Στην εποχή του GDPR

Γράφει ο Αλέξανδρος Νίκλαν
Σύμβουλος Θεμάτων Ασφαλείας 

Στον τομέα της ασφαλείας το κύριο ζητούμενο σε κάθε έλεγχο είναι τα «4Π» όσον αφορά κάθε εργασία που έγινε με χρήση των συστημάτων και πόρων ενός οργανισμού . Όπου «4Π» σημαίνει «Πότε έγινε η πρόσβαση», «Πού έγινε η πρόσβαση», «Ποιος έκανε την πρόσβαση» , «Πώς έγινε η πρόσβαση». Η διαδικασία που αφορά τα παραπάνω, συνήθως αποτελεί ένα σοβαρό πονοκέφαλο για κάθε υπεύθυνο ασφαλείας αλλά και το σύνολο του οργανισμού, καθώς οδηγεί σε μια δαπάνη χρόνου, αύξηση κόστους σε εργατοώρες για τον έλεγχο καθώς και την ανάνηψη των σχετικών στοιχείων. Αυτό συμβαίνει, συνήθως, όταν διαπιστωθεί πως υπάρχει μια παράβαση πολιτικών ασφαλείας σαν ένα μέτρο αντιμετώπισης και ανάνηψης. Τι γίνεται όμως όταν αυτή η διαδικασία ελέγχου των «4Π» πλέον απαιτείται για κάθε δράση και κάθε πράξη που αφορά τα συστήματα ενός οργανισμού; Θα είναι δυνατόν κάποιος οργανισμός να ανταπεξέλθει δαπανώντας τεράστια ποσά για να καλύψει αυτή την ανάγκη; Τι μπορεί να σημαίνει αυτό για το επιχειρησιακό κομμάτι ενός οργανισμού όσον αφορά την εύρυθμη λειτουργία του;

Η παραπάνω ανάγκη διαμορφώνεται πλέον σε βαθμό υποχρέωσης και συμμόρφωσης, τόσο προς το νέο Ευρωπαϊκό κανονισμό περί ιδιωτικότητας ( GDPR ) όσο όμως και από τις επιχειρησιακές ανάγκες ενός οργανισμού που μπορεί να ζητεί καλύτερη αποτύπωση των ροών εργασιών και να έχει και μια ορθή διαχείριση ανθρώπινου δυναμικού και της απόδοσης του. Η δημιουργία και διαχείριση ρόλων σε μια επιχείρηση, οι ροές εργασίας που μπορεί να δημιουργούνται ως φόρτος ενεργειών σε καθημερινή βάση, όπως και η ανάγκη να μπορεί αυτό να ελεγχθεί και να αξιολογηθεί οδήγησε εδώ και μερικά χρόνια την πληροφορική σε ένα αναπτυσσόμενο κομμάτι λογισμικού που ονομάζεται Identity & Access Management.

Ένα απλό παράδειγμα μιας εταιρικής εργασίας που δεσμεύει ένα σοβαρό αριθμό εργατοωρών τόσο σε επίπεδο διαχείρισης όσο και σε επίπεδο εφαρμογής ρυθμίσεων πολιτικών ασφαλείας, είναι η πρόσληψη ενός νέου συνεργάτη και η ανάγκη πρόσβασης του σε συστήματα του οργανισμού, ξεκινώντας από την δημιουργία ενός λογαριασμού χρήστη μέχρι και το είδος πρόσβασης που μπορεί να έχει ο συγκεκριμένος σε διάφορα συστήματα. Μέχρι πρόσφατα, όλη αυτό το σύνολο ενεργειών έπρεπε να δεσμεύσει προσπάθεια από τον εκάστοτε διαχειριστή συστημάτων και δικτύων (system & network admin/s), πιθανόν κάποιους διαχειριστές εφαρμογών ( system owners e.g. ERP ), σίγουρα το τμήμα ανθρώπινου δυναμικού (Human Resources), το λογιστήριο (Accounting dpt. ), το τμήμα που θα ανήκει ο νέος συνεργάτης (dpt. manager) ενώ πιθανώς να έπρεπε να πρέπει να ενημερωθεί και για εσωτερικές πολιτικές ασφαλείας από το σχετικό τμήμα (InfoSec dpt.). Ο χρόνος μιας τέτοιας διαδικασίας, κατά μέσο όρο, έφτανε ίσως και τις 4-5 μέρες αφαιρώντας έτσι από τον ίδιο τον συνεργάτη δυνατότητα να συμμετέχει στον οργανισμό στο 100% και φυσικά αποτελούσε πρόσθετη απώλεια χρημάτων στον οργανισμό καθώς ο συνεργάτης μέχρι την ολοκλήρωση αυτών , αποτελούσε “πόρο μειωμένης απόδοσης”. Σε πρόσθεση όλων αυτών, υπήρχε πιθανώς δημιουργία και ενός μεγάλου όγκου εγγράφων σχετικών για αυτή την ενέργεια, ενώ η διαδικασία είχε πολλές “μαύρες τρύπες” τόσο από πλευράς αποτύπωσης της διαδικασίας σε επίπεδο απόδοσης και ενεργειών, όσο και από πλευράς ασφαλείας αφού η απώλεια ενός εγγράφου μπορεί να οδηγούσε πονοκέφαλο σε περίπτωση ελέγχου (Audit).

