בקרת הרשאות בויזה כ.א.ל

פתרון ה- Aveksa שהטמיעה פרולינק מאפשר ל-CAL לבצע אוטומציה של תהליכי בקרת הרשאות, למזער טעויות אנוש, ולחסוך בעלויות הבקרה.

CAL, הנדרשת לעמוד ברגולציה המחמירה של עולם הבנקאות הישראלי, השלימה פרויקט באמצעות חברת פרולינק, לאוטומציה של תהליך בקרת ההרשאות בארגון. מערכת תוכנה מבית Aveksa מספקת לתחום אבטחת המידע תמונה מקיפה, מפורטת ומדוייקת של הרשאות המשתמשים בארגון. למשתמשים העסקיים -מנהלים שונים בארגון-המערכת מציגה בצורה מובנת את ההרשאות שניתנו לעובדים הכפופים להם.

הרגולציה בישראל ובעולם דורשת אימות של הרשאות שניתנו לעובדים בארגון, כדי להבטיח כי לכל עובד ניתנת גישה אך ורק למשאבים הדרושים לעבודתו.

מנהלים מבצעים בקרות דרך מסכי המערכת, ומגיבים באישור או דחיה של כל הרשאה. באמצעות המערכת מתאפשר לCAL ביצוע בפועל ומעקב אחר תהליך אשרור הרשאות תקופתי באופן שממזער טעויות אנוש וחוסך מהותית בזמן ובמשאבים המושקעים בתהליך שנדרש בארגון באופן שוטף.

"אנו עומדים בביקורות כל הזמן. החל מהפיקוח הראשי של הבנקים בישראל, ועד ויזה הבינלאומית. אין רבעון בו אנו לא נדרשים לטפל בביקורות, וכמעט בכל ביקורת נבדק נושא ההרשאות", אומר יאיר רובין מנהל אבטחת המידע בCAL. "הצורך במערכת בקרת ההרשאות של Aveksa עלה כתוצאה מהדרישה של ביקורות רגולציה להציג כיצד אנו מוודאים שההרשאות הקיימות בפועל אכן תואמות להרשאות שניתנו לעובדים".

"רצינו את הפתרון בעיקר כדי שנוכל להפעיל תהליך ארגוני אפקטיבי של אשרור ההרשאות. המערכת מאפשרת לנהל קמפיין המציג למנהלים בצורה נוחה אילו הרשאות יש לעובדים", הוסיף רובין. "בחרנו במערכת Aveksa מתוך מספר מוצרים שנבחנו, אחרי שהתרשמנו מיישומים של המערכת בארגונים פיננסיים גדולים בשוק".

"מערכת ה- Aveksa מאחדת את אלפי סוגי ההרשאות הקיימות בארגון, ומציגה אותן למנהלים בעברית קלה להבנה", אומר עופר גיגי, מנכ"ל פרולינק. "לצורך עמידה בביקורת פנימית או חיצונית, המערכת מאפשרת להציג במהירות את ההרשאות השונות על פי פילוחים שונים כגון לפי מערכת או תפקידים. עבור כל נתון ניתן לבצע Drill Down כדי לזהות את מקור ההרשאה".

הפתרון: תמונת הרשאות אמיתית במערכות

"בחרנו במערכת Aveksa מתוך מספר מוצרים שנבחנו, אחרי שהתרשמנו מיישומים של המערכת בארגונים פיננסיים גדולים בשוק. מדובר במוצר עם יכולות מוכחות", מספר רובין על הבחירה. "רצינו את הפתרון בעיקר כדי שנוכל להפעיל תהליך ארגוני אפקטיבי של אשרור ההרשאות. המערכת מאפשרת לנהל קמפיין המציג למנהלים בצורה נוחה אילו הרשאות יש לעובדים.

המנהלים מצידם, מקבלים תיאורים בעברית של כל הרשאה ומשמעותה ונדרשים לסמן 'אשר' או 'דחה' עבור כל הרשאה. זאת, בניגוד למצב הקודם בו מנהלים נדרשו לאשרר הרשאות מקודדות בשפה טכנית אותה לא הבינו." במידה ומנהל מורה על הסרת הרשאה לא נחוצה, מערכת Aveksa גם עוקבת ומוודאת שהסרת ההרשאה אכן מבוצעת כנדרש. מחלקת אבטחת המידע יכולה לבצע מעקב אחר התהליך כולו, ולוודא כי כל המנהלים בצעו את האשרור לעובדים.

מערכת ה- Aveksa עובדת בנפרד מה- IDM, וישירות מול המערכות השונות. לפיכך היא מאפשרת לזהות מהן ההרשאות שניתנו בפועל במערכות עצמן, ולקבל בכך תמונה אמיתית – ההכרחית כדי לשמור על הגנה מלאה על המידע וכדי לעמוד ברגולציה.

מערכת Aveksa מספקת מנוע חוקים לאיתור חריגות הרשאה באופן אוטומטי, ומחולל דו"חות גמיש בעזרתו יכול צוות אבטחת המידע לספק במהירות פירוט הרשאות בכל חתך, ולבצע Drill Down להצגת מקור ההרשאה של עובד מסוים.

ההטמעה

פרויקט בקרת ההרשאות החל בספטמבר 2011 ונמשך 5 חודשים. את הפרויקט הובילה פרולינק בשיתוף מחלקת אבטחת המידע של ויזה כא"ל. חלק מרכזי בתהליך ההטמעה הוא לימוד עולם ההרשאות במערכות השונות, כולל רזולוציה פרטנית כמו "קוד X משמעותו זיכוי לקוח בסכום מסוים".

הפרויקט כיסה מערכות חלונות, VMS, ERP, סיבל CRM ועוד מספר מערכות ליבה", מסביר רובין. "פרולינק ביצעה עבודה יסודית ומסודרת. הם נכנסו לעומק, למדו וכתבו מסמכי אפיון בצורה מרשימה, והם עובדים עם תיעוד מלא. במישור הטכני, פרולינק הפגינה יצירתיות ומקצועיות בכל הקשור לממשקים עם מערכות מיוחדות, ובזמן קצר".
בהמשך מתכננים באבטחת המידע של CAL להרחיב את השימוש ב- Aveksa לכסוי מערכות נוספות בארגון. בנוסף, CAL שוקלת לנצל את מערכת Aveksa לביצוע פרויקט מיפוי תפקידים, ולאפשר הרחבה של ניהול הרשאות מבוסס תפקידים (RBAC) בעזרת היכולת המובנית במוצר לביצוע Role Engineering .

לדברי עופר גיגי, מנכ"ל פרולינק: "תחום בקרת ההרשאות (מוכר גם כ- Access Governance או Access Certification) הופך בהדרגה לחלק בלתי נפרד מתחום אבטחת המידע בארגונים גדולים, בעיקר כאלה הנתונים לרגולציות. בעוד בארגונים רבים דואגים בעיקר למתן הרשאות למשתמשים חדשים והסרתן בעת סיום העבודה (תהליכי IDM/ניהול זהויות "מסורתיים"), גישת ה- Access Governance מאפשרת עליית מדרגה אמיתית ביכולת הבקרה והאכיפה של הרשאות – גם על מערכות שאינן מטופלות בתשתית IDM, תוך שילוב נכון של הגורמים העסקיים בארגון – שהם אלה הנדרשים לאחריות כלפי הרגולציה".

פורסם בעיתונות :

ידיעה באתר אנשים ומחשבים
ידיעה באתר ספונסר
ידיעה באתר ידעטק
ידיעה באתר טלנירי