Skip to main content

Identitateen eta sarbideen kudeaketa

Nori zuzenduta dago?

Bereziki erakunde handi guztiei, publikoei nahiz pribatuei, beren erabiltzaileekiko, haien sarbide-eskubideekiko eta egungo eta etorkizuneko araudiekiko ardura dituztenak. Tamaina ertaineko enpresek ere onuretako asko izango dituzte eta, beraz, kostu onargarri baten truke ahalik eta etekin handiena emango dieten alderditan jarri ahalko dute arreta.

Zer da?

IAM (Identity & Access Management) izenez ezaguna da, eta une eta arrazoi egokiak direla-eta soilik lagun jakin batzuei sartzea ahalbidetzen dien segurtasun eta negozio diziplina zabal batean datza. Hots, sarbidea zaindu eta informazio babesten duten politika, prozesu eta teknologia multzo bat da.

Kudeatutako identitateak erabiltzaileei (langileak, bezeroak, laguntzaileak, hornitzaileak) lotuta egon ohi dira, baina baita gailuei lotuta ere.

Merkatuan IAM konponbide osoak daude, identitateen kudeaketari dagozkion alderdi guztiez edo gehienez arduratzen direnak, eta konponbide zehatzagoak, zenbait arazo jakini konponbide emango dietenak. Hauek dira IAM sistemen gaitasunetako batzuk:

  • Kontuen hornikuntza sistemetan
  • Sarbideen hornikuntza aplikazioetan, rolen arabera
  • Egiaztatze- eta baimen-mekanismo sendoak aplikazioetan
  • Single Sign-On instalazioa
  • Ordezkari bakarreko kudeaketa zentralizatua
  • Pasahitzak norberak berrezartzeko ataria
  • Kontu pribilegiatuen kudeaketa
  • Sarbideen berregiaztapena
  • Kontu eta sarbideen ikuskapena
  • Identitateei eta sarbideei lotutako arriskuen hautematea
  • Aplikazioak babestea hainbat egiaztatze-faktore ezarriz, egokitzapen-egiaztatzea eta egiaztatze adimenduna barne
  • Identitateen federazioa

Helburuak

Identitateen kudeaketaren helburu nagusiak puntu hauetan laburbiltzen dira:

  • Baliabideetarako sarbidea ziurtatzea inguru teknologiko gero eta heterogeneoetan (on-premise, cloud, IoT)
  • Araudiaren eskakizun gero eta zorrotzagoak betetzea
  • Kontu eta sarbideen hornikuntza automatizatzea, kontratazioak, altak, bajak eta aldaketak burutzeko
  • Identitatearen kudeaketari dagozkion kostuak murriztea
  • Identitateen eta haien baimenen, sarbideen eta sistemetako jardueraren gaineko ikuspegi orokorra eskaintzea
  • Identitateak, baimenak, rolak, politikak eta antolakuntza prozesuak normaltzea eta haien mantentze-lanak toki bakar batetik burutzea
  • Identitateen kontrol osoa. Sistemetan barrena sakabanatutako kontu ugariak identifikatzea eta pertsona edo gailu bati dagokion identitate bakar batekin lotzea ahalbidetzen du.

Onurak

IAM egoki inplementatzean, onurak ez dira berdinak izango erakunde guztietan. Hauek dira onura ohikoenak:

  • Identitateen kudeaketari lotutako kostuak murriztea (pasahitzak, altak/bajak/aldaketak, sarbideen kontrola, egiaztapen bakarra…).
  • Ekoizpenak gora egitea. Enplegatuek lehen unetik bertatik egin dezakete beren lana, eta administratzaileek eboluzio- eta prebentzio-lanetan jar dezakete arreta.
  • Segurtasuna handitzea, baimen gehiegi eskatzera behartzen duten hornikuntza akatsak desagerraraziz eta gutxieneko pribilegioaren printzipioaren inplementazioa hobetuz.
  • Jaberik gabeko kontuen kontrola
  • Negozio-ekimen berriei askoz azkarrago ekitea
  • Domeinu edo egoitza askoren identitateak errazago finkatzea, maiz fusio edo erosketen ondorio direnak
  • Sarbide mailako pribilegioen ikusgaitasun osoa, arriskuak hobeto hautematen laguntzen duena
  • Beste erakunde batzuetan ere jardun ahal izatea, federazioaren eta identitate-trukearen bidez
  • Arauak betetzea eta txostenak eta auzitegi-lanak sinpletzea errazten du

Identitateen Kudeaketan kontuan izan beharreko faktoreak

  • Joan astiro, bidea luzea da eta. Norabide egokian pausoz pauso aurrera egitea ahalbidetzen duen identitateak kudeatzeko estrategia bat zehaztea arrakasta izateko funtsezko faktorea da.
  • Garrantzitsua da erakunde osoaren babesa izatea, bereziki negozio sailarena. 
  • Definitu identitateen baimen-iturria eta hura kontrolatu.
  • Eman lehentasuna “quick-wins” delakoaren inplementazioari, esate baterako: pasahitzak berreskuratzeko autozerbitzua, hainbat direktorio finkatzea, Single Sign-On, kontuen hornikuntza, ordezko kudeaketa bateratua, kontu pribilegiatuak...
  • Finkatu erabiltzaileen direktorioak, mantentze-lanak behar dituzten sistemen kopurua murriztuz
  • Bilatu beti “gutxieneko pribilegioa” deritzon helburua, baita administratzaileen kontuetan ere. Administratzaileek ez dituzte egunero baimen guztiak behar, eta badira PAM konponbideak horiek kudeatzeko eta haien erabilera ikuskatzeko
  • Itxi erabiltzaileen bizitzaren zikloa, sorreratik bajara arte, jaberik gabeko kontuak eta denboran zehar erakundean pribilegioak pila ditzaten saihesteko
  • Gobernatu identitateak, araudia betearaziz eta garapenaren fase guztietan pribatutasunari eutsiz

IAM proiektu baten faseak

1. fasea. Egungo egoera aztertzea eta nahi dugun egoera definitzea

IAM inplementatzeko ekimen baten pizgarria izan ohi da erakundeak zenbait alderditan arazoak topatzea: IT sailak lan-zama handiegia izatea, kontu-ikuskapen okerra edo hainbat motatako segurtasun-arazoak. Lehenik, egungo egoeraren azterketa egin behar da, hobetu beharreko alderdiak zehazteko.

Ondoren, komeni da azken egoera imajinatzea eta hainbat helburutan islatzea. Ez da beharrezkoa, ezta gomendagarria ere zenbaitetan, aldaketa guztiak proiektu bakarrean inplementatzea, baina roadmap bat izatea baliagarria izan daiteke ekimenaren norabideari eusteko eta, epe luzean, denbora eta baliabideak aurreztuko ditu.

2. fasea. Konponbidearen eskakizunak identifikatzea

Identitateak kudeatzeaz arduratuko den erakundearen barruko lantaldea osatu eta gero, azken konponbideak bete behar dituen eskakizunak ezarriko dira, erakundeak adierazitako garrantziaren arabera antolatuta. Besteak beste, zer erabiltzaile-biltegi dauden eta garrantzitsuenak zeintzuk diren erabaki behar da, IAM konponbidean txertatzeko orduan horiei lehentasuna emateko; identitateek jatorri bat (baimen-iturria) izango ote duten; protokoloak, ezaugarriak eta sinkronizazio-aldiak zeintzuk izango diren; hornikuntza automatikoa ala eskuzkoa izango den, eta beste alderdi asko.

Erabiltzailearen esperientzia ere hasieratik bertatik hartu behar da kontuan. Erabiltzaileentzalo autozerbitzuaren atariak aukera emango du baliabideetarako sarbidea eskatzeko? Ala soilik pasahitzak berreskuratzekoa? Erakundeak dagoeneko baliabideak eskatzeko sistema funtzional bat badu, baliteke hobe izatea konponbidea hartan txertatzea, IAM konponbidearena erabili beharrean.

3. fasea. Identitatearen inguruko politikak ezartzea

Ezinbestekoa da identitatearen kudeaketarekin lotutako politikak osatuko dituzten alderdiak ezartzea eta normalizatzea. Erabiltzaileak identifikatzeko datuek letra eta zeinu jakin batzuk izan beharko dituzte automatikoki sor daitezen, eta horrek sistemen arteko gatazkak ekidingo ditu. Era berean, komeni da aldez aurretik zehaztea izan daitezkeen erabiltzaile motak (langileak, hornitzaileak, bezeroak, zerbitzuak…), negozioaren arauak, ezaugarriak eta pasahitzen politikak, besteak beste. Askotan, aurreko arauetako batzuk aldatu egingo dira testuinguruaren arabera (erakundearen barruan ala kanpoan, VPN, aplikazio jakin batetiko sarbidea, etab.).

4. fasea. Rolen katalogoa ezartzea

IAM sistema baten erdiguneko elementua da erakunde barneko rolen katalogoa, funtzioaren arabera ezartzen baitu erabiltzaile batek izango duen sarbide mota. Era berean, profil bakoitzari lotutako arriskuen azterketa egin daiteke. Hari esker, aurrerantzean roletan eta arrisku-faktoreen azterketa automatikoan oinarritutako kontrol-sistema bat aplikatu ahalko da.

Katalogoa osatzeko, beharrezkoa izango da rolen meatzaritza eta erakundearen beraren ikuspegia uztartzea. Eta hori bezain garrantzitsua izango da zenbait arau ezartzea, katalogo hori indarrean egon dadin.

5. fasea. Ordezko kudeaketa eta administratzaileen kontuak

IAM sistemaren ordezko kudeaketan, parte hartzaile bakoitzaren funtzioak ondo zehaztu behar dira, eta eskualdeetako eta mundu osoko administratzaileen, baimenleen (baimen-fluxuak inplementatzen badira) edo kontu-ikuskarien ardurak roletan antolatuko dira.

Segurtasuna hobetzeko alderdi kritikoa da sistema ezberdinetan (BBDD, aplikazioak, OS) kontu pribilegiatuak kudeatzea. PAM konponbidearen bitartez, supererabiltzaile horien erabilera arautu eta ikuskatu daiteke.

6. fasea. Aplikazioetarako sarbide-kontrola

Aplikazioen kasuan, egiaztatze- eta baimen-printzipio batzuk ezarriko dira; era horretan, dagoeneko indarrean daudenek eta baimen berriek estandar ezagunak beteko dituzte. Aplikazioetako egiaztatzeaz kanpo-zerbitzu bat ardura daiteke, eta horrek segurtasuna sendotuko du, hainbat faktoretako egiaztatzea, egokitzapen-egiaztatzea, egiaztatze adimenduna edo teknika biometrikoak baliatuz.

Enpresa batetik bestera identitateak partekatzeko beharrari erantzuteko, SAML, OAuth2.0 eta OpenID-Connect federazio-protokoloak erabiliko dira.

Aplikazio barruko baimena rolen katalogoan txerta daiteke, RBAC edo XACML metodoen bidez.

7. fasea. Prestakuntza

Administratzaileek eta erabiltzaileek IAM sistemaren erabilerarekin, politikarekin eta prozesuekin lotutako prestakuntza jasoko dute. Identitateen kudeaketa erakundeko sail guztiei eragiten dienez, funtsezkoa da langile guztiek parte har dezaten.

8. fasea. Mantentze-lanak eta bilakaera

IAM proiektuak bilakaera etengabean daude. Mantentze-lanez eta funtzioen bilakaeraz gain, badira landu beharreko alderdi ugari, inbertsioari ahalik eta etekin gehien ateratzeko. Eta, aldian behin, sistema lege-arauei eta negozioaren ekimen berriei egokitu beharko zaie.

Berregiaztatze-prozesu arruntak ezartzen badira, segurtasun-politikak eta indarrean dagoen araudiak zuzen funtzionatzen dutela ziurtatu ahalko da.

Txostenen eta erabileraren gaineko datuen bidez, erakundeak berehala jakingo du identitate mailan egoera orokorra zein den.

Non jaso daiteke sarbideen kudeaketari buruzko aholkua?

BCSCk enpresen eskura jarri du “Euskadiko Zibersegurtasunaren Liburu Zuria”, gure tokiko ekosistemaren ikuspegi orokorra jasotzen duen dokumentua. Hartan, hainbat berrikuntza-, ikerkuntza- eta ekintzailetza-ikuspegi ageri dira, baita zibersegurtasunaren arloko zerbitzuak eskaintzen dituzten enpresen katalogoa ere, interesatuta egon daitezkeen erakundeek haietara jo eta erabaki egokienak hartzen lagun diezaieten.

Katalogoa Euskadiko zibersegurtasunaren merkatuaren laburpena edo argazkia ere bada. Zerrenda bizia da, aldian behin eguneratzen baita, zerbitzuen digitalizazioa hedatzen eta harekin lotutako aukerak zabaltzen doazen neurrian.

BCSC Liburu Zuria

Referencias

Incibe - Recomendaciones Gestion Identidades eficiente

Identity Management Institute

Partekatu

Linkedin partekatu