چرا سازمان‌ها به مدیریت هویت و دسترسی نیاز دارند؟

تخصیص بودجه برای پروژه‌های مدیریت هویت و دسترسی کار چندان ساده‌ای نیست؛ چرا که این پروژه‌ها به طور مستقیم سودآوری ندارند و شاید اینطور به نظر برسد که توانایی‌های سازمان را ارتقا نمی‌دهند.

با وجود این، عدم حضور سیستمی برای مدیریت هویت و کنترل دسترسی، خطر قابل توجهی نه تنها برای هماهنگی و مدیریت هویت‌ها و دسترسی‌ها؛ بلکه برای امنیت سراسری سازمان به شمار می‌آید. سوء مدیریت در دسترسی‌ها و  هویت کاربران، در سازمان‌ها و بنگاه‌های تجاری می‌تواند در دراز مدت آسیب‌های جدی به منابع اطلاعاتی و منافع سازمان‌ها وارد آورد.

حفظ روال کاری؛ توام با امنیت

علیرغم این که برقرار بودن تعاملات و جریان اطلاعات در راستای کسب و کار و اهداف بازارگری سازمان‌ها حیاتی است، نمیتوان از اهمیت مدیریت و نظارت بر دسترسی کاربران چشم‌پوشی کرد و این مسئله نیازمند توجه در بالاترین سطوح مدیریتی است.

 محیط کسب و کار حوزه‌ی فن‌آوری اطلاعات همواره در حال تحول است و امروزه با ورود روالهای آسیب‌پذیری چون استفاده از ابزار شخصی (Bring-Your-Own- Device BYOD) ، محاسبات ابری، برنامه‌های گوشی‌های تلفن همراه و افزایش بازار کار موبایلی، خطرات امنیتی آن نیز به سرعت رو به افزایش است. تعداد ابزارها و سرویس‌های بیشتری نسبت به گذشته باید مدیریت شوند که هر یک درخواست‌های متنوعی از امتیازهای دسترسی مربوط به خود را دارند. 

مدیریت تغییر وظایف کارکنان

یکی از موارد بسیار معمول در سازمان‌ها، تغییرات زیاد در وظایف و نقش کارکنان سازمان است، که این امر مدیریت دسترسی و هویت آنها را پیچیده‌تر می‌کند. یک مشکل شایع، این است که دسترسی‌ها زمانی که وظایف یک کارمند تغییر می‌کند حتما به او اعطا می‌شود ولیکن زمانی که دیگر به آن دسترسی احتیاجی نیست، معمولا امتیاز دسترسی لغو نمی‌شود.

اعطای دسترسی‌های مشابه، خطر پخش شدن امتیازهای دسترسی

بسیار پیش می‌آید که در سازمانی درخواست شود دسترسی یکی از کارکنان، به شخص دیگری هم اعطا شود؛ بدون این که نیازمندی‌های دسترسی فرد درخواست کننده شفاف شود. این امر منجر به ارائه امتیازات نامعتبر و غیر ضروری به فرد می‌شود که اصطلاحا آن را “نشت امتیاز” هم می‌خوانند.

به این ترتیب با نشت امتیاز از دو طریق خطرهای امنیتی می‌تواند ایجاد گردد. یک کارمند با امتیازهایی فراتر از امتیازهای مورد نیازش، ممکن است بدون مجوز به برنامه‌ها و داده‌های سازمان دسترسی غیر مجاز و بالقوه نا‌امن داشته ‌‌باشد.

علاوه‌ بر‌ این، در صورتی که یک مزاحم بتواند به حساب کاربری با دسترسی‌های بیش از حد نفوذ پیدا کند، می‌تواند به صورت خودکار آسیب بیشتری به امنیت سازمان وارد نماید. از دست رفتن اطلاعات و دزدی اطلاعت می‌تواند در هر دو سناریوی فوق پیش بیاید.

مدیریت دسترسی‌های مقطعی و موردی

معمولا ارائه برخی دسترسی‌ها به اطلاعات حساس در شرایط خاص و برای کاربردهای موردی در سازمان به افراد اعطا می‌شود.

به عنوان مثال، ممکن است این دسترسی‌ها در شرایطی ارائه شود که یک کارمند برای تهیه یک گزارش آماری لازم باشد برخی اطلاعات محرمانه سازمان را بررسی کند. حال فرض کنید پس از اتمام گزارش، به دلیل عدم وجود سامانه‌ای برای مدیریت و کنترل دسترسی‌ها؛ همچنان دسترسی کارمند مذکور به اطلاعات محرمانه باقی بماند. در نتیجه، اطلاعات محرمانه در معرض دسترسی فردی قرار خواهدگرفت که جاگاه شغلی و تعهد کاری او برای این اطلاعات مناسب نیست. در این شرایط به ندرت می‌توان از به خطر افتادن امنیت اطلاعات جلوگیری کرد.

برقرار ماندن دسترسی کارمندان سابق به اطلاعات و منابع

مدیریت ضعیف دسترسی‌ها همچنین ممکن است منجر به باقی ماندن امتیازاها در زمانی شود که آن افراد دیگر کارمند نیستند. جالب است بدانید این مسئله زمانی در یکی از بزرگترین سازمان‌های مالی و اقتصادی کشور خودمان هم اتفاق افتاد. برقرار ماندن دسترسی کارمندانی که دیگر در سازمان شاغل نبودند، در یک برهه از زمان منجر به خسارت‌های مالی و اعتباری فراوانی برای شرکت مذکور گردید.

و در نتیجه

با وجود تمامی موارد ذکر شده و موارد بیشمار دیگری که به دلیل ضعف در مدیریت هویت کاربران و دسترسی آنهاست، حضور سامانه احراز هویت متمرکز و کنترل دسترسی به لحاظ امنیت اطلاعات و منابع ضروری است.

علاوه بر این که این سامانه‌ها امکانات و تسهیلات بسیار زیادی را هم با خود به همراه می‌آورند که بازگشت سرمایه آن در کاهش خسارت‌های امنیتی کسب و کار در کوتاه مدت خواهد بود.