השלמת שלב ראשון בפרויקט בקרת הרשאות

חברת מנורה מבטחים השלימה שלב ראשון בפרויקט ארגוני רחב היקף להפעלת מערכת בקרת הרשאות (Access Governance). הפרויקט אשר נערך בליווי חברת פרולינק, המתמחה בתחום ניהול זהויות ובקרת הרשאות, כלל הטמעה של מערכת Access Governance המאפשרת אוטומציה של תהליכי ניהול הרשאות שוטף בארגון והפעלת בקרה הדוקה על המשתמשים וההרשאות המשויכים אליהם.

 

במהלך השלב הראשון נערך מיפוי של 150 מערכות אופרטיביות בארגון הכוללות את רוב מערכות הליבה. כתוצאה מכך התבצע טיוב נתונים במסגרתו נמחקו אלפי חשבונות מיותרים מהמערכות השונות והחל מעבר לשימוש בפרופילים. הפרויקט יאפשר לחברת מנורה מבטחים לעמוד בדרישות הרגולציה באופן שוטף ולאורך זמן, ולחסוך משאבים רבים ביחס לבקרת הרשאות בצורה ידנית.

אייל דורון, מנהל פרויקט בקרת הרשאות במנורה מבטחים: “בסיום השלב הראשון, עברנו מאי-יכולת ביצוע ליכולת ביצוע. בארגון כמו מנורה מבטחים פועלות מאות מערכות ורכיבים המייצרים מאות-אלפי קומבינציות של הרשאות שלא מאפשרים להוציא דוחות כוללים ולקבל תמונת מצב אמיתית. באמצעות מערכת ה – Access Governance של אבקסה אפשר לקבל כעת דוח לגבי הרשאות של כל עובד, לבצע בדיקה אוטומטית של הרשאות מול הגורמים המאשרים, “לחסל” במהירות חשבונות כפולים, לבצע סקירה כוללת לגבי כל סוגי ההרשאות בארגון ולמנוע הרשאות מיותרות. כל זה מתאפשר ממערכת מרכזית אחת ללא צורך להוציא דוחות ממערכות שונות, הפועלות כל אחת בשיטה ורמת מורכבות שונה לניהול הרשאות”.

הפרויקט נע קדימה בתנופה גדולה. בשלב השני של הפרויקט, שיימשך לאורך שנת 2011 יושלם המיפוי של עשרות מערכות נוספות במנורה מבטחים,ופעילות המערכת תורחב לשילוב חוקי SOD (Segregation of Duties) המבטיחים מניעת שילוב הרשאות בהן יש סתירה עסקית, ולפיכך יופחת עוד יותר הסיכון לנזקים הנגרמים משימוש בלתי ראוי במערכות הארגון.

כמו כן, במהלך השלב השני יופעלו מודולים נוספים של מערכת ה – Access Governance המאפשרים לנהל את הקצאת ההרשאות בצורה אוטומטית מול מנהלים בארגון.

“פרולינק היא לא חברה המייצגת מוצר, היא מתמחה בנושא. הצוות של פרולינק יושב בחברה עם אנשיה ,עוזר בתהליך כולו, גם בעבודה עם המשתמשים העסקיים, ומכוון את החשיבה הארגונית במסגרת הפרוייקט”, אומר דורון. “זה עסק מורכב בו יש לך הרבה אפליקציות שכל אחת פועלת בעולם שלה. יש הרבה דמיון בין האפליקציות אבל גם הרבה שונות. צריך להביא את כל השונות למכנה משותף אחד ומכאן מורכבות הפרויקט, אבל גם עוצמתו. אם כל הרשאה מתורגמת ב – Access Governance ל”משאב” ו”פעולה”, זה מאפשר להפיק דוחות רוחב, כמו דוח הרשאות על כל המערכות הפיננסיות, ומבחינת מבצע הביקורת נחסך הצורך “לצלול” לפרטים טכניים מיותרים בכל המערכות המבוקרות בארגון “.

עופר גיגי, מנכ”ל פרולינק מציין כי “נראה שרוב הארגונים נמצאים במצב בו בקרת ההרשאות מתבססת על קבצי אקסל עם נתונים הנשלפים אחת לתקופה ממערכות שונות, ומנסים לשקף עולם שהוא מורכב מדי. יתר על כן, חסרים מאד כלים המיועדים למנהלים העסקיים, אך מצפים מהם “לחתום” ולאשר את מוכנות הארגון לרגולציה בלי לספק להם כלים מתאימים לבקרה ואכיפה.”

“במנורה מבטחים הלכו “עד הקצה”, וכללו בפרויקט את כל האפליקציות וכל האוכלוסיות (כמו: סוכני ביטוח, ספקים, עובדים). מדובר בפרויקט מאסיבי המניע תהליכים רבים בארגון, כולל “שנוי התנהגותי” הנדרש כדי שמערכות המידע ינוצלו נכון, תוך שמירה על רמת הבקרה הגבוהה ביותר”.