CANON CZ
facebook
Tematické sekce
 
Branžové sekce
Přehledy
 
Tematické seriály
 

GDPR

General Data Protection Regulation zásadně mění zpracování osobních údajů a zavádí nové povinnosti...

články >>

 

Jak uřídit IT projekt a nezbláznit se

Užitečné tipy a nástroje pro řešení problémů řízení inovací a vývoje produktů...

články >>

 

Industry 4.0

Průmysl 4.0

Jaký vliv bude mít čtvrtá průmyslová revoluce na výrobu a výrobní firmy?

články >>

 

Komplexní svět eIDAS

O nařízení eIDAS již bylo mnoho řečeno i napsáno. A proto jediné, o čem...

články >>

 

Trendy v CRM

Systémy pro řízení vztahů se zákazníky (CRM) prochází v posledních letech výraznou změnou. Zatímco dříve...

články >>

 

Příručka úspěšného IT manažera

Dnes je řada IT manažerů opomíjena. Úspěšní bývají brouci Pytlíci a Ferdové...

články >>

 

Pokročilá analýza provozu datových sítí

V tomto čtyřdílném seriálu vás seznámíme s různými metodami a přístupy...

1. až 4. díl >>

 

Cesta k efektivnímu identity managementu

Správa identit a přístupů (IAM) je klíčová oblast pro zaručení bezpečnosti...

1. až 9. díl >>

Partneři webu
Navisys
IT SYSTEMS 7-8/2018 , Správa IT

Jak se zbavit rutinních úkolů při správě IT?

Automatizací Identity Managementu

Marcel Poul


BCV solutionsVětšině administrátorů a správců IT systémů bude jistě povědomý následující dialog: „Nazdar, Karle, tady Jarda, prosím tě, zítra mi nastoupí ten brigádník. Potřebuji, aby měl všude přístup, dík.“ Co udělá Karel? Většinou jde a do Active Directory ručně založí nový účet. Přidělí mu e-mailovou schránku v MS Exchange. Vygeneruje heslo a pošle ho mailem Jardovi. Atributy účtu, případně AD skupiny nastaví dle svého nejlepšího vědomí a svědomí. I takhle může vypadat správa účtů (identity management) a do určité míry je i funkční.


Jenže pak mohou přijít a většinou také přijdou chvíle, kdy:

  • Přijde audit a bude chtít vědět, na základě čeho dostal uživatel účet v AD. Kdo o to požádal a kde je o tom záznam? Existuje nějaká standardní matice práv pro zaměstnance?
  • Proč má Karlův účet atributy takové, jaké má?
  • Kdo schválil jeho práva v AD?
  • Jarda odchází, musíte řešit předání „know how“ rutinních operací v IT systémech – založ účet, smaž, archivuj, blokuj schránku, obnov...
  • Jak se předává heslo, kdo všechno ho měl v ruce?

Co je zodpovědností admina?

Z předchozího seznamu vyplývá, že administrátor v procesu zavádění zaměstnance nese na svých bedrech poměrně velkou zodpovědnost. Fakticky rozhoduje o tom, kdo má jaká práva, kdy je dostane a kdy o ně přijde. Tím pádem nese i odpovědnost za to, že někdo může potenciálně zneužít svůj účet k věcem, ke kterým nemá z podstaty svého zaměstnání přistupovat. Musí si navíc zajistit informace o tom, kdy zaměstnanci končí. A ruku na srdce, tahle informace často na IT nedorazí včas nebo také vůbec. Tak proč by měl admin rozhodovat, kdo má jaká práva? On není ten, kdo určuje bezpečnostní politiku společnosti, kdo by měl stavět matici přístupů. Tohle nesmí být zodpovědnost administrátora.

Administrátor IT systému, třeba AD, má být zodpovědný primárně za provoz systému, jeho údržbu a hlavně: systematické zlepšování jeho chodu tak, aby firmě jeho provoz přinášel co největší benefit.

Nechte svoje zaměstnance tvořit

Nechte administrátory, aby se starali o rozvoj IT systémů. Jenže jak se má této činnosti věnovat, když se neustále věnuje přidělování skupin, zakládání účtů, resetování hesel uživatelům atd.? Zamezte rutinní operativě. Automatizujte. Identity Management může pomoci.

Identity management je proces správy identit, nejčastěji zaměstnanců, zákazníků a dodavatelů, v organizaci. Definuje zejména způsob řízení přístupu k IT zdrojům. Správně zavedený proces zajistí oprávněným osobám přístup ke schváleným zdrojům (IT systémy, certifikáty, HW) po specifikovanou dobu. Zavedením systému pro správu identit (IdM) můžete jednoduše zbavit administrátora rutinních činností, jako jsou:

  • Založení účtu v AD, Exchange, helpdesk, docházka apod...
  • Distribuce hesla zaměstnanci, například pomocí SMS.
  • Reset zapomenutého hesla. Moderní IdM mají samoobsluhu uživatele, kde si každý své zapomenuté heslo může sám resetovat.
  • Změna práv, například žádost o novou AD skupinu. To může přece požádat uživatel sám a jeho žádost nadřízený (nebo garant systému) schválí.
  • Zrušení účtu při konci úvazku, archivace účtu dle interní politiky firmy, smazání z archivu po uplynutí archivačního období.
  • Schválení zřízení účtu / přidělení oprávnění. Admin by neměl rozhodovat o tom, kdo má v AD jaká práva. Definováním vhodného mechanismu schvalování přístupů v IdM sejmete toto břemeno z jeho beder. Moderní IdM systémy umožňují vícekolové schvalování přidělení oprávnění vlastníkem dat systému nebo nadřízeným.
  • Příprava dat pro audit. Usnadněte práci adminovi. Ať ze změti logů různých systémů neloví auditní informace o přístupech zaměstnanců. S IdM máte přehled práv uživatelů na jednom místě. Audit bez Identity Managementu může zabrat dny práce.

Tohle všechno v důsledku ušetří čas zaměstnancům IT, který můžete investovat daleko efektivněji než do rutinních činností.

Přínosy IdM pro různé role v organizaci

Zaměstnanec – přehled účtů a oprávnění, žádost o nový přístup, reset hesla, rychlý nástup do zaměstnání bez nutnosti řešení papírových žádostí

Nadřízený – přehled práv podřízených, žádost a schválení práv podřízených, notifikace a reporty pro expirace práv

IT administrátor – redukce rutinních úkolů automatizací správy účtů, přehled o přístupech do spravovaného systému, jednoduchá příprava podkladu pro audit

HR pracovník – snížení administrativy, odbourání nadbytečné komunikace s IT, zbavení se papírových formulářů

IT security – centrální audit přístupů, zamezení existence mrtvých duší, propracovaný proces odpovědnosti za přidělení přístupu, jednoduché a rychlé smazání přístupu při řešení bezpečnostních incidentů

Vedení organizace – zvýšení bezpečnosti správy účtů, jasně definované procesy nakládání s daty zaměstnanců, dodavatelů či zákazníků, úspora času IT pracovníků

Marcel Poul Marcel Poul
Autor článku je vedoucím realizace IdM projektů ve společnosti BCV solutions. Problematice správy identit se věnuje více než 8 let. Dodává projekty IdM pro zákazníky ve státní správě, soukromé firmy i velké nadnárodní korporace.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.
Alvao

Časopis IT Systems / Odborná příloha Archiv časopisu IT Systems
IT Systems 10/
IT Systems 9/
IT Systems 7-8/
IT Systems 6/
Oborové a tematické přílohy
příloha #1 10/
příloha #1 9/
příloha #1 7-8/
příloha #1 6/
Onlio
Kalendář akcí