Η Διαχείριση Ψηφιακών Ταυτοτήτων (Identity Μanagement) είναι το σύνολο των επιχειρηματικών διαδικασιών και η αντίστοιχη τεχνολογική υποδομή, με σκοπό τη δημιουργία, συντήρηση και χρήση των ψηφιακών ταυτοτήτων (ορισμός σύμφωνα με το Burton group).

Προσδιορισμός υποδομής Identity Management (IDM)
Ο ορισμός για τη Διαχείριση της ψηφιακής ταυτότητας σύμφωνα με το Burton Group αποτυπώνει πλήρως την πραγματική διάσταση της υποδομής που αποκαλούμε identity management, η οποία είναι κάτι παραπάνω από μία τεχνολογία. Αυτό μπορεί να κατανοηθεί, αν αναλύσουμε τον όρο ταυτότητα (identity).  Ως ταυτότητα ορίζουμε το ποιοτικό εκείνο στοιχείο ή κάποια συνθήκη με την οποία αποδεικνύεται ότι είμαστε αυτοί που ισχυριζόμαστε ότι είμαστε. Η ταυτότητα είναι αυτό που προσδιορίζει ότι κάποιος ή κάτι (αντικείμενο) είναι αυτός που ισχυρίζεται ότι είναι μέσα στο χρόνο. Σημαντικό στοιχείο της ταυτότητας είναι ότι προσδιορίζει τόσο πρόσωπα, όσο και άλλου τύπου οντότητες (στην προκειμένη περίπτωση, ψηφιακές οντότητες).

Οι διάφορες ψηφιακές οντότητες και οι χρήστες των πληροφοριακών συστημάτων μπορούν να έχουν διαφορετικές ταυτότητες, όταν χρησιμοποιούν διαφορετικά πληροφοριακά συστήματα. Επίσης, μπορεί να έχουν περισσότερες από μία ψηφιακές ταυτότητες όταν εργάζονται στο ίδιο σύστημα – για παράδειγμα, όταν εργάζονται κάτω από διαφορετικούς ρόλους.
Η διαχείριση των ψηφιακών ταυτοτήτων είναι αποτέλεσμα σύγκλισης της τεχνολογίας και των αντίστοιχων επιχειρηματικών διαδικασιών. Δεν υπάρχει ενιαία προσέγγιση για τη διαχείριση των ψηφιακών ταυτοτήτων. Αυτή διαμορφώνεται ανάλογα με τη στρατηγική του κάθε Οργανισμού, η οποία αφορά τόσο στην επιχειρηματική λειτουργία του Οργανισμού όσο και στην υπάρχουσα τεχνολογική υποδομή.
Στη σημερινή εποχή, η υλοποίηση της υποδομής διαχείρισης των ψηφιακών ταυτοτήτων οδηγείται τόσο από την επιχειρηματική όσο και από την τεχνολογική ανάγκη για:

  • Εξυπηρέτηση των αναγκών του ηλεκτρονικού επιχειρείν, που αφορούν στη διαχείριση της ψηφιακής ταυτότητας μέσω της δημιουργίας και εξάπλωσης σχετικών προτύπων.
  • Μείωση της πολυπλοκότητας που αφορά στην ολοκλήρωση των επιχειρηματικών εφαρμογών με τις υποδομές διαχείρισης της ψηφιακής ταυτότητας.
  • Διαχείριση των προσβάσεων αλλά και των διαδικασιών που αφορούν στους νέους χρήστες, στην τροποποίηση προσβάσεων υφιστάμενων χρηστών και στη διαγραφή χρηστών από τον εκάστοτε Οργανισμό.
  • Ανταπόκριση στον αυξανόμενο αριθμό των web-based επιχειρηματικών εφαρμογών που χρειάζονται και έχουν ανάγκη για μεγαλύτερη ενσωμάτωση των λειτουργιών μιας υποδομής identity management.

Βασικά συστατικά στοιχεία & τεχνολογία

Η υλοποίηση μιας υποδομής identity management, ανεξάρτητα από την τεχνολογική υποδομή η οποία θα επιλεγεί, είναι σημαντικό να καλύπτει κύριες απαιτήσεις, όπως τη μείωση του κόστους λειτουργίας και διαχείρισης, όσον αφορά στη διαχείριση των ψηφιακών ταυτοτήτων, διαθέτοντας τα ακόλουθα:

  • Αυτοματοποιημένο τρόπο δημιουργίας, τροποποίησης & διαγραφής λογαριασμών χρηστών.
  • Κεντρική διαχείριση προσβάσεων χρηστών σε διαφορετικά συστήματα.
  • Διασύνδεση με τις περισσότερες εμπορικά διαθέσιμες εφαρμογές και λειτουργικά συστήματα.
  • Χρήση τεχνολογίας workflow με στόχο την αυτοματοποίηση της διεργασίας παροχής, τροποποίησης και ακύρωσης πρόσβασης χρηστών, που αφορά στο σύνολο των προσβάσεων οι οποίες απαιτούνται στα πλαίσια του εργασιακού ρόλου του χρήστη.
  • Λειτουργία του μηχανισμού παροχής, τροποποίησης και ακύρωσης πρόσβασης χρηστών, βάσει προκαθορισμένων ρόλων πρόσβασης.
  • Ολοκλήρωση με το σύστημα Ηλεκτρονικού Ταχυδρομείου, προκειμένου να ειδοποιεί για εκκρεμότητες ή να προωθεί τις εγκρίσεις των προσβάσεων.
  • Διαχείριση ρόλων πρόσβασης. Ολοκληρωμένο σύστημα διαχείρισης ρόλων, το οποίο αρχικά βοηθά στην ανακάλυψη των κοινών προφίλ πρόσβασης και στη συνέχεια στη δημιουργία και διαχείριση των ρόλων πρόσβασης. Η συγκεκριμένη δυνατότητα πρέπει να διαθέτει και αυτοματοποιημένες ροές διεργασιών, για διαδικασίες όπως ο έλεγχος των προσβάσεων που συμπεριλαμβάνονται σε κάθε ρόλο καθώς και η έγκριση αυτών. Επίσης, πρέπει να παρέχει τη δυνατότητα καταγραφής των τροποποιήσεων στις οποίες υπόκειται ο κάθε ρόλος. To υποσύστημα διαχείρισης των ρόλων επικοινωνεί αμφίδρομα με το υποσύστημα διαχείρισης χρηστών προκειμένου να αντλεί την απαραίτητη πληροφορία αλλά και να επιβάλει τους ρόλους.

Εναρμόνιση με νομικές και θεσμικές απαιτήσεις, παρέχοντας τα ακόλουθα:

  • Μηχανισμό παρακολούθησης και καταγραφής της διεργασίας διαχείρισης των χρηστών, η οποία διενεργείται με βάση την εκάστοτε υφιστάμενη οργανωτική δομή.
  • Μηχανισμό καταγραφής και ελέγχου των δραστηριοτήτων που αφορούν στη διαχείριση των χρηστών, τις διαδικασίες έγκρισης και την απόδοση των δικαιωμάτων πρόσβασης σε κάθε σύστημα
  • Παρέχει και ταυτόχρονα βοηθά στο να διατηρηθεί ένα υψηλό επίπεδο επιχειρησιακής αποτελεσματικότητας και ασφάλειας.

Κεντρική διαχείριση της διεργασίας διαχείρισης αλλά και απόδοσης των προσβάσεων:

  • Τόσο η διαχείριση όσο και η απόδοση των προσβάσεων των χρηστών, διενεργούνται από κεντρικό σημείο και μέσω εφαρμογής διαχείρισης. Το ηλεκτρονικό Ταχυδρομείο λειτουργεί βοηθητικά.
  • Η διαχείριση γίνεται με τον ίδιο τρόπο και από την ίδια εφαρμογή διαχείρισης για όλα τα συστήματα/ εφαρμογές.
  • Υπάρχει δυνατότητα για αποτύπωση των προσβάσεων σε συστήματα/ εφαρμογές, για τα οποία δεν υπάρχει τεχνική δυνατότητα διασύνδεσής τους με το σύστημα identity management (virtual systems representation).

