زمانی که در سازمانهای بزرگ صحبت از امنیت اطلاعات و مدیریت صحیح دسترسیها میشود، شاید در گمان اکثر مردم امنیت اطلاعات بیشتر به مفهوم حفظ محرمانگی اطلاعات و جلوگیری از دسترسیهای غیر مجازی باشد که ممکن است منجر به افشای اسرار سازمان و -در بدترین حالت- خرابکاری در سامانهها و منابع شوند. ولیکن به خطر افتادن امنیت اطلاعات و منابع سازمان علاوه بر لطمهای که به اعتبار و حیثیت سازمان در بازار کسب و کار وارد میکند، به طور حتم میتواند خسارتهای فراوان مالی و غیرمالی نیز در پی داشته باشد.
کنترل دسترسی، نظارت متمرکز
یکی از گامهای کلیدی در حفظ اعتبار و منافع هر سازمانی، ارتقاء امنیت منابع و اطلاعات سازمان به واسطه کنترل دائمی کاربران و نظارت بر دسترسی و عملکرد آنها در تعامل با سامانهها و منابع سازمان است. زمانی که مسئله حفظ امنیت یک سامانه و یا یک منبع اطلاعاتی در میان باشد، به مراتب با پیچیدگی کمتری روبرو خواهیم بود، حال آنکه مسئله حفظ امنیت زمانی اهمیت بیشتری پیدا میکند که تعداد زیاد سامانههای مورد استفاده در سازمانها، تنوع تکنولوژیهای توسعه آنها و ارتباطات بین آن سامانهها را هم در نظر آوریم.
هر سامانه، برای تامین امنیت اطلاعات خود نیاز به سیستم مدیریت هویت کاربران و کنترل دسترسی مجزا دارد. بنابراین کاربران سازمان برای دسترسی به سامانههای متعدد، با تعداد زیادی نام کاربری و رمز عبور سر و کار خواهند داشت. در چنین شرایطی مدیریت کاربران، مدیریت دسترسیها، اعمال تغییرات و نظارت بر عملکرد آنها تبدیل به فرایندهای زمانبر و هزینهبری خواهند شد که در عین حال سادهترین تضمینهای امنیتی لازم را نیز برای سازمان تأمین نخواهند کرد.
همچنثن به دلیل حجم بالا و پیچیدگی زیاد فرایندهای کنترل دسترسی و مدیریتی کاربران، احتمال بروز خطاهای انسانی در بستن دسترسیهای غیر مجاز و ایجاد تغییرات در آنها به شدت بالا خواهد رفت. این مسئله زمینهساز وقوع حوادث امنیتی بعضاً جبرانناپذیری در سطح سازمان خواهد شد.
یک داستان واقعی
مدتی پیش در یکی از سازمانهای خدماتی بسیار معتبر و عظیم کشور مشکل مشابهی بوجود آمد که نهایتا خسارت مالی سنگینی به سازمان تحمیل کرد. کارشناسان و متخصصان سازمان مذکور پس از انجام تحقیقات گسترده متوجه شدند که عدهای از کارکنان سابق سازمان با استفاده از دسترسیهایی که پس از خروج آنها همچنان برقرار مانده بود، در ازای دریافت مبلغی؛ اقدام به صدور مدارک جعلی برای افراد متقاضی میکردند که آن سازمان مطابق کسب و کار محوری خود در قبال این مدارک، ملزم به پرداخت مبالغ هنگفتی میشد.
پس از کشف این تخلف گسترده؛ سازمان مذکور تصمیم گرفت تا راهکار نوینی برای مدیریت هویت و کنترل دسترسی کلیه کاربران به کار گیرد تا از تکرار اینگونه موارد جلوگیری کند.
انتخاب راهکار گاندو
سازمان مذکور برای حل این مشکل، با شرکت سامانه پرداز آریس ارتباط گرفت و ابعاد فنی و فرایندی مسأله طی جلسات مشترک شفاف گردید. کارشناسان شرکت آریس، پس از انجام تحقیقات و بررسیهای جامع و دقیق، اعلام کردند راهکاری که مورد نیاز این سازمان است راهاندازی سامانههای احراز هویت متمرکز و کنترل دسترسی است.
پیادهسازی این سامانه با تجمیع تمام هویتهای افراد در سامانههای مختلف سازمان و ایجاد یک هویتنامه واحد، در وهله اول حفظ و نگهداری آن را برای کارکنان سادهتر کرد و در ادامه با ایجاد کنترل دسترسی یکپارچه؛ امکان سو استفاده از دسترسیها را از بین برد.
همچنین از سوی دیگر مدیریت هویت متمرکز و کنترل دسترسی با ایجاد یک درگاه واحد برای ورود و مدیریت کاربران، نیازمندیهای مربوط به امنیت از دیدگاه فنآوری، اطمینان از صحت عملکرد امنیتی در حوزه کاربران (نامهای کاربری و هویت نامهها)، کنترل دسترسی، برآورده شدن سیاستهای این حوزه و امکان گزارشگیری دقیق از عملکرد سامانهها در رابطه با کنترل دسترسی را به خوبی پوشش داد.
در حال حاضر سازمان مورد نظر موفق شده است هویت تمام کاربران خود را متمرکز کرده و برای هر کاربر یک هویت یکتا ایجاد کند. با پیادهسازی گام به گام و تدریجی راهکار احراز هویت متمرکز و کنترل دسترسی، در هرگام چند سامانه با اولویت بالاتر انتخاب شده و به راهکار احراز هویت متمرکز و کنترل دسترسی متصل گشتند.
راهکار احراز هویت متمرکز و کنترل دسترسی شرکت آریس که با نام “گاندو” شناخته شده است.
این راهکار بر همین مبنا و با استفاده از تکنولوژیهای روز دنیا تهیه و عرضه شدهاست. راهکار گاندو علاوه بر نیازمندیهای کارکردی، روی نیازمندیهای غیرکارکردی نظیر امنیت، مدیریت پذیری، گسترشپذیری، دسترس پذیری و بازده نیز تمرکز کرده است.
رضایتبخش بودن پیادهسازی و اجرای راهکار گاندو همچنین سازمان مذکور را بر آن داشته است تا اداره کل مشتریان خود را در قالب کاربران سامانه باشگاه مشتریان تحت پوشش این راهکار قرار دهد.
