Bezpečnostní metriky pro systémy správy identit

Coby přesně vymezený finanční či nefinanční ukazatel nebo kritérium slouží metrika k hodnocení úrovně efektivnosti konkrétní oblasti řízení podnikového výkonu a jeho efektivní podpory prostředky IS/ICT. Měla by být konzistentní a její sledování by nemělo být náročné na zdroje. Skupinu metrik sdružených za určitým cílem (tzn. vztahujících se ke konkrétní oblasti, procesu či projektu) nazýváme „portfolio metrik".

Metriky pro vyhodnocení rizik kvantifikují aktiva, systémové prostředky, informační zdroje, hrozby či zranitelnosti, ale mohou hodnotit i přijatá opatření. Díky této kombinaci prvků a přístupů a při použití rozličných nástrojů­ (CRAMM, RA2, FRAP apod.) lze vytvořit model rizik, na jehož základě lze vytvořit plán ochrany aktiv. Ten by měl být především proaktivní a preventivní - protože známe své systémy a jejich zranitelnost, můžeme ji řídit a minimalizovat. O poznání složitější je to s hrozbami vnějšího prostředí - ty nemůžeme ovládat ani eliminovat, ale i v jejich případě je možné definovat bezpečnostní metriky, které nám je pomohou definovat a snížit potenciální riziko.

Správa identit

Téměř každý systém či aplikace mají definovány své vlastní procedury a nástroje pro přístup uživatelů, což s sebou přináší množství různých správců, nástrojů administrace a různá bezpečnostní pravidla.

Cílem správy identit (Identity Management - IM) je sjednotit správu přístupů do jedné aplikace s jednotným rozhraním a eliminovat tak rozdíly ve správě různých systémů. To umožní podstatné zjednodušení celého­ procesu přidávání, modifikace a mazaní přístupových oprávnění a to při respektování bezpečnostních politik a pravidel v organizaci. Systémy správy identit jsou tedy aplikace, které definují vztah mezi osobou reprezentovanou dostupnými údaji získanými z personálních systémů nebo jiných zdrojů dat a účtem poskytujícím přístup k požadovaným informacím, aplikacím a systémům. Na základě vstupních informací jsou buď automaticky, nebo na žádost spouštěny procesy, které podle přesně stanovených pravidel vedou k vytvoření nebo modifikaci účtů a dalších nastavení tak, aby příslušná osoba mohla provádět všechny požadované činnosti zajišťované IT.

Standardně proces přidělování přístupů ke zdrojům probíhá tak, že pracovník sepíše žádost o přístupové oprávnění a předá ji svému nadřízenému ke schválení. Dále žádost putuje k formálnímu posouzení a následně dojde k její realizaci. Běžně však nastává situace, že je žádost nekompletní a v důsledku toho dochází k prodloužení doby konečné realizace požadavku.

V IM řešeních všechny tyto problémy odpadají­. Žádost je nahrazena zadáním příslušného požadavku přímo v IM systému. Pracovník nebo pověřená osoba pouze požádají prostřednictvím elektronického formuláře o vytvoření nebo změnu přístupu, automaticky se doplní potřebné údaje a žádost je přímo v rámci systému předána ke schválení, je-li to vyžadováno. Systém sám provádí kontrolu zadaných údajů a upozorní zadavatele na případné nedostatky. Schválený požadavek je ihned nebo v naplánovaný čas automaticky­ realizován a po dokončení procesu je o tom zadavatel informován (průběh realizace může uživatel, který požadavek vytvořil, po celou dobu sledovat). Výsledkem procesu je přidělení přístupového oprávnění do aplikace nebo systému.

Takto zjednodušeně se lze dívat na IM z pohledu uživatele. Z pohledu bezpečnostního správce je situace o něco složitější. Proto je důležité zavedení správných bezpečnostních metrik, aby bylo možné provádět analýzy, zda IM nezvyšuje úroveň bezpečnostního rizika pro systémy organizace.

Ve své nejjednodušší implementaci IM poskytuje základ pro řízení a kontrolu přístupových oprávnění a příslušná bezpečnostní architektura musí odrážet to, jaké informace v sobě IM zahrnuje a do jakých aplikací umožňuje přístupy. Bezpečnostní studie jeho­ nasazení by proto měla navrhnout zejména politiky, nastavení rolí, schvalovací postupy, způsoby pověření jednotlivých digitálních identit, vyhodnocování „audit logů", filtry pro přidělování přístupových oprávnění a další. Tyto informace jsou důležité nejen pro zajištění bezpečnosti, ale i provozu Správy identit vůbec.

Systémy pro vytváření, editaci a mazání účtů, virtuální adresáře (které zprostředkují dotazy pro identitní data přes jednotlivé repozitory) a meta adresáře (které konsolidují politiku a management celého systému identit) jsou bohatým zdrojem metrik, protože tyto systémy typicky obsahují kritická metadata o definici identit, jejich umístění a stavu.

Příklady metrik

• autorizační atributy sloužící k přístupu do různých systémů a porovnání, zda jsou dostatečné;

• počet skupin a počet uživatelů majících účty v jednotlivých aplikacích;

• počet vyřízených žádostí včetně času na vyřízení a další údaje sloužící k měření efektivnosti systému jako například efektivita centralizované správy uživatelských účtů (doba od podání počáteční žádosti do doby vyřízení);

• přehled spolehlivosti identifikačních a autorizačních mechanismů - přehled subjektů (zdrojů) užívajících osvědčené, na standardech založené autentizační autorizační protokoly oproti těm, které používají proprietální řešení přístupových mechanismů;

• použití systémových záznamů - sledování počtu úspěšných přihlášení, počtu neúspěšných přihlášení, počtu žádostí, autorizace;

• jak jsou systémy, uživatelé, skupiny a management distribuované v systému a jaké jsou podporovány standardy a modely;

• počet účtů, na které se po určitou dobu nikdo nepřihlásil;

• množství účtů s heslem starším než je určitý časový rámec;

• počet generických účtů (uživatelských nebo systémových);

• počet účtů vývojářů majících přístup do produkčního prostředí;

• množství změn v přístupech nastavených na lokální platformě;

• počet platforem se specifickým administrátorským nástrojem vyžadujícím lokální zásah.

V oblasti bezpečnosti informací přišlo použití metrik na řadu zejména se zaváděním systémů řízení bezpečnosti informací dle ISO 27001, kde jednou z fází modelu PDCA je monitorování a přezkoumávání. U této fáze je jedním z požadavků měřit účinnost zavedených opatření pro ověření toho, zda byly naplněny všechny požadavky na bezpečnost.

Jak již bylo uvedeno, systémy pro správu identit obsahují řadu informací, ze kterých lze potřebné metriky zejména pro oblast definovanou v BS ISO/IEC 17799 jako správa přístupů snadno sestavit a sledovat je bez velkých nároků na dodatečné zdroje.