Klocki Lego i Cykl Życia Uprawnień: Praktyczne Porady dla Firm
W kolejnym odcinku na kanale GRC Ninja na poziomie podstawowym, Andrzej i Filip poruszają tematykę przeglądów okresowych uprawnień oraz cyklu życia uprawnień użytkowników w dużych systemach klasy ERP. Omawiają proces nadawania, przeglądania i zarządzania uprawnieniami.
Temat jest przedstawiony z użyciem klocków lego oraz historii wzorcowego pracownika, Janka, który awansuje w firmie, zmieniając dział, a co za tym idzie, również potrzeby w zakresie uprawnień. Andrzej i Filip przedstawiają wyzwania związane z przeglądem uprawnień, koncentrując się na merytorycznych ryzykach i dostarczaniu informacji dla właścicieli biznesowych. Z ich doświadczeń projektowych wynika, że uprawnienia i cykl życia uprawnień to aspekt często pomijany w organizacjach, a w praktyce może się to okazać bardzo kosztowne i pracochłonne dla organizacji, gdyż ten proces, realizowany bez prawidłowego wsparcia narzędziowego może kosztować nawet 1000 h czasu pracy wysoko-wykwalifikowanych ekspertów.
Podkreślają potrzebę zmiany myślenia w zarządzaniu uprawnieniami, widząc to jako aspekt biznesowy, a nie tylko IT. Omawiają również możliwości automatyzacji procesu przeglądu uprawnień i pokazują, jak wartość ćwiczenia polega na skupieniu się na istotnych obszarach ryzyka. W praktyce chodzi o to, aby nie przeglądać wszystkich uprawnień użytkownika, bo łatwo jest utonąć w detalu, zamiast tego warto skupić się funkcjach wrażliwych (dostęp do tabel, repozytoriów, programów), czy właściwym rozdziale obowiązków (Segregation of duties), czyli ograniczeniu ryzyk w dostępach do obszarów biznesowych (dane podstawowe, płatności, wyciągi bankowe, księgowania, etc) i te ocenić pod kątem zasadności ich posiadania przez użytkownika z perspektywy zagrożenia dla prawidłowej realizacji procesów w organizacji.
Andrzej i Filip zwracają uwagę na trudności związane z manualnym przeglądem uprawnień oraz zapowiadają pokazanie w kolejnych odcinkach narzędzi ułatwiających ten proces. Podkreślają również konieczność przemyślanego podejścia do przeglądu uprawnień, które powinno uwzględniać aktualne ryzyka i wyzwania organizacji.
Zobaczcie i przekonajcie się sami: