Rostoucí konkurenční prostředí v dnešní době zvyšuje nároky na efektivnost řízení organizací. Proto se ve stále větší míře přistupuje ke komplexnímu zavádění moderních informačních systémů pro řízení, a to nejen v oblasti tradičního řízení transakcí (ERP systémy, provozní systémy), ale i v oblasti manažerských informačních systémů. Tyto systémy se vyznačují širokou nasaditelností, zasazením do heterogenní infrastruktury, snahou o systematizaci a zjednodušování administrativy a provozu, růstem otevřenosti, flexibility a integrace na různé zdrojové systémy, různé druhy uživatelů. Zájmy IT oddělení a zájmy jejich vnitřních zákazníků se silně rozcházejí. Na jedné straně je potřeba snižovat náklady, na druhé potřeba zvyšovat flexibilitu, dostupnost a kvalitu řešení. V tomto článku se zaměříme na trendy v oblasti zabezpečení manažerských informačních systémů.


Klíčovou otázkou v každé společnosti je vytvoření rovnováhy mezi potřebou manažerů – dostupnost informací v čase, kvalitě, struktuře – a zabezpečením před uživateli, kteří by přístup k těmto datům neměli mít. Pochopitelně, efektivní zabezpečení by nemělo převyšovat efektivitu operací jako takových, takže klíčovým zůstává téma, jak nastavit efektivní bezpečnostní infrastrukturu tak, aby se zhodnotily investice do už existující bezpečnostní infrastruktury.

Strategie bezpečnosti se zaměřuje na tři hlavní oblasti

Autentifikace

Identifikuje uživatele v podnikové infrastruktuře. Na základě autentifikace jsou informace zpřístupněny jen oprávněným uživatelům.

Autorizace

Přiděluje autentifikovaným uživatelům přístupová práva. Každý uživatel, nebo skupina uživatelů může mít potřebu znát různé informace, především pokud mluvíme o detailních informacích nebo souvislostech.

Kryptování

Oblast zabývající se ochranou jak přenášených, tak ukládaných dat, v podnikovém prostředí i mimo podnikové infrastruktury.

Nezabezpečené přenosy a ukládání dat představují riziko jejich zneužití. Nejmodernější řešení manažerských informačních systémů jsou často založena na bázi tzv. tenkých klientů a webových prohlížečů a musí splňovat náročná bezpečnostní kritéria velkých i malých společností. Měla by smysluplně zhodnotit existující bezpečnostní infrastrukturu a poskytovat jednoduché, přímočaré zabezpečení aplikace a kryptování. Optimální řešení by mělo poskytovat přihlašování uživatelů, ale i možnost omezených anonymních přístupových práv, zabezpečení řádků a sloupců sledovaných dat, až 168bitový kryptovaný přenos a mnohé jiné funkce pro řízení přístupu uživatelů do aplikace při současně nejvyšší míře zabezpečení.

Využití existujících bezpečnostních konceptů

Transparentní autentifikace

Základní principy zabezpečení – autentifikace – zahrnují identifikaci uživatelů. Ve vaší organizaci už existuje bezpečnostní model, který uděluje uživatelům přístup do systému na základě „jmenných prostorů“ (namespaces) přihlašovacích jmen a hesel. Důležitou črtou bezpečnostních modelů ve společnostech je princip „jednotného přihlašování do všech systémů“, pomocí kterého se vyhneme situacím, kdy jeden uživatel musí zpracovávat vícero uživatelských jmen a hesel do různých systémů v podnikové infrastruktuře, což v souvislosti s expirací hesla zvyšuje nebezpečí ztráty nebo zneužití těchto údajů.

Ověřování uživatelů

Progresivní řešení manažerských informačních systémů zhodnocují dosavadní investice organizací do existujících bezpečnostních modelů pro autentifikaci uživatelů a jednotné přihlašování. Takovými bezpečnostními modely může být doména NTLM, adresářová služba standardu LDAP nebo Active Directory, aplikační bezpečnostní modely Netegrity a SAP, nebo i kombinace uvedených systémů. Moderní řešení business intelligence (BI) pracují s těmito modely při definici práv uživatelů v rámci systému BI a jejich začlenění uživatelů do skupin a rolí. Samotné ověřování uživatelů vykonává bezpečnostní model a do systému BI vstupují jen identifikační a popisné informace uživatele (například jméno uživatele, e-mail, regionální a personální nastavení). Není třeba přepracování nebo duplikování zabezpečování.
Moderní řešení BI mohou pracovat virtuálně s každým dostupným bezpečnostním modelem. Pokud je to potřeba, dostupné aplikační programovací rozhraní (API) umožňuje využití vlastních autentifikačních modelů a řešení. Takovéto systémy neduplikují existující podnikové modely pro zavedení bezpečnosti. Znamená to redukci celkové IT komplexnosti a investovaného kapitálu, protože nepotřebujete spravovat a udržovat více systémů zabezpečení. Organizace tak mohou zvolit nejlepší řešení pro poskytování autentifikace.

