Firma One Identity, lider w zarządzaniu tożsamością i dostępem, opublikowała raport „Assessment of Identity and Access Management in 2018”[1] z wynikami badania, które pokazują najczęstsze problemy i błędy w zarządzaniu tożsamością i dostępem.
Badanie prezentujące dane na temat praktyk IAM (Identity and Access Management) i PAM (Privileged Access Management) w organizacjach na zlecenie One Identity przeprowadziła firma Dimensional Research. Wzięło w nim udział ponad 1000 specjalistów ds. bezpieczeństwa IT w średnich i dużych przedsiębiorstwach, którzy odpowiedzieli na pytania dotyczące stosowanych technologii, praktyk, nawyków, wyzwań i największych obaw związanych z zarządzaniem tożsamością i dostępem.
Wyniki badania One Identity przedstawiają niezbyt optymistyczny obraz praktyk IAM i PAM w organizacjach na całym świecie. Prawie jedna trzecia firm nadal polega na przestarzałych metodach IAM/ PAM, np. korzysta z prowadzenia zapisów logów na papierze lub używa arkuszy kalkulacyjnych do zarządzania kontami uprzywilejowanymi. Co piąty specjalista ds. bezpieczeństwa IT przyznaje, że nie ma możliwości sprawdzenia, w jaki sposób użytkownicy wykorzystują dostęp do danych po wyjściu z pracy. Z kolei w co dziesiątej organizacji proces resetowania jednego hasła zajmuje ponad 30 minut!
Raport One Identity ujawnia błędy i powszechny brak zaufania do stosowania dobrych praktyk w zakresie kontroli dostępu i zarządzania kontami uprzywilejowanymi. Co więcej – wyniki badania pokazują, że dla organizacji na całym świecie nadal ogromnym problemem jest wdrożenie podstawowych zasad i procedur zarządzania tożsamością i dostępem, a w szczególności zarządzania kontami uprzywilejowanymi. Dwie trzecie organizacji przyznaje uprzywilejowany dostęp partnerom zewnętrznym, kontrahentom lub dostawcom. Aż 75% specjalistów ds. bezpieczeństwa IT udostępnia uprzywilejowane hasła innym osobom (zajmującym podobne stanowisko w organizacji), a co czwarty przyznaje, że jest to stale praktykowane. Przy czym tylko 13% respondentów jest całkowicie pewnych bezpieczeństwa swoich praktyk PAM, a nie ufa im aż 22%. Konta uprzywilejowane są niewłaściwie zarządzane i zabezpieczone – z czego zdają sobie sprawę specjaliści bezpieczeństwa IT. Oprócz 31% firm, w których zarządzanie kontami uprzywilejowanymi jest wykonywane ręcznie, w 4% organizacji dostęp do kont uprzywilejowanych nie jest w ogóle kontrolowany.
Raport stwierdza również, że poważnym problemem wpływającym zarówno na bezpieczeństwo organizacji, jak i wydajność pracowników jest provisioning i deprovisioning. W 68% przypadków resetowanie hasła użytkownika trwa pięć minut lub dłużej, przy czym 1 na 10 respondentów przyznaje, że wykonanie tego zadania trwa dłużej niż 30 minut. W 44% organizacji zapewnienie dostępu nowemu użytkownikowi do wszystkich wymaganych aplikacji i systemów (provisioning) zajmuje od kilku dni do kilku tygodni. Z kolei w co trzeciej organizacji deprovisioning byłych pracowników może trwać kilka dni, a nawet tygodni. Co gorsza, 1 na 20 respondentów przyznaje, że nie ma możliwości sprawdzenia, czy użytkownikowi zostały odebrane wszystkie uprawnienia dostępu do aplikacji i systemów. Dla 27% respondentów najgorszym „koszmarem” związanym z IAM jest niezadowolony pracownik, który udostępnia innym wrażliwe informacje. Jednocześnie zaskakujący jest fakt, że 8 na 10 ankietowanych specjalistów ds. bezpieczeństwa IT przyznaje, że łatwo mogliby wykraść poufne informacje, gdyby odeszli z organizacji.
Najlepszym sposobem na usprawnienie IAM w organizacji jest wdrażanie najlepszych praktyk zarządzania tożsamością i dostępem oraz stosowanie odpowiednich rozwiązań informatycznych, np. narzędzi One Identity. Rozwiązania te automatyzują zarządzanie tożsamością, zapewniają kontrolę dostępu oraz bezpieczne zarządzanie kontami uprzywilejowanymi. Dobre praktyki IAM i PAM są kluczowe dla bezpieczeństwa każdej organizacji – ale raport pokazuje, że firmy często mają z tym problem i większość specjalistów bezpieczeństwa IT zdaje sobie z tego sprawę. Organizacje muszą pamiętać, że nie przestrzegając podstawowych zasad zarządzania tożsamością i dostępem narażają się na duże ryzyko związane z nieuprawnionym dostępem i naruszeniem bezpieczeństwa, a także zakłóceniem działalności biznesowej.
Badanie „Assessment of Identity and Access Management in 2018„
Badanie zostało przeprowadzone przez Dimensional Research na zalecenie One Identity wśród specjalistów IT odpowiedzialnych za bezpieczeństwo IT w średnich i dużych organizacjach i posiadających znaczną wiedzę na temat IAM i PAM. Ankieta zawierała szereg pytań dotyczących doświadczeń i wyzwań związanych z zarządzaniem dostępem i tożsamością. W badaniu wzięło udział 1005 przedstawicieli organizacji ze Stanów Zjednoczonych, Kanady, Wielkiej Brytanii, Niemiec, Francji, Australii, a także z Singapuru i Hongkongu. Raport podsumowujący badanie jest dostępny bezpłatnie na stronie: www.oneidentity.com/raport
[1] „Assessment of Identity and Access Management in 2018”, A Global Survey of IT Security Professionals, 10.2018