W zarządzaniu cyklem życia pracownika w organizacji kluczową rolę odgrywa skuteczny onboarding i offboarding. Istotnym elementem optymalizującym ten proces jest zarządzanie dostępami. Zapewnienie pracownikowi szybkiego włączenia się do zespołu poprzez przydzielenie mu odpowiednich uprawnień dla jego roli, a następnie odebranie mu ich po zakończeniu współpracy, przyczynia się do podniesienia poziomu bezpieczeństwa danych w firmie. Jak przeprowadzić ten proces płynnie i skutecznie, by uniknąć ryzyka wycieku danych?
Zarządzanie cyklem życia pracownika
W każdej firmie funkcjonuje tzw. cykl życia pracownika. Składa się on z kilku kluczowych etapów, ale w kontekście zwinności działania firmy oraz bezpieczeństwa danych szczególnie istotne są dwa: onboarding, czyli rozpoczęcie pracy w organizacji, oraz offboarding, związany z zakończeniem współpracy.
Te dwa etapy wymagają odpowiedniego zarządzania dostępami do danych firmowych. Jeśli proces przyznawania i odbierania uprawnień przebiega chaotycznie, może to prowadzić do nadania pracownikowi nadmiarowych uprawnień, które nie odpowiadają jego stanowisku. Takie działanie nie tylko narusza zasadę minimalnych dostępów, jaką nakłada RODO, ale również naraża firmę na ryzyko wycieku lub kradzieży danych oraz na kary finansowe. Dlatego kluczowe jest zapewnienie, aby proces zarządzania dostępami był zorganizowany i kontrolowany dla każdej tożsamości cyfrowej, czyli użytkownika w systemach informatycznych organizacji, który ma nadane uprawnienia do danych i zasobów firmowych adekwatnie do jego roli, stanowiska czy potrzeb.
Zarządzanie tożsamością cyfrową w tym procesie obejmuje dodatkowo administrowanie dostępem określane nazwą IAM (Identity Access Management). Dzięki systemowi klasy IAM można automatycznie zarządzać tożsamością oraz powiązanymi uprawnieniami przez cały okres zatrudnienia danej osoby. Co warto podkreślić, to to, że tożsamość cyfrowa może należeć nie tylko do pracownika danej firmy, ale także do osób z nią powiązanych m.in. zleceniobiorcy, podwykonawcy, dostawcy i jego pracowników, partnera biznesowego, klientów lub aplikacji, z którymi współpracuje organizacja.
Dzięki kontroli i odpowiedniemu zarządzaniu cyklem życia pracownika organizacja zabezpiecza się przed nadużyciami, wyłudzeniami czy kradzieżami danych. Dodatkowo system klasy IAM wspiera zachowanie zgodności z przepisami, takimi jak GDPR (RODO), dyrektywa NIS2, norma ISO 27001 czy Rekomendacja D KNF.
Zadbanie o zautomatyzowanie cyklu życia tożsamości poprzez wprowadzenie systemu IAM powinno być nieodzownym elementem strategii bezpieczeństwa i efektywności operacyjnej każdej organizacji.
Efektywny i bezpieczny onboarding: Zero Trust i RBAC
Zacznijmy od tego, że istnieje kilka praktyk gromadzenia (zinwentaryzowania) informacji o tożsamościach w systemach klasy IAM. W systemie HR zbierane są dane o pracownikach, natomiast informacji o współpracownikach, podwykonawcach i klientach należy szukać w innych źródłach. Mogą być one synchronizowane bezpośrednio z systemu kadrowego, wgrane za pomocą pliku Excel lub wprowadzone ręcznie bezpośrednio do systemu.
Przydzielanie dostępu nowym tożsamościom warto realizować w oparciu o model Zero Trust, czyli bezpieczeństwo bez zaufania („security without trust”). Zakłada on ograniczone zaufanie do każdego użytkownika i urządzenia logujących się do systemów organizacji. W myśl tej zasady, która obowiązuje również w RODO, każdej tożsamości nadawany jest dostęp do jak najmniejszej liczby systemów potrzebnych do pracy na konkretnym stanowisku lub przy danym projekcie.
Z praktyką Zero Trust łączy się RBAC (Role Base Access Control), czyli automatyzacja kontroli dostępu oparta na przydzieleniu ról. Model ten pozwala zadbać o to, by właściwa osoba automatycznie uzyskała przypisany do jej roli zakres minimalnych uprawnień, których potrzebuje do pracy oraz które są związane z jej funkcją. Może to uchronić firmę przed wyciekami danych osobowych i poufnych informacji w sytuacji, gdy dojdzie do kradzieży haseł do logowania użytkownika.
Jest to szczególnie korzystne dla firm, które używają wielu systemów, ponieważ mogą przydzielić kilkadziesiąt uprawnień dla danej tożsamości.
Przykład: Pracownik biurowy na wstępie dostaje dostęp jedynie do konta pocztowego oraz VPN (każdy kolejny pracownik, jeśli jego rola zostanie zdefiniowana jako „pracownik biurowy”, otrzyma na wstępie ten sam zestaw dostępów), z kolei księgowa może dodatkowo korzystać z systemu księgowego. Dostęp może być rozszerzany w zależności od potrzeb konkretnej tożsamości.
Role i zakresy ich dostępów mogą być ustalane indywidualnie przez organizację na podstawie atrybutów tożsamości. Najczęściej są to:
● jednostka organizacyjna,
● stanowisko,
● typ zatrudnienia (umowa o pracę, kontraktor),
● region,
● spółka.
Podsumowując, skuteczne zarządzanie onboardingiem, oparte na zasadach Zero Trust i RBAC, jest pójściem o krok dalej w zadbaniu o bezpieczeństwo danych przetwarzanych przez organizację i automatyzacji zarządzania dostępami w obrębie firmy. Uatrakcyjnia to również wizerunek firmy w oczach nowo przyjętego pracownika, który dzięki automatyzacji przydzielania dostępów może szybko wdrożyć się w funkcjonowanie przedsiębiorstwa już od pierwszego dnia pracy.
Skuteczny offboarding
Kluczowym etapem zarządzania cyklem życia pracownika jest także odebranie mu dostępu we właściwym czasie, ponieważ to właśnie poprzez tzw. „sieroce konta” najczęściej następują włamania i wycieki danych.
W momencie zakończenia współpracy z danym pracownikiem, system IAM stworzy automatyczne zamówienie na odebranie wszystkich dostępów danej tożsamości zgromadzonych w ciągu całego cyklu jej życia. Dzięki temu nie trzeba wyznaczać osoby odpowiedzialnej za wyłączanie uprawnień. W ten sposób można także uniknąć przeoczenia nieaktywnego konta w systemie.
Dodatkowo, przy wyborze systemu IAM warto zwrócić uwagę, czy daje on możliwość rejestrowania w celach audytowych wszystkich informacji o dostępach, które dana tożsamość posiadała i wszelkich zmianach w cyklu jej życia tj.: kiedy zostały nadane uprawnienia, przez kogo były akceptowane, w jakim czasie tożsamość była aktywna i kiedy odebrano dostępy.
PASK – system IAM
Właściwa organizacja i kontrola cyklu życia tożsamości jest kluczowa dla bezpieczeństwa danych w firmie. Dlatego stworzyliśmy autorski system IAM, który pozwala w łatwy sposób zarządzać dostępem do systemów. PASK jest rozwiązaniem dla firm, które chcą zadbać o bezpieczeństwo danych w wykorzystywanych zasobach. Bazuje na wszystkich wspomnianych modelach i zasadach organizacji dostępów. O szczegółach możesz przeczytać tutaj.
