Zarządzanie zgodnością uprawnień z regulacjami (Compliance)

Regulacje bezpieczeństwa przybierają różne formy, ale zawsze odnoszą się do poufności, integralności i dostępności danych. Poufność oznacza, że poszczególne dane powinny być dostępne tylko dla uprawnionych użytkowników. Integralność oznacza, że dane są nadal ważne i nie zostały zmienione przez osoby bez autoryzacji. Dostępność oznacza, że dane mogą być wykorzystane w rozsądnym czasie. Wszystkie z powyższych obszarów wymagają skutecznego systemu Zarządzania Tożsamością. Aby zapewnić odpowiedni poziom poufności i integralności danych, organizacja musi kontrolować dostęp do danych. Ponieważ zmiany uprawnień i kont są zazwyczaj bardzo częste, stanowi to bardzo poważne zadanie. Niebezpieczną konsekwencją niewystarczającej kontroli nad tym procesem jest pozostawianie pracownikom, którzy zmienili stanowisko lub odeszli z firmy starego zestawu uprawnień. Stanowi to złamanie procedur i polityk Zarządzania Tożsamością. Z punktu widzenia operacji IT, pozostawione uprawnienia są tylko niewielkim wyłomem w prawidłowym działaniu systemów i w związku z tym akcjom naprawiającym taką sytuację często przypisywany jest niski priorytet. Z punktu widzenia regulacji jest to jednak poważne naruszenie przepisów prowadzące do potencjalnych kar czy procesów sądowych.

Jedną z głównych funkcjonalności dostarczanych przez oferowane przez CompFort Meridian systemy zarządzania tożsamością jest możliwość automatyzacji procesu weryfikacji rzeczywistych uprawnień posiadanych przez użytkowników w systemach i aplikacjach z uprawnieniami, które użytkownik powinien posiadać. Wykorzystanie konektorów monitorujących systemy i aplikacje pozwala na wykrywanie zmian uprawnień na systemach nie zleconych przez system Zarządzania Tożsamością oraz ich raportowanie. Pracownicy przedsiębiorstwa odpowiedzialni za kontrolę zgodności z regulacjami mogą cyklicznie otrzymywać analizy i raporty, przynoszące historyczną, bieżącą i przyszłą perspektywę, dzięki której można zidentyfikować słabe punkty i wdrożyć akcje naprawcze.

Rozwiązania IdM umożliwiają audytowanie oparte o schemat kontroli przyznawanych uprawnień, kontroli uprawnień rzeczywiście nadanych i kontroli uprawnień rzeczywiście wykorzystywanych. Taki schemat umożliwia szybką i skuteczną identyfikację uprawnień nadmiarowych lub niedomiarowych. Weryfikacja wyjątków dla zdefiniowanych reguł kolizyjnych pozwala realizować wymaganie kontroli rozdzielności uprawnień na obsługiwanych systemach. Rozwiązanie może zostać rozszerzone o kontrolę aktywności systemowej i budowę polityk implementujących wytyczne pochodzące z regulacji prawnych i przetwarzanych zgodnie z SOX, ISO27001, GLBA, HIPPA, ISO17799 lub innych własnych.