ניהול זהויות והרשאות בעיריית ירושלים

הצעד הראשון לחיזוק אבטחת המידע בארגון גדול ומבוזר כמו עיריית ירושלים היה ניהול נכון של המשתמשים הרבים במערכת. לשם כך הוטמעה מערכת ניהול הזהויות (IdM) של חברת Novell, שהוכיחה כי ניהול תהליכים נכון יכול להביא לא רק לחיזוק אבטחת המידע, אלא גם לייעול וחיסכון.

ראיון עם מר איתמר קורנפלד, ראש מטה המחשוב בעיריית ירושלים

המטה למחשוב בעיריית ירושלים הוקם לפני מספר שנים במטרה לעשות שינוי מקצה לקצה במחשוב הארגוני. תפיסת העבודה במטה המחשוב היא לרכז את המשאבים התקציביים ואת התהליכים המרכזיים במקום אחד. מוביל את מטה למחשוב מר איתמר קורנפלד, אשר נמצא במערך המחשוב של העירייה שנים ארוכות ומכיר היטב את מכלול תשתית הIT הארגונית.

מטה המחשוב התווה תוכנית אבטחת מידע רחבה, במטרה להגביר את יכולת השליטה בכלל המערכות. בעיריית ירושלים פועלים למעלה מ- 3000 משתמשים ביותר מ- 100 מערכות מידע ע”ג מגוון רחב של פלטפורמות. כדי לעמוד במשימה נדרשה התאמת תהליכים ארגוניים על בסיס מערכת הניתנת להתאמה לתשתית הקיימת.
כדי לעמוד במטרה של הפעלת תשתית אבטחת מידע איכותית, נדרש היה למפות ולנהל את כל משתמשי המערכות בצורה ריכוזית ומדויקת. למטרה זו הוטמעה מערכת IdM של Novell.

למה נדרשה מערכת ניהול זהויות ?

מספר איתמר: “עד הקמת המטה למחשוב עבדנו בצורה מבוזרת מדי. כל עובד שביקש שימוש במערכת, קיבל גישה אליה הלכה למעשה. מצב זה חייב שינוי. הטמעת מערכת ניהול הזהויות יצרה גשר בין צד מגישי הבקשות והמשתמשים לבין צד המערכות וה Help Desk . כך שברגע שהמערכת פועלת ומנהלת את כל הזהויות היא חוסמת גישה ישירה אל המערכות.”

“בהתחלה חשבנו על בניית מנגנון פנימי הכולל שימוש בטפסים באינטראנט, אבל אז התוודענו לפתרון ה- IdM, ובאמצעות חברת ProLink התחלנו באפיון הפתרון לצרכים שלנו, ובהטמעה של המערכת.”

אז מהו IdM ?

ראשי התיבות IdM מתייחסים באופן כללי למונח “ניהול זהויות” (Identity Management). תחום ניהול הזהויות מכסה למעשה כמות גדולה מאד של היבטי טיפול במשתמשים, החל מהמידע הגולמי עצמו על האדם, דרך שיטות שונות לזיהוי משתמשים, אכיפת הרשאות, טיפול בסיסמאות, Single Sign On, Federation, ועוד.

חברת ProLink, המלווה גם את הפרויקט הזה, היא חברת שירותי מומחה הממוקדת בתחום ניהול זהויות והרשאות. עופר גיגי, מנכ”ל החברה, מסביר כי היישום הנדרש ביותר של “ניהול זהויות” הוא היכולת לשלוט במידע על המשתמשים ובהרשאות הגישה שלהם לכל השרתים, היישומים, בסיסי הנתונים ומאגרי המידע בארגון. מנגנון כזה מבטיח כי כל ישות העובדת עם משאבי הארגון, ויהיה זה עובד החברה, ספק חיצוני, קבלן משנה, לקוח וכדומה – כולם יהיו מסוגלים לבצע את עבודתם המוגדרת, תוך יכולת לגשת למשאבי מידע מותרים. יחד עם זאת יהיו אנשים אלה חסומים מלגשת למשאבים אשר אינם נחוצים לביצוע תפקידם. מאחר והגדרת התפקיד ו/או צורכי העבודה של אנשים שונים עשויים להשתנות במהלך הזמן, חייבת להיות יכולת להתאים ולשנות באופן מהיר את מכלול ההרשאות לאותו אדם, מיד עם שינוי הגדרת התפקיד או וצרכי העבודה.

התאמה מלאה לתהליכים ארגוניים

במטה המחשוב של עיריית ירושלים עצמו עובדים כיום רק 5 אנשים, רוב כוח האדם במערכות המידע מתבסס על שירותי מיקור-חוץ של חברת מלם. מעבר לכך הוחלט להשאיר מנהלי מחשוב אגפיים מטעם העירייה. מנהלי המחשוב ממלאים כיום תפקיד חשוב בתהליך ניהול הזהויות, ומהווים גורם מקשר בין משתמשי הקצה לבקשות לקבלת הרשאות והאישורים המטופלים על ידי המערכת.

כיצד מתבצע היום ניהול הגישה של עובדים למערכות ?

במישור “חווית המשתמש”, אומר איתמר, “אחת ההחלטות שקיבלנו הייתה לא ללכת לכיוון של Single Sign On – כניסה אחת לכל המערכות, ויחד עם זאת – לתת למשתמש בדיוק מה שהוא צריך ולא מעבר. בלי להיכנס לפרטים טכניים, הרעיון הוא שעובד אשר מגיע, נניח, לאגף הגביה זקוק למערכת כח האדם וגביה. העובד ממלא טופס הצהרת סודיות שהחוק מחייב, והמהווה בעצם גם בקשה לגישה למערכות. הטופס כולל את נתוני העובד, לאילו מערכות הוא זקוק, וכמובן את ההצהרה על שמירת הסודיות. מנהל המחשוב האגפי, אשר מכיר היטב את הצרכים של כל עובד ואת המערכות מולן הוא עובד, מאשר את הבקשה לקבלת המערכת או מחזיר לבירור נוסף – מדוע יש לאותו עובד צורך במערכת זו.”

הפתרון של Novell, כפי שהוא בא לידי ביטוי בעיריית ירושלים ובעשרות פרוייקטים נוספים בישראל, מספק ראייה כוללת של תהליך ניהולי, ולא רק ערכת קוד קלה לתפעול. Novell מתמקדת זה קרוב לעשור בפיתוח והבנה עמוקה של ניהול מבוסס זהויות. ההובלה שלה בתחום מורגשת גם בקידום פרויקטי קוד פתוח על מנת להרחיב את אימוץ ניהול הזהויות בעולם, והיא שותפה בוועדות תקינה בינלאומיות לתחום ניהול הזהויות.

אז המערכת מאפשרת ניהול עצמאי של כל יחידה ומשאירה את הפיקוח והשליטה אצלך?

“המערכת מספקת יכולת שליטה למנהל על כל המשתמשים, עד לרמה של הוספת והורדת הרשאות. אני יודע מי ומה המשתמשים, וכל אישור מקבל תיקוף פה. יש מצבים בהם האישורים נבלמים ואז נפתח דו שיח עם המנהל האגפי לבדיקת נחיצות האישור. זה מונע מצבים שהיו בעבר בהם סתם פותחים מערכות עבור משתמשים, או שפותחים משתמש חדש ללא מערכות משויכות”.

“כמו כן, אופן יישום מערכת ה IDM בעירייה מאפשר הכנסה פשוטה של מערכות מנוהלות נוספות לתשתית ניהול הזהויות, באופן שלא מצריך לימוד נוסף על ידי מנהלי המערכת בארגון.

“יתרון בולט נוסף שניתן להצביע עליו, הוא היכולת להפיק דוחות ניהוליים. ברגע שיש לי מצאי מעודכן של כל המשתמשים, ניתן לראות תמונה מלאה של כל נתוני העובדים, וכן של הציוד בו משתמשים, זיכוי של עובד, שימוש ב Help Desk, כמה מערכות נמצאות בשימוש, כמה מערכות משויכות לעובד, תאריכי התפוגה של הרשאות, ועוד. למעשה ניתנת לי יכולת ניהול עובדים. לדוגמא, לא תמיד טורחים לעדכן כי עובד עזב וכי יש להסיר את ההרשאות שלו – המערכת מאפשרת לנו מעקב רציף אחרי זהויות שאינן קיימות יותר בארגון”.

האם המערכת יצרה חסכון בעבודה ?

“לצוות ה Help Desk הרבה יותר קל מבחינת ניהול המשתמשים- כל המידע פרוס להם מול העיניים. מבחינת סדר, הכל מסונכרן, אין אנשים שאתה לא יודע מיהם בגלל רישום לא נכון של תעודת זהות. גם מבחינת ניירת חסכנו המון, כשכל האישורים עוברים דרך המערכת”.

מערכת ה- IdM מותאמת למגוון גדול של מערכות והיא גמישה במיוחד כדי לאפשר התאמה מירבית. הדבר היה חשוב במיוחד כאשר מדובר בארגון כמו עיריית ירושלים בו פועלות מערכות IBM Mainframe, IBM AS/400 ,סביבת Active Directory של מיקרוסופט, מערכות מבוססות Microsoft SQL ושרתי Novell NetWare עם eDirectory .

כיצד הותאמה מערכת ה- IDM של נובל לצרכים שלכם ?

“90% מהמערכת הותאמה לדרישות שלנו. גם במקרה המיוחד של מערכת ה Mainframe שלנו, שהיא קריטית ומרכזית מצד אחד, ומאידך נשענת על מערכת הפעלה מעט מיושנת, עזרה לנו חברת פרולינק (ProLink) להכין ממשק מותאם מיוחד לטיפול במשתמשים ובהרשאות דרך מערכת ניהול הזהויות.

כאמור, אנו בחרנו להתמקד רק בגישור בין המערכות הקיימות לבין תהליכי הניהול. לא באנו מהכיוון של ה- IT אלא מזה של משאבי האנוש, ורק אז יצרנו את החיבור אל ה- IT. למערכת קיימות מספר יכולות מעניינות נוספות, כמו למשל מאפשרת היכולת לנהל את הגישה עד לרמת השדה הבודד, אבל גם זה פחות רלוונטי בארגונים מהסוג שלנו. חשוב לציין כי העובדה שמנהלי המחשוב היו שותפים לתהליך, היה שלב ההטמעה של כל המערכת מהיר מאוד”.