Η πρόσθεση ενός λογισμικού Identity & Access management οδηγεί σε μια ολοκληρωτική αλλαγή των παραπάνω σε δύο τομείς που θα επιστρέψουν πολύ γρήγορα το ποσό επένδυσης που θα γίνει για αυτό, στον οργανισμό. Ο πρώτος τομέας είναι αυτός της αποδοτικότητας όπου μια διαδικασία εισαγωγής νέου συνεργάτη στον οργανισμό θα αυτοματοποιηθεί μέσα από μια ροή με ειδοποιήσεις που θα απαιτούν απλά υπογραφές (ψηφιακές) από τα σχετικά τμήματα μέσα από τον υπολογιστή τους, ενώ η απόδοση ρόλου στον συνεργάτη καθώς και οι όποιες εργασίες σχετικά με αυτόν θα είναι «διάφανες» για τον ίδιο καθώς θα έχει μηδενική εμπλοκή πέρα από την αρχική αίτηση του σε ένα τερματικό. Σε ένα πολύ απλό παράδειγμα, ο ίδιος θα ξεκινάει μια φόρμα αίτησης σε ηλεκτρονική μορφή με τα στοιχεία του, που θα καταγράφονται αυτόματα στο HR και στο σχετικό ηλεκτρονικό αρχείο και θα ειδοποιείται ο εκάστοτε υπεύθυνος για ηλεκτρονική αποδοχή (checkbox/signature) για να προωθηθεί μετά στους διαχειριστές και ιδιοκτήτες συστημάτων για να δοθεί πρόσβαση σε πόρους και αρχεία αναλόγως της βαθμίδας του ρόλου του συνεργάτη ( role based access control) που θα δίνονται αυτόματα μέσω κεντρικού συστήματος (Active Directory Domain roles /GPOs ). Με την ολοκλήρωση αυτών , θα ειδοποιείται με την ίδια ροή της αίτησης το λογιστήριο και θα καταγράφονται τα στοιχεία του συνεργάτη. Την ίδια στιγμή ο νέος συνεργάτης καθώς προχωράει όλη η διαδικασία , θα ανακατευθύνεται από την οθόνη του τερματικού του σε μια εσωτερική ιστοσελίδα για να ενημερωθεί για τις πολιτικές ασφαλείας και θα πρέπει να αποδέχεται με ένα ηλεκτρονικό ΝΑΙ/ΟΧΙ μετά την ανάγνωση τους. Η όλη διαδικασία σε μετρήσιμο χρόνο δεν ξεπερνάει ουσιαστικά τις λίγες ώρες.

Οι συγκρίσεις των δύο μεθόδων μπορούν να δείξουν πιθανώς σε κάποιον επιχειρηματία πώς ο χρόνος που εξοικονομείται δίνει ένα πολύ μεγάλο ποσοστό επιστροφής της επένδυσης (R.O.I) μέσα σε ελάχιστο χρόνο. Ενέργειες όπως η δημιουργία χρήστη, η παροχή πρόσβασης σε πόρους σε νέους και παλιούς χρήστες, διαδικασίες όπως η αλλαγή κωδικών πρόσβασης, αιτήσεις για διάφορα θέματα που αφορούν την εργασία, και άλλες παρόμοιες διαδικασίες συγκεντρώνονται και αυτοματοποιούνται αφαιρώντας τεράστιο όγκο γραφειοκρατίας και ανάγκης αποθήκευσης εγγράφων που οδηγούσαν σε δαπάνες για χώρους αποθήκευσης και διατήρησης. Το πρόσθετο κέρδος σε αυτό είναι φυσικά η αποτύπωση της ροής εργασιών και ο έλεγχος τους για το πώς μπορεί να γίνουν πιο αποδοτικές ως ροές ή ακόμα και αλλαγή τους αν διαπιστωθεί πώς κάποια δεν χρειάζεται λόγω ομοιότητας με άλλη ή έχει εξαντληθεί η χρησιμότητα της.

Ο δεύτερος τομέας που προσθέτει κέρδος ένα λογισμικό Identity & Access Management είναι αυτός της ασφάλειας. Σύμφωνα με τον νέο κανονισμό περί ιδιωτικότητας GDPR, ο κάθε οργανισμός υποχρεούται πλέον για κάθε ενέργεια και πράξη που επεξεργάζεται προσωπικά δεδομένα φυσικών προσώπων να μπορεί να αποδείξει μια σειρά ενεργειών πέρα των «4Π».  Είναι η αποτύπωση ενεργειών βάσει των άρθρων του νόμου με αιτιολόγηση καθώς και η ελαχιστοποίηση διάχυσης προσωπικών δεδομένων εντός και εκτός οργανισμού.

Στο παράδειγμα μας, που αφορά την πρόσληψη νέου συνεργάτη, με τον παλαιότερο τρόπο, τα προσωπικά στοιχεία του συνεργάτη περνούσαν από πολλαπλά χέρια και άτομα εντός οργανισμού και στο τέλος καταχωρούνταν σε κάποιο έγγραφο αποθηκευμένα, συχνά σε ντουλάπια προσβάσιμα από πολλούς που δεν είχαν κανένα λόγο να έχουν πρόσβαση σε αυτά (need to know/ need to access/ need to process). Με την εγκατάσταση ενός λογισμικού identity manager μειώνεται το εύρος της διάχυσης προσωπικών δεδομένων, καθώς κάθε τμήμα και άτομο εντός οργανισμού έχει πρόσβαση μόνο σε όσα χρειάζεται να δει , ενώ στο τέλος η αποθήκευση γίνεται σε κρυπτογραφημένη βάση δεδομένων εντός λογισμικού. Το λογισμικό επίσης δίνει μια άριστη ικανότητα να αποδοθεί και βεβαίωση προς την Αρχή Προστασίας Προσωπικών Δεδομένων σε περίπτωση τυχαίου ελέγχου ή καταγγελίας πώς τα προσωπικά δεδομένα φυσικών προσώπων μπορούν και να αλλάξουν/διαγραφούν με αυτόματο τρόπο με αποδεικτικά για κάθε ενέργεια που έγινε, είτε από τον οργανισμό, είτε ακόμα και από τον ίδιο τον κάτοχο των δεδομένων αυτών.

Διαδικασίες, για παράδειγμα, όπως η ενημέρωση βιογραφικού, προσωπικών στοιχείων, αλλαγή κωδικών πρόσβασης όσον αφορά τα προσωπικά δεδομένα. Πρόσθετα αυτών σε επίπεδο ασφαλείας, ενδεικτικά, είναι διαδικασίες σαν την καταγραφή ενεργειών για πρόσβαση σε πόρους συστημάτων, εργασίες που χρειάστηκε να γίνουν και αναζητείται συμμετοχή χρηστών ( «4Π» ) αυτοματοποιείται και αποδεσμεύει και το τμήμα ασφαλείας του οργανισμού (εντός οργανισμού/εξωτερικού σύμβουλοι).

Συνολικά το λογισμικό Identity & Access Management δίνει μια ολοκληρωμένη λύση για αυτές τις ενέργειες , διαδικασίες, απαιτήσεις και καθημερινές ανάγκες μιας επιχείρησης που μέχρι τώρα απαιτούσαν δεκάδες εργατοώρες. Λύνει σε μεγάλο βαθμό το θέμα της διερεύνησης περιστατικών ασφαλείας ενώ παράλληλα αποτελεί ένα εργαλείο διαχείρισης δυναμικού και αποδοτικότητας αποδίδοντας σε μικρό χρονικό διάστημα την αρχική επένδυση που έγινε σε αυτό. Η πρόσθετη αξία του έρχεται με την χρήση του ως εργαλείο ελέγχου όσον αφορά την συμμόρφωση προς το GDPR και φυσικά με την ικανότητα να μειώσει τον όγκο δαπανών σε πάγια έξοδα,  ίσως και υποδομές σχετικά με αποθήκευση, προστατεύοντας την ίδια στιγμή τον οργανισμό απέναντι σε συμβάντα ασφαλείας. Σε ορισμένες περιπτώσεις, ακόμα και σε υπηρεσίες μέσα από το internet cloud. Μήπως είναι η ώρα λοιπόν να το σκεφτεί σοβαρά ο κάθε οργανισμός, καθώς η αρχική δαπάνη για αυτό ενισχύει πλέον το επιχειρηματικό όφελος σε μικρό βάθος χρόνου σε πολλαπλά επίπεδα;

Διαβάστε επίσης: Ο νέος κανονισμός του GDPR