Secoz - כריית תפקידים - מיסודות אבטחת המידע

עמוד הבית

אודות

השירותים שלנו

חדשות

כריית תפקידים - מיסודות אבטחת המידע

מאת גלעד ירון, SECOZ

IT Governance, Risk & Compliance (IT GRC)

פרק ראשון ובו יסופר על מכונית ללא רישיון נהיגה

ניתן לסכם את כל תורת אבטחת המידע בשלוש אותיות – CIA. שמירה על חיסיון המידע (Confidentiality), שלמותו (Integrity) וזמינותו (Availability).

אחת מן הדרכים החשובות להבטיח את כל אלה היא בקרת גישה: לאפשר לכל אחד גישה למידע לו הוא נזקק , ולו בלבד.

עד כאן זה נשמע פשוט: נבחן עבור כל משתמש מה המערכות, האפליקציות, סוגי המידע והפעולות להן הוא נזקק ונאפשר לו לגשת אליהן ורק אליהן. אז זהו, שזה לא ממש פשוט. סביבות המחשוב הופכות יותר ויותר מורכבות.

במרבית הארגונים המודרניים כמויות רבות של משתמשים, מערכות, אפליקציות וסביבות. מעקב מתמיד אחר כל אחד מן המשתמשים ווידוא כי הוא מקבל את ההרשאות להן הוא זקוק ואותן בלבד הינה משימה הדורשת מאמץ עצום וזמן רב ולמעשה, ברוב המקרים, אינה מעשית כלל ועיקר.

כיצד מתמודדים עם בעיה זו? יש פתרון! התקינו שלוש אותיות באנגלית – IdM – ובא לציון גואל.

צר לי ידידי. מערכות IdM (ניהול זהויות) יכולות להוות תשתית נפלאה לפישוט וייעול ניהול המשתמשים בארגון, אך התקנת מערכות אלו ללא ניתוח של בקרת הגישה של המשתמשים – למי מותר מה – שקולה לרכישת מכונית מפוארת ללא לימוד נהיגה.

מאידך, כפי שאראה בהמשך מאמר זה, לניתוח תפקידים ערך רב גם ללא כל קשר להתקנת מערכת IdM בארגון.

התפקיד של התפקיד

ניהול פרטני של הרשאות משתמשים בצורה ידנית או אוטומטית הינו, כאמור, משימה כמעט בלתי אפשרית. אחת הדרכים לפשט משימה זו הינה באמצעות הגדרת פרופילי הרשאות המשותפים למספר משתמשים בארגון והקפדה על כך שכל אחד מן העובדים בארגון יהיה משויך לפרופיל אחד או יותר. פרופילים אלה הנגזרים, בדרך כלל, מן התפקידים בארגון (ולכן מכונים Roles) הינם אבני בניין יסודיות להענקת הרשאות: משתמש משויך לפרופיל, פרופיל מקבל סט של הרשאות.

תפיסה זו נחשבת היום כתפיסה המובילה בעולם ניהול הגישה והיא אף מוגדרת בתקן בינלאומי הדן בהרשאות גישה (Role Based Access Control, ANSI 359-2004).

כריית תפקידים, אומנות והחיים באופן כללי

ניהול ההרשאות מבוסס התפקידים היא, אם כן, התפיסה המובילה היום בעולם. כיצד, אם כן, נערכים להגדרת הרשאות מבוססת תפקידים?

משימה זו דורשת מיומנות ומידה לא קטנה של אומנות. צריך ידע וניסיון רב כדי להגדיר את התפקידים בארגון כך שיהיו יעילים ככל האפשר (שלא יהיו יותר מידי תפקידים. הגדרה של תפקיד לכל משתמש היא מידית – אבל לא ממש פותרת את הבעיה), ויחד עם זאת לא יעניקו למשתמשים הרשאות שאינם זקוקים להם.

עבודת הניתוח מכונה כריית תפקידים – Role Mining. לתפיסתנו, הדרך הנכונה לבצע משימה זאת עוברת דרך שני צירים:

מלמעלה למטה (Top Down) – במישור זה מנתחים את הפונקציות הארגוניות ואת עיסוקים ומשייכים לכל עיסוק את המערכות, האפליקציות והמידע אשר יש לכל עיסוק כזה צורך בהם

מלמטה למעלה (Bottom Up) – מעט מאוד ארגונים מתחילים את ניתוח התפקידים ללא אוסף מערכות שכבר קיים ועובד בשטח. במערכות אלה קיימים משתמשים ובדרך כלל קיימים גם, הלכה למעשה, תפקידים. במישור זה מנתחים את ההרשאות הקיימות בפועל ומנסים למצוא מכנה משותף לקבוצות משתמשים תוך אפיון קבוצות משתמשים אלה לפי פרמטרים שונים בארגון.

כריית תפקידים ותרומתה לאנושות

תהליך כריית התפקידים תורם רבות לארגון במישור הארגוני, התפעולי, האבטחתי והתחוקתי:

אישור תפקידים – Roles Recertification: תוך תהליך כריית התפקידים מזהים משתמשים אשר אינם קיימים בארגון, תפקידים אשר אינן משויכים לאיש, אנשים אשר להם תפקידים אשר אינם מתאימים לתפקידים בפועל ועוד. ביצוע תהליך זה על מקור המידע של המשתמשים בארגון (כמו למשל Active Directory) יתרום לסדר התפעולי של הארגון ובכך יעזור לניהול השוטף של המערכת. כמו כן עונה תהליך זה על הוראה מפורשת הנובעת מרגולאציות שונות (כגון SOX) הדורשת לוודא מידי פרק זמן קבוע את נכונות הרשאות המשתמשים בארגון

הפרדת רשויות – :Separation of Duties הפרדת הרשויות מבטיחה כי לא יהיה משתמש בודד אשר יוכל לבצע את כל הפעולות הנדרשות כדי להשלים משימה מסוימת. דוגמא לנושא זה הינה הוראת תשלום ואישורו. אין לאפשר לאדם בודד לבצע את שתי הפעולות הללו – כי בכך עלול להיווצר פתח למעילות. כריית תפקידים עוזרת בהגדרה זו.

הזכויות אותן אתה צריך, אף טיפה יותר -Principle of Least Privilege : לכל אחד יש להעניק אך ורק את אותן הרשאות הנדרשות לו על מנת לבצע את תפקידו. יישום עקרון זה מצריך הכרת התפקיד אותו ממלא המשתמש, הגדרת אוסף המשאבים המינימאלי ההכרחי למילוי תפקיד זה והגבלתו לסט הרשאות המגבילות אותו למשאבים אלה בלבד.
כריית תפקידים עוזרת בהגדרה זו.

הוספת ערך אמיתי למערכת IdM - כפי שציינתי בתחילת מאמר זה, לכריית תפקידים ערך רב גם ללא קשר למערכת IdM. יחד עם זאת, בהינתן תהליך כריית תפקידים בארגון, למערכת ניהול זהויות תרומה רבה למיכון תהליך ניהול המשתמשים בארגון .

כריית תפקידים – עניין למקצוענים

חקירה והגדרה של תפקידים בארגון מוכרת היום כמקצוע ומומחיות העומדים בפני עצמם. מקצוע זה מכונה הנדסת תפקידים – Role Engineering.

כמו כל מקצוע, גם מקצוע זה מצריך ידע, ניסיון וכן גישה למקצוע שאינה אלה אומנות.

חשוב לבצע תהליך זה בעזרתם של אנשי מקצוע אשר צברו ידע וניסיון מעשי בביצוע תהליך זה. סביר להניח כי מכונאי רכב בעל ניסיון ומוניטין יטפל במכוניתך במיומנות ומקצועיות רבה יותר מנגר מדופלם (דבר שאינו מפחית דבר מאיכותם ורמת הגימור של הארונות שהוא מייצר).