Článek AG COM v klientském magazínu společnosti IBM
8. 06. 2011
Ve druhém letošním čísle magazínu THINK!, který je věnován výročí 100 let od založení IBM, byl publikován článek o řešení společnosti AG COM, a.s. v oblasti správy identit.
Přinášíme Vám přepis tohoto článku:
Správa identit pomáhá bezpečnosti i produktivitě
Prakticky všechny dokumenty dnes existují v elektronické podobě a probíhá v ní také většina komunikace. Na datových úložištích tak lze najít spousty nejrůznějších informací včetně citlivých osobních údajů. Aby se k uloženým datům nemohl dostat kdokoliv, je potřeba je chránit, na druhou stranu je ale také třeba zajistit k datům jednoduchý přístup těm, kdo s nimi potřebují pracovat. A právě to zvládá určit správa identit a přístupů (Identity and Access Management - IAM). Špičkovým produktem je v této oblasti IBM Tivoli Identity Manager.
Systém správy identit si musí poradit se dvěma protichůdnými zájmy: s co možná nejjednodušším přístupem ke zdrojům informací a se zamezením neoprávněného přístupu k nim. V podobě systému IBM Tivoli Identity Manager mají pracovníci IT v rukou nástroj, který jim jejich práci maximálně zjednodušuje a automatizuje. Pomocí uživatelských rolí a zásad umožňuje jednoduše a systematicky nastavovat práva pro celé skupiny různorodých uživatelů. Z pohledu uživatele je nasazení správy identity jednoznačně pozitivní změnou. Namísto několika různých přihlašovacích jmen a hesel pro přístup do různých systémů mu třeba může stačit jediné, nebo může být automaticky přihlášen do svých aplikací. Díky jednoduššímu nastavení také není problém v případě potřeby získat po patřičném schválení přístup do dalších systémů. Správci informační infrastruktury i vlastníci dat díky centralizaci správy identit ušetří čas, neboť přístupová oprávnění k různým zdrojům řeší prostřednictvím jediného nástroje. Není také problém nastavit speciální režim, který zpřístupňuje historii veškerých událostí a je vhodný pro případ auditu či kontroly. Zcela klíčovou roli při nasazení správy identit hraje implementátor. Nejde přitom jen o technickou stránku a napojení řešení na všechny ostatní systémy, což může být někdy mimořádně náročné. Zkušenosti implementátora pomáhají také při úvodním nastavování řešení a procesů tak, aby co nejlépe vyhovovalo potřebám koncových uživatelů, správců i vedení organizace. „Přestože už máme zkušenosti s implementací systému IBM Tivoli Identity Manager v nejrůznějších firmách a organizacích, nepodceňujeme počáteční analýzu. Díky ní můžeme vše dobře připravit a spolu se zákazníkem vyladit nastavení, abychom pak mohli samotnou implementaci realizovat bez zbytečných prodlev a slepých cest," vysvětluje Viktor Horák, ředitel Divize IT řešení a služeb společnosti AG Com, která se na podobná řešení specializuje. Na několika příkladech pak poukazuje na různorodé priority využití správy identit a řízení přístupů ve veřejném sektoru.
POTŘEBA PROPOJENÍ
Agentura zabývající se ochranou přírody řešila zásadní problém se sjednocením přístupových práv ve svém informačním prostředí, které - stejně jako v jiných orgánech státní správy - je ve velkém založeno na open-source produktech a zde bylo doplněno i o IBM Lotus Domino a databázi Oracle. Vyvinutý portál pro správu identit ukládá informace o jedincích v IBM Tivoli Directory Server a pomocí integračního nástroje IBM Tivoli Directory Integrator je sdílí s ostatními systémy. Kromě dokonalého přehledu, systému jednotného hesla a okamžitého řešení změn na všech čtyřiceti pobočkách je řešení připraveno na napojení do přístupové vrstvy základních registrů a bude možné jej využít pro federovaný přístup k informacím potřebným pro řešení správních agend.
OCHRANA PŘED ZNEUŽITÍM ČI ÚNIKEM DAT
Dalším výrazným požadavkem je zabezpečit dokumenty před jejich únikem a zneužitím. Je až překvapivé, kolik důvěrných informací se dostane na veřejnost. Při správném nasazení správy identit a přístupů je možné mít dokonalý přehled o tom, kdo má k jakým zdrojům přístup, a je možné i zpětně snadno dohledat, kdo příslušná oprávnění vydal. Už samo vědomí existence takového systému pachatele často odradí. Nasazení správy identit nad systémem pro řízení dokumentů (Document Management) realizovala firma AG Com na několika moravských univerzitách. Nástroj IBM Tivoli Directory Integrator pomohl sjednotit správu identit pro studenty, zaměstnance a ostatní neakademické pracovníky. Podle zařazení, fakulty a katedry se nyní automaticky nastavují pravidla pro práci s dokumenty. Systém zároveň automatizovaně řeší i mimořádně velkou roční obměnu osob, kdy školy opouštějí absolventi a přicházejí noví studenti.
NÁSTUPY ZAMĚSTNANCŮ A ORGANIZAČNÍ ZMĚNY
Česká správa sociálního zabezpečení řešila další typický problém - přístupy zaměstnanců podléhají, vzhledem k práci s přísně důvěrnými údaji, striktnímu víceúrovňovému schvalovacímu cyklu, ale zároveň je nutné při nástupu zaměstnance i častých organizačních změnách zkrátit dobu zajištění odpovídajících autorizací ze dnů na minuty. Ve spolupráci několika dodavatelů byl proto vyvinut autorizační portál založený na produktech IBM Tivoli Identity Manager a IBM Tivoli Access Manager. Díky průběžné vazbě na organizační strukturu, automatizovanému schvalovacímu procesu a aplikaci čipových karet pro autentizaci uživatelů bylo možné zajistit stoprocentní produktivitu zaměstnanců bez zbytečné prodlevy, ale s plnou kontrolou jejich oprávnění včetně možnosti zpětného auditu.
JEDEN ÚČET PRO VŠECHNY?
V jedné velké fakultní nemocnici se vedení IT oddělení potýkalo s problémem, který se opakoval i v jiných zdravotnických zařízeních. Pro přístup k určitým datům byl využíván jeden účet sdílený mnoha zaměstnanci. Přístupové údaje se předávaly na lístečcích, a v některých případech byl účet dokonce veden na zaměstnance, který v nemocnici dávno nepracoval. Díky nasazení IBM Tivoli Identity Manager získal každý pracovník přístup pod svým jménem. Při změně pracoviště či ukončení pracovního poměru jsou mu přístupy automaticky adekvátně změněnynebozablokovány. Systém je navíc využitelný i pro řízení přístupu ke sdílené zdravotnické dokumentaci a např. snímkům pacientů, kdy s postupující digitalizací je okamžitá dostupnost adekvátních dat v kritických situacích často doslova životně důležitou potřebou.
VÍCE INFORMACÍ:
Viktor Horák, AG COM, a.s.