Αυτοματοποίηση της ροής των διεργασιών που αφορούν στη διαχείριση πρόσβασης (workflow processes), η οποία έχει τα παρακάτω χαρακτηριστικά:

  • Οι διεργασίες έγκρισης για κάθε χρήστη αλλά και όλες οι μετέπειτα τροποποιήσεις τους, πρέπει να διεκπεραιώνονται μέσω ενός αυτοματοποιημένου συστήματος ροής εργασιών, το οποίο θα καταγράφει όλες τις εγκρίσεις και μεταβολές.
  • Το σύστημα αυτοματοποίησης της ροής των διεργασιών πρέπει να αποτυπώνει την οργανωτική δομή του κάθε Οργανισμού και τις ισχύουσες διαδικασίες πρόσβασης και έγκρισης αυτών.
  • Δυνατότητα υλοποίησης υποδομής για federated identity, που σημαίνει ότι υλοποιείται υποδομή η οποία επιτρέπει στους χρήστες ενός Οργανισμού να χρησιμοποιούν το ίδιο όνομα χρήστη & κωδικό πρόσβασης ή άλλο αναγνωριστικό, προκειμένου να αποκτήσουν πρόσβαση σε συστήματα ή / και υπηρεσίες ενός ή και περισσότερων διαφορετικών Οργανισμών. Το συγκεκριμένο μοντέλο λειτουργεί μόνο μεταξύ συνεργαζόμενων Οργανισμών, οι οποίοι αποδέχονται και εγγυώνται ο ένας για τους χρήστες του άλλου.

Συμμόρφωση με πρότυπα ασφάλειας πληροφοριών, παρέχοντας τη δυνατότητα για τα παρακάτω:

  • Συμμόρφωση με τις επιταγές της εκάστοτε Πολιτικής Ασφάλειας, που σημαίνει δυνατότητα υλοποίησης και επιβολής της Πολιτικής Ασφάλειας του Οργανισμού.
  • Ελεγχόμενη πρόσβαση σε συστήματα και εφαρμογές, με δυνατότητες καταγραφής και ελέγχου των προσβάσεων κάθε χρήστη.

Τα παραπάνω δεν αποτελούν πλέον συστατικά – τα οποία καλό θα ήταν να υπάρχουν στην υποδομή που θα επιλέξουμε – αλλά βασικά στοιχεία αυτής. Εάν κάποιο από τα παραπάνω δεν μας αφορά, τότε θα πρέπει να διερωτηθούμε τόσο για την τεχνολογική υποδομή την οποία θέλουμε να υλοποιήσουμε, όσο και για την αναγκαιότητα υλοποίησης της υποδομής διαχείρισης ψηφιακών ταυτοτήτων.

Συνοψίζοντας, όσον αφορά στην τεχνολογία, ένα σύστημα identity management το οποίο μπορεί να ανταποκριθεί στις παραπάνω απαιτήσεις, πρέπει να διαθέτει τα διακριτά υποσυστήματα με τις αντίστοιχες δυνατότητες, που φαίνονται στον πίνακα 1:

Υποσύστημα Διαχείρισης Ρόλων

  • Ανακάλυψη ρόλων
  • Διαχείριση ρόλων
  • Ανάλυση προσβάσεων κάθε ρόλου
  • Σύστημα αναφορών και ελέγχου τροποποίησης ρόλων
 Υποσύστημα Διαχείρισης Ψηφιακών Ταυτοτήτων

  • Διαχείριση διεργασιών παροχής και τροποποίησης προσβάσεων
  • Διαχείριση λογαριασμών χρηστών στα συστήματα του Οργανισμού
  • Αυτοματοποιημένες ροές διεργασιών στη διαχείριση προσβάσεων
  • Διεπαφές επικοινωνίας με συστήματα και εφαρμογές
Υποσύστημα Αναφορών & Ελέγχου Συμμόρφωσης

  • Αναφορές και γραφικές αναπαραστάσεις συμμόρφωσης με προκαθορισμένες συνθήκες, πρότυπα και πολιτική ασφάλειας Οργανισμού
  • Έγκριση περιεχομένων ρόλων πρόσβασης και τελικών προσβάσεων χρηστών

Η υλοποίηση και οι κρυφές πτυχές της

Η αποτελεσματική υλοποίηση μιας υποδομής identity management εξαρτάται από παράγοντες οι οποίοι δεν αφορούν στην τεχνολογία.
Πρώτο σημείο στο οποίο χρειάζεται έμφαση είναι η συμμετοχή του κατάλληλου προσωπικού στην υλοποίηση του έργου. Η παρουσία των παρακάτω κρίνεται απαραίτητη:

  • Το τμήμα Διαχείρισης προσωπικού που διαχειρίζεται το προσωπικό και τις μετακινήσεις αυτού στις οργανωτικές μονάδες της εταιρείας.
  • Αντιπρόσωποι του τμήματος help desk του Οργανισμού – αν υπάρχει – ή αν δεν υπάρχει, αντιπρόσωποι των μηχανικών που εμπλέκονται στη διαδικασία διεκπεραίωσης των προσβάσεων.
  • Ανώτερα διοικητικά στελέχη που εγκρίνουν προσβάσεις και ρόλους για τους συνεργάτες τους.
  • Μηχανικοί και διαχειριστές εφαρμογών, οι οποίοι υλοποιούν τις προσβάσεις των χρηστών.

Επόμενο σημαντικό σημείο, ίσως το σημαντικότερο όλων, είναι η διαμόρφωση των ρόλων πρόσβασης βάσει των οποίων θα αποδίδονται οι προσβάσεις στους χρήστες. Ο ρόλος πρόσβασης αποτελείται από συγκεκριμένα προνόμια πρόσβασης σε κάθε πληροφοριακό πόρο, ο οποίος είναι απαραίτητος για τη διεκπεραίωση της εργασίας των τελικών χρηστών. Η σωστή διαμόρφωση των ρόλων πρόσβασης αποτελεί τον κρισιμότερο παράγοντα επιτυχίας μιας υποδομής identity management. Η συγκεκριμένη διεργασία είναι καλό να ξεκινά πρώτη κατά την υλοποίηση ενός έργου identity management ή ιδανικά να προϋπάρχει της υλοποίησης της υποδομής identity management.
Επίσης ένα σημείο στο οποίο χρειάζεται προσοχή, είναι η αποτύπωση των διαδικασιών διαχείρισης των απαιτήσεων πρόσβασης των χρηστών. Ποιος αιτείται την πρόσβαση, ποιος την εγκρίνει και ποια η ροή που πρέπει να ακολουθηθεί. Σαν πρώτο βήμα βοηθά η αποτύπωση της υφιστάμενης διαδικασίας πρόσβασης, έτσι ώστε να αυτοματοποιηθεί και στην πορεία να γίνουν οι αλλαγές οι οποίες θα την κάνουν περισσότερο άμεση και γρήγορη, αφού θα συμμετέχουν σε αυτή μόνο όσοι χρειάζονται. Το συνηθισμένο λάθος είναι η προσθήκη περισσότερων βημάτων έγκρισης, με αποτέλεσμα η διαδικασία παρόλο που είναι αυτοματοποιημένη, να αποτελείται από πολλά βήματα και να απαιτεί την εμπλοκή πολλών εργασιακών ρόλων. Το κόστος υλοποίησης μεγαλώνει, καθώς πολλές από τις τροποποιήσεις που ζητούνται, απαιτούν τη συγγραφή προγραμματιστικού κώδικα για να υλοποιηθούν.
Οι συνηθισμένοι ανασταλτικοί παράγοντες υλοποίησης μιας υποδομής identity management είναι οι ακόλουθοι:

  • Υψηλό κόστος λογισμικού και υπηρεσιών υλοποίησης.
  • Δεν υπάρχουν καθορισμένοι εργασιακοί ρόλοι – και κατ’ επέκταση, ρόλοι πρόσβασης.
  • Ένα αρκετά μεγάλο ποσοστό του χρόνου υλοποίησης χρησιμοποιείται για τον ανασχεδιασμό και την έγκριση των διαδικασιών διαχείρισης πρόσβασης, καθώς και για τον καθορισμό των ρόλων πρόσβασης.
  • Δεν υπάρχει η κατάλληλη υποστήριξη από τη Διοίκηση.

Γενικότερα – και σύμφωνα με τη Gartner – τα έργα υλοποίησης υποδομών identity management παρουσιάζουν από τα μεγαλύτερα ποσοστά ανεπιτυχούς υλοποίησης.

Αναγκαιότητα ή πολυτέλεια

  • H εφαρμογή των συστημάτων διαχείρισης ψηφιακών ταυτοτήτων και των συναφών βέλτιστων πρακτικών σε έναν Οργανισμό, μπορούν να αποτελέσουν μέρος πραγματικού ανταγωνιστικού πλεονεκτήματος του Οργανισμού.

Τα στοιχεία τα οποία αιτιολογούν την επένδυση ενός Οργανισμού στην υλοποίηση της υποδομής identity management είναι τα ακόλουθα:

  • Μείωση του κόστους διαχείρισης των προσβάσεων, η οποία είναι αποτέλεσμα: – της μείωσης του ποσοστού σφάλματος που αφορά στη διαχείριση λογαριασμών χρηστών, – της μείωσης του όγκου της εργασίας που απαιτείται στις περιπτώσεις συχνής τροποποίησης και απενεργοποίησης προσβάσεων, – της ελαχιστοποίησης ενασχόλησης τεχνικού προσωπικού με περιπτώσεις επαναφοράς κωδικών πρόσβασης μετά από λανθασμένη προσπάθεια εισαγωγής τους, – του λιγότερου χρόνου ενασχόλησης με την ενημέρωση του προφίλ πρόσβασης των χρηστών.
  • Ελαχιστοποίηση των περιπτώσεων μη εξουσιοδοτημένης και άνευ έγκρισης πρόσβασης σε κρίσιμα συστήματα.
  • Διεύρυνση της χρήσης του εταιρικού δικτύου από εταίρους και πελάτες. Δημιουργία νέων πηγών εσόδων μέσω της διασύνδεσης Οργανισμών και της παροχής υπηρεσιών σε συνεργάτες και πελάτες. Μια αξιόπιστη υποδομή identity management βοηθά στο άνοιγμα του εταιρικού δικτύου σε τρίτους, αλλά και στην παροχή υπηρεσιών μέσω internet.
  • Η κανονιστική συμμόρφωση αποτελεί ολοένα και περισσότερο λόγο για την υλοποίηση υποδομών identity management, διότι παρέχει την απαραίτητη υποδομή για έλεγχο όλων των ενεργειών που αφορούν στις προσβάσεις των χρηστών και μπορεί σχετικά εύκολα να αποδείξει ότι δεν υπάρχουν περιπτώσεις μη εξουσιοδοτημένης πρόσβασης.

Συνεπώς, η υλοποίηση υποδομών identity management δεν μπορεί να θεωρηθεί πολυτέλεια για εταιρείες και Οργανισμούς οι οποίοι έχουν σημαντικό αριθμό χρηστών και ταυτόχρονα διαχειρίζονται κρίσιμα δεδομένα.
Τέτοιου είδους Οργανισμοί οφείλουν να εναρμονίζονται με κανονιστικές ρυθμίσεις και η χρήση υποδομών identity management βοηθά σε αυτό. Εάν στα παραπάνω προσθέσουμε και το ανοικτό, σύγχρονο περιβάλλον όπου η περίμετρος δεν οριοθετείται αυστηρά πλέον, αλλά βρίσκεται εκεί που βρίσκεται ο κάθε συνεργάτης ή ο κάθε απομακρυσμένος χρήστης του Οργανισμού, τότε το ερώτημα δεν είναι αν η υποδομή identity management είναι απαραίτητη, αλλά αν είναι έτοιμος ο Οργανισμός να βοηθηθεί από μια τέτοια λύση. Εάν δηλαδή έχει γίνει η κατάλληλη προεργασία ή αν είναι διατεθειμένος ο Οργανισμός να λειτουργήσει στα πλαίσια συγκεκριμένων κανόνων πρόσβασης.

Αναφορές:
The ABCs of Identity Management, John K. Waters, CXO Media Inc.
Identity Management, A White Paper by: Skip Slone & The Open Group Identity Management Work Area, A Joint Work Area of the Directory Interoperability Forum, Messaging Forum, Mobile Management Forum, and Security Forum
Identity Management Audit/Assurance Program, Norm Kelson, CISA, CGEIT, CPA, The Kelson Group, USA, ISACA
Identity Management: Critical Components, by Mary Brandel, CSO online
How to Make a Business Case for Identity Management, by Katherine Walsh, CSO

Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM