Контакты
Подписка
МЕНЮ
Контакты
Подписка

Изменение корпоративного мышления относительно внедрения систем IAM

Изменение корпоративного мышления относительно внедрения систем IAM

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Изменение корпоративного мышления относительно внедрения систем IAM

Различные организации по всему миру сталкиваются со все большим числом угроз безопасности в своей работе, чем когда-либо ранее. Нарушения конфиденциальности, вредоносные атаки хакеров и кража данных собственными сотрудниками – вот лишь некоторые из проблем, с которыми компаниям приходится считаться и бороться. Эти угрозы безопасности также могут повлечь за собой необходимость применения более практического подхода к вопросам безопасности, при котором контроль физического доступа к внутренним ресурсам будет иметь высокий приоритет для многих компаний.
Ярослав Бартон
Региональный менеджер по продажам компании HID Global

IAM – краеугольный камень в системах информационной безопасности

Успешная организация контроля физического и логического доступа к ценным ресурсам или конфиденциальным данным – это один из наиболее эффективных способов защиты от угроз, с которыми компании непрерывно сталкиваются на сегодняшний день.

Скрытые риски с точки зрения безопасности могут нанести существенный ущерб репутации компании, подорвав доверие инвесторов и рынка. Это может нарушить деятельность компании и даже оказать влияние на обслуживание клиентов.
В то же время компаниям приходится бороться с огромным количеством различных норм, как, например, Sarbanes-Oxley, ISO9000 и Basel II, требующих применения более последовательного и всестороннего подхода к вопросам управления рисками, корпоративного руководства и соблюдения нормативных требований в ежедневной работе.

Под влиянием этих требований средства идентификации и управления доступом (IAM) быстро укрепляют свои позиции в качестве краеугольного камня в системах информационной безопасности. При этом непрерывно растет число организаций, открывающих для себя потенциальные преимущества эффективной программы IAM с точки зрения экономии расходов, повышенного уровня обслуживания, более надежного управления IT-инфраструктурой и более точного соблюдения нормативных требований.

Согласно результатам опроса, проведенного компанией Forrester, занимающейся исследованием технологий и рынков, более 75% специалистов по информационной безопасности в британских, французских и немецких компаниях признались в том, что вопросы управления, рисков и совместимости служат для них стимулами для рассмотрения возможностей внедрения решений IAM в их организациях.

Так почему же, если большинство профессионалов в области IT видит необходимость во внедрении систем IAM, эта идея до сих пор не нашла признания на глобальном уровне?

Цена вопроса

Одним из основных препятствий, названных компаниями, которые рассматривали возможность внедрения систем IAM, но затем неохотно отказались от этой идеи, являются затраты. Под разрушительным действием кризиса в IT-бюджете многих организаций образовалась существенная брешь, при этом зачастую другие статьи расходов имеют более высокий приоритет, чем информационная безопасность. Однако урезание IT-бюджета компании может привести к значительному риску для ее безопасности и финансов.

Перед любой организацией, планирующей внедрение системы IAM, стоит задача объединения систем контроля физического и логического доступа с целью выявления возможностей повышения качества обслуживания клиентов.

Средства, сэкономленные за счет сокращения бюджета, совсем скоро могут быть проглочены расходами, вызванными сбоями в работе системы безопасности. Полностью представить в количественной форме финансовое влияние нарушений системы безопасности невозможно. По оценкам института Ponemon, в случае нападения на систему хранения данных стоимость каждой взломанной записи составляет около 60 фунтов стерлингов. Согласно исследованию, проведенному Datamonitor, системы безопасности с применением смарт-карт позволяют сэкономить более $2 млн в расчете на каждые 2 тысячи сотрудников.

Тактика или стратегия?

Еще одной причиной того, что средства IAM пока не получили широкого распространения в организациях, является то, что в определенных кругах они все еще рассматриваются как тактическое, а не стратегическое решение. Слишком многие компании все еще воспринимают IAM как последовательность отдельных конкретных проектов, а не как процесс, обладающий динамикой подобно самой компании. Однако тактика внедрения системы IAM внутри организации "под дулом пистолета" может быть, мягко говоря, контрпродуктивной. Жонглирование различными взаимоисключающими системами обречено на провал. Такой способ реализации систем IAM является не только дорогостоящим и ресурсоемким – недостаточная интеграция или координация между отдельными системами создает существенную и ненужную сложность. Это зачастую приводит к пониженной активности руководства в вопросах финансирования и инвестиций, а также к недостаточной заинтересованности сотрудников.

Смарт-карты

Системы IAM могут быть своего рода минным полем для компаний, осознающих необходимость их внедрения, но не знающих, с чего начать. Во многих организациях очевидной отправной точкой являются смарт-карты. Давайте рассмотрим одну из основных проблем для IT-отделов различных компаний: управление процедурами идентификации с минимальными временными затратами по своей природе является сложной задачей, однако существование множества совершенно различных профилей для каждого пользователя в пределах одной компании не пугает менеджеров IT-отдела. Если пользователи применяют несколько профилей для доступа к информации, хранящейся на различных ресурсах, приведение этой информации к единому формату в ходе объединения систем может стать очень сложным процессом.


Недавнее исследование, проведенное компанией Sophos, специализирующейся в области безопасности информационных систем, показало, что треть всех участников опроса использует один пароль для доступа ко множеству ресурсов. Это означает, что взлом одной учетной записи пользователя ставит под угрозу все его учетные записи. Комбинация из имени пользователя и пароля по-прежнему является наиболее популярным способом организации доступа к информационным системам, несмотря на то что недостатки этого способа хорошо изложены.

Двухфакторная аутентификация

Компании, занимающие лидирующее положение в области безопасных корпоративных карт идентификации, разработали новый способ двухфакторной аутентификации для управления   и   защиты   собственных систем контроля доступа. В дополнение к PIN-коду, который известен только пользователю, для повышения общего уровня безопасности при входе в компьютерную систему также необходимо предъявить аппаратное средство идентификации (карту компании). Еще лучше, если эту же смарт-карту можно использовать для контроля физического доступа на входах в различные помещения компании, что делает данное решение одним из наиболее эффективных и экономически выгодных способов защиты рабочего пространства и обеспечения информационной безопасности.

Широкий спектр применения

Смарт-карты находят эффективное применение не только в корпоративных системах. На сегодняшний день они позволяют решить некоторые давно известные сложные задачи в области здравоохранения: например, организовать охрану пациентов и персонала с сохранением конфиденциальности данных пациентов. Например, в Великобритании многие больницы постепенно открывают для себя преимущества смарт-карт для контроля физического доступа в больничные здания и добавления логической безопасности в компьютерные сети, служащие для хранения конфиденциальной информации пациентов.

Технология смарт-карт непрерывно развивается. На сегодняшний день карты способны обеспечить три уровня безопасности: одно-, двух- или трехфакторную аутентификацию. При использовании однофакторной аутентификации наличия карты достаточно, чтобы получить доступ к системе или открыть дверь. Двухфакторная аутентификация означает повышенную безопасность за счет дополнительного PIN-кода. Ступенью выше расположена трехфакторная аутентификация, при которой используются PIN-код и дополнительное средство идентификации.

Раньше злоумышленникам было достаточно легко проникнуть на территорию больницы и остаться незамеченными в зонах, предназначенных только для  персонала.  В некоторых редких случаях такие пробелы в системе безопасности приводили к кражам младенцев из детского отделения. Смарт-карты призваны решить эту проблему физического доступа за счет шифрования, обеспечивающего различные уровни доступа в помещения больницы для определенного персонала.

Специалисты-медики также используют смарт-карты для быстрого доступа к конфиденциальным данным пациентов через сеть. Таким образом, в дополнение к обеспечению безопасности личной информации пациентов применение смарт-карт в системе надежного логического доступа также эффективно с точки зрения экономии времени.

В случае их правильной реализации средства идентификации и управления доступом способны помочь организациям повысить уровень безопасности данных и операций и при этом облегчить пользователям доступ к нужной им информации.

Современные тенденции

В современных условиях повышенного риска средства IAM быстро становятся основной и неотъемлемой частью IТ-инфраструктуры компаний. Рассчитанные в первую очередь на решение некоторых крупных задач по обеспечению безопасности, средства IAM используют для этого открытый и практический подход.


Переносные и надежные смарт-карты становятся все более ценным инструментом обеспечения физической безопасности и гарантии конфиденциальности электронных данных в различных компаниях, больницах, правительственных учреждениях и любых организациях, стремящихся к повышению безопасности. Если взвесить преимущества средств идентификации и управления доступом по сравнению с затратами в случае нанесения ущерба репутации компании, взлома системы безопасности и несоблюдения нормативных требований, системы IAM способны предоставить огромную ценность за счет экономии времени и денежных средств с одновременной защитой ресурсов компании.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2011
Посещений: 7188

Приобрести этот номер или подписаться

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций