Экономика централизованного управления доступом

Экономика централизованного управления доступом

В статье подробно рассмотрено, сколько времени и финансов понадобится на то, чтобы внедрить решения класса Identity Governance & Administration (IGA), и когда вложенные в них средства начнут приносить прибыль. А также описывается, за счет чего происходит минимизация возможных потерь.

 

 

 

 

 

  1. Введение
  2. Коротко про этапы
  3. Переводим показатели в денежный эквивалент
  4. Выводы

 

Введение

Те, кто уже сталкивался в работе с внедрением решений класса Identity Governance & Administration (далее — IGA) как со стороны интегратора, так и со стороны клиента, прекрасно знают, что большая часть предпродажных активностей сходит на нет, когда клиент понимает, сколько времени и денежных затрат это за собой повлечет.

Опыт показывает, что пользу от внедрения систем централизованного управления доступом видит, как правило, только ее непосредственный заказчик. Для ИБ-подразделения — это снижение рисков утечки информации, для ИТ-службы — уменьшение трудозатрат по обработке заявок, связанных с контролем и управлением доступом. Однако в последнее время, особенно в крупных компаниях, оба критерия не являются весомыми аргументами для владельцев и топ-менеджеров бизнеса. Давайте разберемся, как можно помочь бизнесу проголосовать «за».

Самые главные вопросы, на которые клиент ждет ответы — это какую выгоду он получит и когда вложенные средства начнут приносить прибыль? Чтобы быстрее вернуть инвестиции, прежде всего необходимо разобраться, из каких расходных статей складываются внедрения решений данного класса.

 

Коротко про этапы

Формирование требований и выбор решения и интегратора. Для более качественной постановки задачи у заказчика должно быть сформировано представление жизненного цикла процессов его организации как в формате as is, так и в формате to be. Консолидация этой информации требует серьезной аналитической работы. Выполнять ее можно с привлечением собственных ресурсов или же силами интегратора.

Закупка лицензий. Часто — самая дорогостоящая часть проекта: в зависимости от выбранного решения, его границ (например, количество пользователей в организации, контролируемые информационные системы и др.) и итоговых требований. Помимо закупки лицензий на право использования IGA, не стоит забывать о необходимости приобретения системного программного обеспечения и СУБД.

Закупка оборудования. Стоимость может варьироваться в зависимости от объема проекта (количество пользователей, подключаемых систем и т. д.), требований к надежности (режим функционирования и доступности, обеспечение отказоустойчивости и т. д.), среды применения.

Услуги интегратора по проектированию и внедрению. Опять же, зависит от требований и степени необходимой адаптации продукта под них.

Владение системой. Может включать в себя сопровождение (техническая поддержка), затраты на административный персонал, дальнейшее развитие системы (масштабирование на большее количество пользователей, новые информационные системы и т. д.).

 

Переводим показатели в денежный эквивалент

Сегодня существует множество мировых аналитических агентств, вендоров, профильных компаний, которые на основании тех или иных данных предоставляют укрупненную статистику по количественным и качественным показателям, необходимых для обоснования внедрения IGA-решений. Но, по нашему опыту, заказчик не воспринимает подобного рода показатели и куда сильнее заинтересован в том, чтобы получить оценку предполагаемой выгоды, подготовленную конкретно под него и его бизнес-процессы.

В каких случаях это возможно и какие показатели можно перевести в денежный эквивалент?

Минимизация возможных потерь происходит за счет сокращения:

  • рисков, связанных с нарушением порядка управления учетными записями (например, учетные записи уволенных сотрудников);
  • рисков, связанных с избыточными правами доступа;
  • времени расследования инцидентов ИБ.

Величину снижения потенциальных потерь от реализации рисков ИБ достаточно сложно оценить. Тем не менее, при наличии нескольких вводных она поддается оценке.

Проще всего произвести оценку риска в случае, когда у клиента есть команда, технические средства и отлаженные процессы по обнаружению и анализу инцидентов информационной безопасности. Подобную статистику может дать SIEM-система, работающая как standalone-решение, так и полноценный центр мониторинга и реагирования на инциденты (SOC).

Выявить интересующие нас инциденты из общего пула несложно. Эксплуатация уязвимостей, связанных с несанкционированным доступом, может оказать воздействие на конфиденциальность, целостность и доступность незащищаемых информационных систем. Если воздействие на конфиденциальность может привести к утечке информации, то влияние на целостность и доступность может закончиться вообще прекращением работы системы, что в свою очередь может привести к частичной или полной остановке бизнес-процессов компании.