Zefektivnění autentifikace uživatelů

Vaše organizace může mít několik bezpečnostních zdrojů. Může využívat například Active Directory na zabezpečení elektronické pošty a Netegrity SiteMinder pro zabezpečení podnikové aplikace. Moderní manažerské informační systémy jsou schopné využít a zhodnotit tato heterogenní prostředí. Pokud se uživatel na začátku relace přihlásí do jednoho systému, může se později přihlásit do jiného jmenného prostoru současně, bez předcházejícího odhlášení z původního. To umožní specifickým uživatelům širší přístup k potřebným korporátním datům. Organizace mohou též umožnit – obvykle omezený – přístup do manažerského informačního systému pro anonymní uživatele: například přístup jen pro čtení do internetové reportingové aplikace.

Flexibilita zabezpečení

Typickým bezpečnostním problémem je podpora přístupu oddělených komunit uživatelů jediným řešením BI. Řekněme, že vaše společnost využívá intranet pro potřeby organizace, avšak poskytuje přístup i pro partnery přes extranet. Interní uživatelé mají zpravidla větší přístup k informacím než uživatelé zvenku. To doposud vyžadovalo metadatový model pro každou z těchto skupin, výsledkem čehož bylo méně efektivní BI prostředí.
Jako konkrétní příklad pro lepší pochopení moderní koncepce zabezpečení použijeme řešení Cognos, které patří do kategorie řešení pro řízení výkonnosti organizací (corporate performance management).
Cognos 8 BI využívá jednotný model metadat pro podporu vícerých komunit uživatelů. Tvůrce metadatového modelu vytváří nad metadaty pohledy nebo „balíky“, které obsahují jen relevantní podmnožinu metadat, určenou dané skupině uživatelů. Změny ve společném modelu metadat se promítají do příslušných balíků metadat.
Řešení Cognos 8 BI obsahuje různé druhy objektů, poskytujících obsah a funkcionalitu robustní aplikace pro vytváření, úpravu a distribuci obsahu business intelligence v prostředí webového prohlížeče. Mezi objekty přístupné uživatelům přes webový portál patří vytvořené veřejné přihrádky s podpřihrádkami, které mohou obsahovat předpřipravené sestavy, vytvořené analýzy, scorecardy či metriky stejně jako definice událostí a upozornění. Každý z těchto objektů může správce zabezpečit a zpřístupnit ho jen určeným uživatelům nebo skupinám. Podobně správce nastavuje přístup uživatelů a skupin ke sdíleným stránkám portálu, datovým zdrojům, jakož i ke „schopnostem“ uživatelů vytvářet obsah BI (například vytváření sestav).

Autorizace uživatelů

Autorizace je proces přidělování nebo zakazování přístupu k datům pro uživatele a skupiny uživatelů a určení toho, co mají povoleno s těmito daty dělat. Po počátečním udělení práv ke zdrojům (datový zdroj, report nebo přihrádka), uživatelé vidí jen to, co mají dovoleno vidět.
V Cognos 8 BI jednoduchým kliknutím přidělíte práva příslušným uživatelům a skupinám a povolíte nebo zakážete právo na prohlížení, změnu nebo vykonávání dalších aktivit. Tito uživatelé se mohou stát členy specifických Cognos skupin a rolí. Skupiny mohou být definované v poskytovatelích zabezpečení nebo ve vestavěném jmenném prostoru Cognos. Pokud jsou jednou nastavená práva pro jednoho nebo více uživatelů nebo skupin, ostatní uživatelé nemají žádný přístup, pokud jim přístup není explicitně přiřazený. Pokud report nebo přihrádka nemá nastavené zabezpečení, přístupová práva mu budou přidělena z nadřazeného objektu.

Afinita serverů

V informačních systémech mohou být přicházející požadavky směřované na určené aplikační servery podle skupin a rolí uživatelův, kteří daný požadavek vyslali. Například uživatelé na určitém geografickém území nebo v určitém oddělení si mohou být jisti, že všechny jejich BI požadavky budou zpracované místním serverem. To umožňuje optimalizaci přicházejících požadavků, zjednodušuje správu rozlehlých instalací a společně s auditem vytváří mechanismus pro efektivní realokování sdílených zdrojů.

Základní a rozšířené kryptování

Uložená nebo přenášená data mohou být zranitelná, pokud nejsou řádně zabezpečena kryptováním. Data informačních systémů a komunikace mezi komponenty systémů může být kryptovaná 56bitovým kryptovacím algoritmem, který je ve většině případů součástí softwaru. V případě potřeby vyšší úrovně bezpečnosti mohou být silnější kryptovací moduly pořízeny dodatečně. Tyto kryptovací moduly umožňují konfigurovat manažerské informační systémy tak, aby využívaly kryptovací algoritmy s délkou klíče až 168 bitů.

Shrnutí

Moderní manažerské informační systémy umožňují distribuci kritických informací svým uživatelům při současném zabezpečení tak, aby se ty samé informace nedostaly do nesprávných rukou a nebyly zneužity. Využití existujících bezpečnostních systémů odstraňuje potřebu přepracovávání nebo duplikovaní bezpečnosti. Definování autorizace je rychlé a lehko nastavitelné, přičemž mohou být použiti uživatelé a skupiny existujícího bezpečnostního modelu. Datový obsah a integrita dat při přenosu jsou zabezpečeny kryptováním. Výsledkem jsou minimální nároky na správu, minimální dodatečné náklady, jakož i vysoká škálovatelnost takového řešení manažerského informačního systému.

Autoři pracují jako konzultanti společnosti Cogent.