برای شرکتهای کوچک، به ویژه شرکتهایی که قصد ورود به صنعتهای رقابتی را دارند، مدیریت هویت و دسترسی (Identity Access Management) از نظر مدیران پنهان میماند. پیروی از قوانین و پروتکلهای IAM دشوار است، به یک کارمند IT تمام وقت نیاز دارد و معمولا نیازمند سرمایهگذاری مالی است.
اما عواقب چشمپوشی از IAM، به خود شما بازگشته و کسبوکارتان را تحت تأثیر قرار میدهد. با پایین آوردن اولویت آن در سطح سازمان، سازمان خود را در معرض حملات سایبری و نقض دادههای بیشتری قرار میدهید زیرا منابع دیجیتال شما آنگونه که باید کنترل نمیشوند.
همچنین به خاطر داشته باشید که IAM شما را از حملات خارجی و داخلی محافظت میکند. درصد بالایی از حملات هکرها از داخل سازمان رخ میدهد. اگر اصول IAM را رعایت نکنید، احتمال آسیب بسیار شدیدتر میشود؛ زیرا کاربران ممکن است دسترسی بیشتری نسبت به آنچه شما فکر میکنید داشته باشند.
فعالیتهای IAM شامل چیزی بیش از ایمن نگاه داشتن سازمان شما در برابر تهدیدهای آنلاین هستند. در حقیقت، بسته به اینکه در کدام صنعت فعالیت کنید و در کدام منطقه مستقر هستید، ممکن است شرکت شما از نظر قانونی در مورد نحوه ذخیره و مدیریت حسابهای کاربری ملزم به رعایت قوانین خاصی باشد. در اینجا برخی از اصلیترین استانداردهای انطباق که ممکن است با آنها روبرو شوید را بررسی میکنیم.
-
مقررات عمومی حفاظت از داده (GDPR)
این مقررات توسط اتحادیه اروپا ایجاد شده است و مشخص میکند که شرکتها چگونه باید از حسابهای کاربری آنلاین محافظت کرده و آنها را ذخیره کنند، به علاوه یکسری قوانین در مورد اطلاع رسانی به افراد پس از نقض دادهها ارائه میدهد.
-
قانون حریم خصوصی مصرفکننده کالیفرنیا (CCPA)
این قانون الگویی مشابه با GDPR دارد که چگونگی مدیریت حریم شخصی دادههای کاربر را مشخص میکند.
-
قانون ساربنز-آکسلی (SOX)
این قانون در درجه اول مجموعهای از مقررات مالی برای افشای وضعیت مالی شرکتها است، اما شامل جنبهای از انطباق با فناوری اطلاعات است که استانداردی را برای چگونگی ذخیره دادههای مالی به صورت الکترونیکی تعیین میکند.
-
قانون قابلیت انتقال و پاسخگویی بیمه سلامت (HIPAA)
با دیجیتالی شدن بیشتر صنایع خدمات درمانی، HIPAA تبدیل به یک قانون اساسی شده است زیرا چگونگی ذخیره و انتقال اطلاعات بیمار با هدف به حداکثر رساندن حریم خصوصی را مشخص میکند.
- ISO 27001: این یک استاندارد فناوری اطلاعات است که توصیف میکند چگونه یک سازمان باید سیستم مدیریت امنیت اطلاعات (information security management system) خود را حفظ کند.
IAM چه مزایای دیگری دارد؟
در برخی موارد،مدیریت شرکت برای IAM سرمایه زیادی در نظر میگیرد. برای کمک به توجیه هزینه، مزایای زیر در مورد اتخاذ شیوههای IAM در کل شرکت را در نظر بگیرید.
-
انعطاف پذیری مکان
این روزها انتظار میرود کارمندان توانایی کار از خانه و سایر مناطق دور افتاده را داشته باشند. بدون پیگیری پروتکل های IAM، انجام این کار منابع IT را در معرض خطر قرار می دهد.
-
تشویق ادغام
راه حلهای IAM همگی بر روی سادهسازی مراحل احراز هویت و مجوزها و ارتباط آنها با سایر سیستمها و برنامهها متمرکز شدهاند. داشتن یک استراتژی IAM قوی به شرکت شما اجازه میدهد تا به سرعت رشد کرده و در جهتهای جدید گسترش پیدا کند.
-
مزیت رقابتی
زمانی که شیوههای امنیت IAM را دنبال کنید مشتریان شما مطلع میشوند. این میتواند باعث افزایش اعتبار سازمانتان شود و شما را از رقبا متمایز کند.
نحوه پیادهسازی مدیریت هویت و دسترسی
اگر قبلا سیستم IAM را پیاده سازی نکردهاید، گزینههای زیادی پیشرویتان وجود دارد. به هر حال، مجموعهای از بهترین اقدامات اصلی وجود دارد که شما باید دنبال کنید. هنگام خرید محصولات IAM، حتما مواردی را انتخاب کنید که این شیوهها را تقویت میکند و اجازه میدهد تا آنها به راحتی اجرا شوند.
برای کمک به شما در این روند، بهترین اقدامات IAM را به سه مرحله جداگانه تقسیم میکنیم. توجه داشته باشید که حتی راهحلهای IAM مبتنی بر ابر مانند کارگزاران امنیت دسترسی ابر (Cloud Access Security Brokers) نیازمند انجام کارهایی قبل از پیاده سازی محصول، در زمان عرضه و بعد از ایجاد سیستم IAM هستند.
قبل از پیادهسازی IAM چه فعالیتهایی انجام دهیم؟
عجله در اجرای IAM اغلب بیشتر منجر به مشکل میشود تا اینکه مسألهای را حل کند. به همین دلیل بسیار مهم است که از قبل برنامهریزی کنید و یک استراتژی مشخص برای نحوه اجرای IAM در سازمان خود تنظیم کنید.
- تیم پیاده سازی IAM را مشخص کنید و تعیین کنید که افراد و تیمها چه مسئولیتهایی در فرآیند خواهند داشت. اگرچه وظایف IAM معمولا به دوش گروههای IT است، اما شما از سراسر سازمان ذی نفعان مختلف درگیر کنید.
- راه حلهای مختلف IAM را از فروشندگان مختلف در نظر بگیرید و بستهای را تهیه کنید که متناسب با نیازهای شما باشد.
- نظرسنجی از سازمان خود انجام دهید که اطلاعات مربوط به منابع انسانی و فناوری، از جمله سخت افزار، نرم افزار و سیستمهای شبکه را جمعآوری کند. ابزاری مانند Varonis Data Classification Engine میتواند به خودکارسازی این فرآیند کمک کند.
پیاده سازی هویت و مدیریت دسترسی
بسته به نوع راهکار IAM که انتخاب میکنید، اجرای آن می تواند چندین هفته طول بکشد. اطمینان حاصل کنید که از منابع کافی برای تمرکز روی این وظایف برخوردار هستید بدون اینکه از مسائل دیگر منحرف شوید.
- فیلدهای کاربر خودکار را تنظیم کنید که دادهها را از سیستم منابع انسانی یا پرسنل شما وارد کند تا IAM شما همیشه آخرین اطلاعات و سوابق را داشته باشد.
- تأیید هویت چند عاملی را برای کاربران خاص و منابعی که حاوی دادههای حساس هستند فعال کنید. این فعالیت بخشی از مدیریت دسترسی ممتاز (PAM Privileged Access Management) است.
نگهداری سیستم IAM
- هشدارهای خودکار را قسمت ورود ایجاد کنید، تا در صورت مشاهده هرگونه تهدید امنیتی، به شما اطلاع داده شود.
- یک گروه کنترل کننده IAM ایجاد کنید که سیاستهای موجود را نظارت کند و در صورت لزوم تغییراتی را انجام دهد.
- به روزرسانیهای مربوط به فروشنده IAM خود را بررسی کنید تا سیستمهای شما همیشه مطابق با جدیدترین نسخهها باشند.
مدیریت هویت و دسترسی، امنیت سایبری سازمان شما را افزایش داده و کلیه سیستمهای یکپارچه شما را سادهتر میکند. با این حال، یکی از چالشهایی که پس از اجرای راه حل IAM باقی میماند، چگونگی استفاده از اصول آن در دادههای بدون ساختار است. IAM ممکن است بتواند به شما در مدیریت عضویت گروه دایرکتوری کمک کند، اما نمیتواند به شما بگوید که هر گروه به کدام دادهها دسترسی دارند. این مانند مدیریت کلیدهای روی یک دسته کلید است بدون اینکه بدانید کدام کلید کدام در را باز میکند.
پیراسک به شما کمک می کند تا ضمن مدیریت راحت سطح دسترسی کاربران، شرکت خود را مطابق با مقررات نگه دارید. داده یکی از با ارزشترین داراییهای شرکت شماس، بنابراین انجام اقدامات پیشگیرانه برای حفظ امنیت آن مهم است.