosáhly úrovně tzv. dobré praxe, existují nástroje pro neustálé zlepšování a měření.

Závěr

Aby IAM projekty splnily očekávání, je nezbytné správně definovat záměr a reálný cíl projektu, představit projekt IAM jako proces standardizace a sjednocování a zahrnout do projektu jak obchodní, tak i technické aspekty.

Autor působí jako senior manager oddělení Poradenské služby společnosti KPMG Česká republika.