 

Таблица 1. Примеры уязвимостей и возможных последствий их эксплуатации

Уязвимость Угроза/Риск Меры по минимизации
Избыточные права доступа Утечка конфиденциальной информации (финансовые документы, переписка, базы клиентов и их персональные данные и т. д.) Построение ролевой модели доступа, периодический пересмотр и инвентаризация прав доступа
  Нарушение функционирования систем
Отсутствие контроля над правами доступа Доступ ранее работавших (уволенных, сменивших место работы) сотрудников к корпоративным ресурсам компании Изменение прав доступа при проведении соответствующих кадровых мероприятий
Пересечение полномочий, конфликт интересов Доступ пользователей к критичным операциям Внедрение механизмов по контролю и анализу разграничения полномочий (Segregation Of Duties, SOD), разработка контрольных процедур

 

Итак, величину потенциальных потерь при реализации рисков ИБ, связанных с управлением доступом, можно определить. И наиболее информативным этот показатель будет, если произведена оценка:

  • ущерба при утечке конфиденциальной информации;
  • ущерба от неработоспособности систем.

Если подобных оценок нет, можно воспользоваться любой доступной аналитической статистикой, но, как упоминалось выше, заказчика это может не устроить, поскольку такие данные являются более справочными, чем приближенными к реальности. Данная статистика может послужить весомым аргументом, и, судя на практике, таковым и является при утверждении бюджета на то или иное дополнительное средство ИБ, при помощи которого вероятность возникновения определенного типа инцидентов можно минимизировать.

В нашем случае таким средством является система класса IGA, которая обеспечивает снижение трудозатрат за счет сокращения:

  • времени:
    • на первоначальное создание учетных записей, предоставление базового набора прав доступа для нового сотрудника;
    • на исполнение заявки на выдачу и изменение прав доступа;
    • на ручное согласование заявки на доступ к информационным системам;
    • на анализ и контроль предоставленных избыточных или критических прав в рамках ежегодного аудита;
    • на составление отчетов о сертификации доступа (подтверждение прав доступа);
    • на обнаружение и предотвращение, а также устранение последствий нарушения политик предоставления прав доступа;
    • на составление отчетов для внешних и внутренних регуляторов;
    • на блокирование учетных записей, отзыв прав доступа к информационным системам уволенных сотрудников;
  • количества:
    • согласующих лиц и их рабочего времени с применением оптимальных маршрутов согласования;
    • инцидентов в службе технической поддержки, касающихся запросов или изменений прав доступа, запросов на сброс забытого пароля;
  • затрат на инвентаризацию и контроль изменений прав доступа.

Расчет будет наиболее информативным тогда, когда у заказчика будут выстроены процессы IT Service Management, жизненный цикл заявок, в том числе по управлению доступом, которые налажены в системе класса ITSM.

В зависимости от настроек классификации заявок появляется возможность за некий период определить количественные показатели себестоимости обработки заявок по управлению доступом, в том числе себестоимость трудозатрат на предоставление первичного набора прав доступа новым сотрудникам. Опять же, в зависимости от того, классифицируются ли заявки по определенным информационным ресурсам, данная информация может помочь клиенту определить целесообразность и экономический эффект при выборе определенных систем, которые планируется интегрировать с IGA-системой.

 

Выводы

Стоит отметить, что автоматизация процессов управления доступом не ограничивается системами класса Identity Governance & Administration. Согласно оценке Gartner, большая часть корпоративных данных, а именно 80%, являются неструктурированными. Для контроля и управления доступом к неструктурированным данным используются системы класса DAG (Data Access Governance).

Поскольку процессы в обоих классах решений в части предоставления прав доступа, вне зависимости от того, являются данные структурированными или нет, идентичен, описанный в статье подход по оценке эффективности применим и к этому классу решений.

На практике демонстрация подобного рода точных расчетов помогает достигнуть желаемого эффекта, подкрепляя стандартные, оправдывающие внедрение IGA, доводы. Например:

  • Минимизация рисков за счет централизованного управления учетными записями и правами доступа.
  • Экономия денег за счет автоматизации операций по управлению доступом.
  • Снижение потенциальных потерь от утечки данных.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru