More Related Content
Similar to 392576430 idm-2018
Similar to 392576430 idm-2018 (20)
More from Inbalraanan (20)
392576430 idm-2018
- 1. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 1 of 17
שולחן מפגש סיכום
-
עגול
בתחום עדכונים
IDM – Identity management
מנחה
כהן פיני
- 2. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 2 of 17
,שלום נכבדים לקוחות
עגול שולחן במפגש השתתפותכם על תודה
Round Table
בנושא
IDM
.
במפגש .המפגש במהלך שעלו הדברים עקרי סיכום מצ"ב
שתומצתו מהותיים נושאים עלו
של והצגה פרספרטיבה מתן אלא ללקוחות גורפת המלצה זה בסיכום אין .שעלו כפי בסיכום
.""מהשטח כלומר במפגש שעלו ההתלבטויות
פרויקטי
IDM
מרוכז באופן המערכות לכל עובד (הוספת במיוחד בעייתיים אינם הבסיסיים
.)הארגון את עוזב העובד כאשר ומחיקתו
ו
פרויקטי ,אולם
IDM
קובעים גם אשר מורכבים
roles
להיות עלולים המערכות בכל עובד של
קשים
אפשריים "בלתי עד
"
כאשר במיוחד
מצפים
ה שפרויקט
-
IDM
"סדר "יעשה
בארגון
.
אין שבו בארגון ,אופיינית דוגמה
IDM
,התפקידים של מסודרת הגדרה ואין
במחוז
עד הלוואה לאשר יכול מסוימת בדרגה פקיד צפון
100
.₪
יכול פקיד אותו דרום במחוז
עד הלוואה לאשר
200
.₪
מכניסים כאשר
IDM
לק יש
ב
ו
,מה לבצע יכול מי מסודר באופן ע
לפר לגרום עלולה כזו סוגיה
עסקית ארגונית החלטה מתקבלת אשר עד רב זמן להתעכב ויקט
ל קשור (לא
-
IT
.מה לבצע יכול מי לגבי )
,(או"ש הפרויקט על אחראי יהיה חיצוני שגורם רצוי זה מסוג פרויקטים על מדובר כאשר לכן
HR
.הפרויקט את המובילים הגורמים הם ) 'וכד
,בברכה
כהן פיני
- 3. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 3 of 17
תוכן
רקע
................................
................................
................................
.............................
3
הפרוייקט על ארגונית אחריות
................................
................................
...........................
4
הסיבות
מפרויקט המצופות התועלות
IDM
................................
................................
.........
4
פרויקט תקציב
IDM
................................
................................
................................
........
5
פרויקט ביישום ""רוחב מול ""עומק
IDM
................................
................................
..............
5
עובד של סטטוס שינוי
................................
................................
................................
......
5
ביישום אתגרים
IDM
–
ארגונ מורכבות
בהרשאות וגרנולריות ית
................................
...............
6
ליישום גישות
–
היישום לפני דוחות ביצוע למול הקלאסית הגישה
................................
.............
8
IDM
לווין ומערכות
................................
................................
................................
..........
8
הערות
המלצות
ליישום נוספות
IDM
................................
................................
...................
9
ספקים של תגובות
................................
................................
................................
........
10
Nesspro
................................
................................
................................
.................
10
תגובת
one1
................................
................................
................................
............
15
רקע
של המרכזי התחום
IDM
באופן המשתמשים הרשאות את המנהלת סביבה הוא
.מרוכז
ממערכות אחת בכל העובד את להגדיר במקום לארגון עובד מצטרף כאשר ,לדוגמה
ה ,הארגון
-
IDM
.המערכות בכל העובד את שמגדיר הוא
את עוזב העובד כאשר כנ"ל
ופותח אליהן לגשת צריך לא שכבר המערכות את לו (סוגר תפקיד משנה לחילופין או הארגון
החדשות את
)
.
ה
-
IDM
מתוך תחום תת הנו
IAM
–
Identity and Access Management
בהמשך .
לתחומים התייחסות
ל הקשורות מערכות
-
IDM
.
- 4. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 4 of 17
הפרוייקט על ארגונית אחריות
ה עקרוני באופן
-
IDM
ה ידי על מובל להיות אמור אשר ארגוני פרויקט הנו
-
HR
ה או
-
.או"ש
האו"ש (בעיקר אלו גופים
הגדרת על גם ומתוכם בארגון התהליכים הגדרת על אמונים )
של ברובם ,בארגון שעלה מה פי על ,בפועל ,זאת עם .מערכת לכל השונות ההרשאות
ה הארגון
-
IT
ספציפית ויותר הפרויקט על האחראי הוא
–
.הסיבר הגנת מחלקת מתוך צוות
היסטורית סיבה הנה לכך הסיבה
מצר לדוגמה כאשר .פרקטית
ללא לארגון חדש עובד פים
מערכת
IDM
המערכות בכל העובד הרשאות של הגדרה ישנה אשר עד רב זמן עובר
–
דבר
ה ידי על בפועל שמתבצע
-
IT
אוטומציה ביצוע על הלחץ ולכן
הגדרת של בתחום
USERS
(
פרויקט כלומר
IDM
)
ל מגיע
-
IT
אינו הדבר .הפרויקט על אחריות לוקח הוא ולכן
רצוי
ויש
את להעביר
ל לפרויקט האחריות
-
ל או או"ש
-
HR
.
ה בעקרון
-
IDM
ממערכות להיגזר אמור
ה
-
HR
.
הסיבות
מפרויקט המצופות התועלות
IDM
מפרויקט להפיק שניתן תועלות של רשימה להן
IDM
.
•
תפקיד בשינוי גם .עובד של בהוספה בעיקר זמן קיצור
–
מיילים דרך עובד היה פעם
–
כיום
מ דרך
.ערכת
)(מוריד מונע
המתאימות הגישה ההרשאות את לו אין כי עובד של השבתה זמן
.גישה הרשאות של ידנית בהוספה הנדרש הזמן את וגם
•
ש נגזרת
ל
הקודמת התועלת
–
ה של עבודה בתהליכי ייעול
-
service desk
במקום .הארגוני
ו במערכות משתמשים יגדיר שתומך
-
roles
מתאימים
–
יישום
IDM
באופן זאת יבצע
.אחרות למשימות התומכים של הזמן את יפנה ובכך אוטומטי
•
ה מתחום נגזרות דורשות אשר רגולציות ישנן
-
IDM
בתחום לדוגמה .
SOX
מנהל כל על
(פנימיים העובדים רשימת את תקופתי באופן לאשר
למערכות ניגשים אשר )חיצוניים
למידע
ע .במערכת לעובד יש הרשאה איזה כולל
מבחינת המצב שתמונת בחתימתו לאשר המנהל ל
.תקינה הינה הרשאות
•
שונות ברמות אנומליות זיהוי
אנומליות לדוגמה
-
להם ונאשר תפקיד שעברו משתמשים
הרשאות
נדרשות לא שכעת ישנות
.
ל
דוגמה
access list
ללא
identity
""גנרי גישה חשבון .
ללא
ע מקילות כאלו אנומליות .""ספציפי משתמש
ביצוע ל
fraud
בהקשר "כ"חורים ונחשבות
הגנת
cyber
.
•
צולבות הרשאות זיהוי
–
יש לעובד אם ,הסבר .סייבר ולחשיפות למעילות פתח שמהוות
לספק לשלם ,הדרישה את לאשר ,במערכת רכש דרישת להזין מאפשרות אשר הרשאות
מהמלאי אותו ולמחוק המוצר של קבלה לאשר
–
הקוראת "פרצה כאן ישנה
."לגנב
- 5. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 5 of 17
•
מערכת לעיתים
IDM
.ורלוונטיות עדכניות תפוצה רשימות בבניית לסייע יכולה
פרויקט תקציב
IDM
•
IDM
,המערכות מספר .)"ליתום "חליפה של (סוג גדולה מאוד שונות עם פרויקט הוא
המשתמשים מספר ,""לדבר רוצים שאיתם הטכנולוגיות מספר ,המערכות מורכבות
שמוגדרים והמשתמשים
not- active
ועוד ועוד
.
•
פרויקטי עבור הגענו אליו המספר תקציב תכנון לצרכי ,זאת עם
on prem
רישוי עבור הוא
כ )ראשונה לשנה תחזוקה (כולל
-
70$
וכ בסיסית מערכת עבור למשתמש
-
100$
למשתמש
מתקדמת למערכת רישוי עבור
workflow
מתקדם
, roll based
.'וכד מתקדמים
•
כ לחשב יש עבודה לצורך
-
150%
מסובך שאינו לפרויקט דוגמה בתור כאשר .הרכש מעלות
וכללה שנה חצי ערכה המערכת הקמת )מראש מוגדר יחסית העבודה תהליכי (מצב יחסית
.מתכנתים שני ועוד הספק מטעם פרויקט מנהל
""רוחב מול ""עומק
פרויקט ביישום
IDM
הדילמ קיימת רבים כבפרויקטים
הפרויקט את לבנות האם .הפרויקט יישום אופן של ה
ל
"
עומק
"
או
"
לרוחב
ב ."
-
ל מערכת מכניסים שכאשר הכוונה ""לעומק
-
IDM
יהיה היישום
ב .הבאה למערכת עוברים מסוימת במערכת המלא היישום לאחר ורק מלא
-
""לרוחב
לאחר ורק הרלוונטיות המערכת לכל כללית מסגרת בונים שקודם הכוונה
את מעמיקים מכן
לדוגמה .היישום
-
ה פתרון את מיישמים קודם לרוחב ביישום
-
IDM
שיפתח כך
USER
בכל
ה (מה ההשראות את אבל המערכות
-
USER
לבצע יכול
)לראות
.ידנית עדיין מבצעים
עובד של סטטוס שינוי
י כאשר
ב שינוי ש
שבו מצב תיאר הארגונים אחד )תפקיד (שינוי עובד של סטטוס
מתב
צעת
כפולה סקירה
-
."להשאיר צריך "מה הישן המנהל
ו
צריך והאם לקבל צריך "מה החדש המנהל
."להשאיר
מאושר להיות שצריך תהליך על מדובר
.שבועיים תוך
תיארו אחרים ארגונים
את ומגדירים ."הכל של "איפוס מבצעים עובד של בסטטוס שינוי יש כאשר שבו מצב
ב החדש התפקיד לפי ההרשאות
לבד
–
.העובד עבור דורש החדש שהמנהל מה
- 6. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 6 of 17
הערת
STKI
–
מטרציוני ארגוני מבנה
פרויקטלי
גורם
ה בתחום לאתגרים
-
IDM
כי
במבנה
אין כזה ארגוני
ב רואה אשר "אחד "מנהל
-
100%
)(הרשאות התפקיד דרישות את
של
.העובד
ביישום אתגרים
IDM
–
ארגונית מורכבות
בהרשאות וגרנולריות
מופעל בו אשר ""אידאלי בארגון
IDM
ה ,הראשון מהרגע
-
HR
ההרשאות כל את מגדיר
שינוי כל כי פרויקט ליישם יחסית קל כזה במצב .המשתמשים סוגי לכל מלא באופן הנדרשות
ב
-
HR
והגדרת במערכת משתמש (הגדרת התפעוליות במערכות השינוי את יגרור
ה ברובם ,ואולם .)המערכת בתוך ההרשאות
ה ארגוני של מכריע
-
enterprise
.כך הדבר אין
כולל שונים מונחים ועם צולבות ,שונות הגדרות ישנן מערכת בכל .להיפך
בהרשאות ניואנסים
ה מבחינת ,לדוגמא
-
HR
יש "ל"אבי בפועל אולם תפקיד באותו נמצאים "ו"משה ""אבי
להגד אם דילמה ישנה וכעת ."מ"משה אספקטים במספר שונה הרשאה
יר
תפקידים שני
)העובדים כמספר כמעט תפקידים הגדרות למספר להגיע ניתן מסוימים בארגונים (ואז שונים
ההרשאות במידת גמישות לתת אבל אחד תפקיד אם להישאר או
ב ישוקפו שלא
-
HR
ואפילו
ב
-
IDM
.
להגדיר אלא ברירה אין רבים בארגונים
roles
תפקידים
והתוצאה וספציפיים רבים
מס היא
של עצום פר
roles
מה איזה לדעת ניתן תמיד לא כאשר
-
roles
רלוונטיים עדיין
(לדוגמה
role
.מערכות של רב למספר לגשת היה יכול בארגון שעבד בכיר יועץ עבור שנכתב
ה אבל ,נמחקו שלו החשבונות .במערכת עובד לא כבר היועץ
-
role
גישה שמאפשר במערכת
זו מורכבת
–
.)קיים עדיין
הגישה אידאלי באופן
רבים במקרים ואולם "ה"שדה ברמת להיקבע אמורה למערכות צפייה
לגישה ההרשאה
העסקי הגורם מקרה ובכל מערכת של שלם מודול ברמת מתבצעת צפייה
המערכת בעל שהוא
העסקית ההנחיה את מתרגם אשר טכנולוגי גורם צריך המידע בעל
נמצאים מידע פרטי (איזה פרקטית להנחיה
מערכות באיזה
.)דוחות
פרויקט ביישום לקושי הגורמים אחד
IDM
של בהקשר הארגונית המורכבות מידת הוא
מרצה .האקדמיה את לציין ניתן זה בהקשר ""בעייתי למגזר דוגמה בתור .ותהליכים הרשאות
למע גישה בכל ,ואז .מנהלי עובד וגם מחקר עובד גם להיות ויכול סטודנט גם להיות יכול
רכת
שמתחיל עובד באקדמיה ,כן כמו .הפעולה מתבצעת ספציפית ""הרשאה איזה עם לקבוע יש
)סמסטר בתחילת לעבוד שמתחיל (מרצה מסוים בתאריך לעבוד
להשתמש )(צריך רוצה
עוד חומרים להעלות רוצה המרצה כי לתוקף נכנס שלו שהחוזה לפני עוד המידע במערכות
.התחיל שהסמסטר לפני
- 7. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 7 of 17
- 8. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 8 of 17
גישו
ליישום ת
–
היישום לפני דוחות ביצוע למול הקלאסית הגישה
יישום של המסורתית הגישה
IDM
ה שבתחילה דוגלת
-
IDM
פותח
משתמשים סוגר
המערכות בתוך בהרשאות גם מטפל מכן לאחר השונות במערכות
ביצוע ,
provision
)(אכיפה
( האנומליות את מציפים אשר הדוחות את בונים מכן ולאחר
חשבונו
פתוחים ת
שעזבו לעובדים
.)'וכד צולבות הרשאות ,
אשר שונה לגישה עדים אני לאחרונה
מושג מקבלים וכך היישום לפני הדוחות בביצוע דוגלת
.עצמו היישום שמתחיל לפני עוד לבצע חשוב מה על
המלצת
STKI
עקב מותנע והפרויקט במידה .הפרויקט של הבסיסי הצורך לפי לפעול היא
להגבר צורך
בזמן (חסכון היעילות ת
–
להגדרת שמחכים
USERS
הרי )עובד קולטים כאשר
רגולטורי צורך עקב מותנע והפרויקט במידה .המסורתי באופן להתחיל שעדיף
פנים ביקורת
.בפועל היישום לפני דוחות ביצוע לשקול ניתן
IDM
לווין ומערכות
נילוות מערכות מספר להלן
ה מערכת מתכונות כחלק מוגדרות שלעיתים
-
IDM
:
•
SSO
–
לבצע במקום
login
בנפרד מערכת לכל
–
ישנו
login
סיסמאות עדכון (כולל אוטומטי
.)דורשת מערכת שכל ובדרישות בקצב
•
ל קשור .ובדיקות דוחות של מודולים
-
GRC
.
מערכות של פונקציונליות
IDM
מחפשות אשר
ל ."חוקיות "לא הרשאות
.אותה לאשר וגם רכש דרישת להזין יכול גם שעובד דוגמה
או
שמבצעים מוצרים גם (ישנם .דרום ממחוז מידע שמחפש צפון ממחוז עובד לדוגמה
מפתרונות חלק שלא זו פונקציונליות
IDM
.)
נוספת יכולת
–
ניהוליים דוחות
רגולטוריים
זמן בכמה פעם
–
העובד של ההרשאות כל את מקבל מנהל
שלו ים
–
והמנהל
עד חשבונית לאשר "מותר דוגמה .בהרשאה "ה"סיכון מידת לפי זאת כל ..וחותם מאשר
1
M$
ה את רואים בדו"ח ואז .גבוה סיכון עם הרשאה זאת "
-
RISK
ומתי הרשאה כל של
.אושרה
.שהשתנו דברים על דוח להריץ יודעים וגם
•
פתרון
access
–
תת כלומר ,עצמו החיבור את מבצע
ה לפני מערכת
-
IDM
המערכת .
משתמש שם הוא ביותר הבסיסי הדבר .שונים פרמטרים לפי להתחבר המבקש את מאשרת
,חזקה הזדהות ,ביומטריות לדרישות מתרחב אך .וסיסמא
OTP
התחשבות תוך אלה וכל
.)ביומטרי דורשים אז לארגון מחוץ בלילה מתחבר אם ,(לדוגמה בלוגיקה
- 9. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 9 of 17
•
של פונקציונליות
self service
מ חלק (לעיתים
-
access
כאשר בטיפול או סיסמא בשינוי )
.נשכחה סיסמא
קשור דבר .הרשאות להוספת בבקשה טיפול
-
.זמניות הרשאות
•
לתחום עקיף קשר
–
מערכות
PAM privileged account management
–
ו שעוקבות
או
כמו ""חזקים ממשתמשים מונעות
admins
למערכו ישירות להתחבר
.ת
את מורידות או
ב (בעיקר ההרשאות
-
PC
ללא עבודה לאפשר בכדי
local admin
.)
•
Cloud identity
–
ו שונות למערכות חיבור של הפונקציונליות את מבצע
-
SSO
בסביבת אבל
ענן
ידוע למוצר (דוגמה
OKTA
.)
•
CASB
-
cloud access security broker
–
חדירה שאין מוודא
לדוגמה .ענן במערכות פגיעה
מבצע שעובד ייתכן לא
login
ו מישראל למערכת
-
3
מבצע כן אחרי דקות
Login
.מארה"ב
הערות
המלצות
נוספות
ליישום
IDM
•
פרויקט יישום לאחר
IDM
להוסיף יש
באפיון
המפותחות (הן בארגון מערכות של הסטנדרטי
)חוץ במיקור המפותחות והן הארגון בתוך
ניהול לעשות "כיצד מידע באבטחת פרק
."משתמשים
•
יש מערכת לכל
OWNER
שמאשר .
.הגישה הרשאות ואת המשתמשים את
•
של סטטוס להגדיר יש
future employee
כלומר
.""פעילים לא משתמשים
תאריך כאשר
התחל
.העבודה תחילת תאריך הוא הפעילות ת
•
)קבלן (עובדי חיצוניים עובדים לגבי
תוקף מקבלות להם שניתנות ההרשאות ארגונים במספר
תקופה בכל המשתמש של קיומו ואת ההרשאות את לאשר ויש )שנה או שנה (חצי מוגבל
.מחדש
•
ישנו מראש כאשר
end date
)העובד של העבודה הפסקת (מועד
מ לעיתים
את פסיקים
הפעילות
ימים כמה ולעיתים העבודה הפסקת מועד לפני ימים כמה ההרשאות את מורידים
תוך אותו מוחקים אז ורק שנה כחצי משאירים המייל חשבון את .העבודה הפסקת אחרי
ל התוכן הוצאת
-
PST
.לארכיון
•
פעולות וביצוע למערכות גישה באפשור הוא המשימה עיקר הפרויקטים ברוב
עם .בהתאם
האם (ולא מידע איזה לראות יכול מי כלומר ""המידע הוא הדגש שבהם פרויקטים ישנם זאת
דוחות כל על מעבר גם שכוללים אחרים ניואנסים ישנם זה במקרה .)המידע את לשנות יכול
ה
-
BI
,בארגון
ממערכת)ף חלק (לא קבצים על מעבר
רגולציה בחוקי עמידה
הפרטיות הגנת
וכולל ועוד
,לדוגמה .במידע צפייה לאישור תהליכים
הגישה את העובד עבור מבקש המנהל
)מסוימים לקוחות (נתוני מסוים למידע
.
הבא בשלב
מנהל כך ואחר .לאשר צריך המידע בעל
- 10. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 10 of 17
תשתיות מנהל וגם מידע אבטחת
מאופשר המידע והאבטחתית הטכנית שברמה לוודא בכדי
(
כי
לתת צריך
ל הרשאות
-
DEVICE
עד
קינפוג כדי
DLP
ו
-
FW
.)
•
הוא בפרויקט נוסף רכיב
provision
–
ה ממערכת ההרשאות העברת
-
IDM
המערכות לשאר
ב שהוגדרו ההרשאות שרק לוודא כלומר אלו הרשאות של ואכיפה
-
IDM
ולא תוקף בעלות
ההרשאות מדיניות של אכיפה ביצוע כלומר .במערכות ידני באופן שהוגדרו נוספות הרשאות
ב שמוגדרת
-
IDM
.
ו שבמידה כך
-
sys admin
שאינה הגדרה מבצע מסוימת מערכת של
ה במדיניות נמצאת
-
IDM
–
ה
-
IDM
.הידנית ההגדרה את יבטל
•
פרויקט בכל
IDM
רכיב ישנו
WORKFLOW
שב
למערכת לגישה דרישה ו
להיות צריכה מידע
.מטופלת ואז מאושרת
•
כמה ,מעבר מאפשרות שלא רשתות (כמה הפיזית ברמה מורכבת יותר שהסביבה ככל
AD
יישום )'וכד בנפרד מתחברים אליהם
IDM
.מאתגר יותר יהיה
•
ה בתום החשובות המגמות אחת
-
IDM
הענני בין רציף עבודה ואפשור בענן תמיכה היא
ם
ה ובין השונים
-
on prem
פתרונות גם ישנם כאשר
IDM
.ענן מבוססי
•
המערכת לחשיבות מדד
ה שבו מקרה על מסתכלים לעיתים
-
IDM
.פועל לא
ניתן כלל בדרך
להתחבר
אולם השוטפת בפעילות להמשיך יכול הארגון כלומר למערכות
לצרף ניתן לא
עובדים
או
עובדים לנייד
שבהם מקומות יש אולם .
)(להתחבר כלל לעבוד ניתן לא
ללא
IDM
.
ספקים של תגובות
Nesspro
חברת
NessPRO
הזהויות ניהול פתרון את בארץ המייצגת ,
IDM
חברת של המובילה
NetIQ Microfocus
ניהול פרויקט בראשה ,בשוק מובילים פרויקטים ומיישמת יישמה ,
ישראל ממשלת של וההרשאות הגישה
–
לחברת ,ככזאת .הממשלתי התקשוב רשות
NessPRO
.משלימות מערכות ושל זה מסוג מערכות של והטמעה ביישום שנים רב ניסיון
שביצעה מרכזיים פרויקטים
NessPRO
–
מערכת של והטמעה הקמה
IDM
,בזק ,בממר"מ
.ועוד מגדל ,התעופה שדות רשות
.לקוחותינו את לשתף ,ניסיוננו מתוך ,לנכון רואים שאנו חשובות הערות מספר להלן
- 11. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 11 of 17
הפרויקט על ארגונית אחריות
ה מערכת על אחריות לוקח או מקבל אשר בארגון אחד גוף אין כי מבינים אנו היום
-
IDM
.
ה מערכת
-
IDM
יתרונו מגוון מעניקה
הינה המשותפת מטרתם אשר ,בארגון שונים לגופים ת
שאנו בפרויקטים .וניהולם והרשאות גישה הענקת נושא כל של ומאובטח יעיל ,נכון ניהול
:המערכת של שונים חלקים על אחריות לקחת שונים לגופים ממליצים אנו ,מטמיעים
א
.
ה גוף
-
IT
–
זה גוף
של הטכנית באחריות נושא
כולל ,המערכת
ביצוע
למערכות ההתממשקות
ו המנוהלות
המערכת של שוטף תפעול
כגון ,
,ניטורים ,גרסאות עדכוני
הספק עם קשר ,גיבויים
'וכו בבעיות לטיפול
תמיכה מתן ,המנוהלות במערכות משתנה נתונים מבנה עדכון ,
.וכו למשתמשים
ב
.
האו"ש צוות
–
בראיי ארגוניים תהליכים של נכון לניהול האחריות מוטלת עליו
,ארגונית כלל ה
ה תהליכי את שוטף באופן ולעדכן לאשר שעליו ומכאן
-
Workflow
ל ולדאוג במערכת
הדרכתו
ול
רווחתו
ה מערכת את מנהל אשר הגוף להיות עליו ,ככזה .בארגון העובד של
-
IDM
ברמה
מנהלי דרישות את ולאסוף המידע אבטחת מצוות מדיניות הנחיות לקבל ,אירגונית העסקית
המערכות
.העובדים וצרכי
ג
.
מידע אבטחת צוות
–
וניהולם והרשאות גישה הענקת בנושא הארגון מדיניות על אמון הצוות
,תפקידים או הרשאות ריבוי של חריגים במקרים החלטות קבלת ,סיסמאות מדיניות ,השוטף
את ליישם כיצד האו"ש צוות את להנחות זה גוף על .'וכו ההרשאות נושא על תקופתית בקרה
מדי
הקשור בכל במערכת ועצמאי פעיל גורם להיות אך מידע אבטחת בנושא הארגון ניות
.לבקרה
ד
.
אנוש משאבי מחלקת
–
העובדים נתוני מטיוב העיקרית הנהנת הינה אנוש משאבי מחלקת
,השונים סוגיהם על הארגון עובדי אחר מתמיד מעקב המאפשרת ,הזהויות ניהול במערכת
הנוכחיי ותפקידיהם שיבוצם
הזנת ,עובד שיבוץ עדכון כגון ,אנוש משאבי מחלקת פעולות .ם
ניהול במערכת שונות פעולות רצף להפעלת טריגרים מהוות וכדומה תפקיד סיום תאריך
.הזהויות
מערכת של היתרונות את היטב להבין זה גוף על
IDM
בקשר להיות ועליו עבורו
.האו"ש צוות עם מנחה
- 12. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 12 of 17
הסיבות
/
מפרויקט המצופות התועלות
IDM
מערכת מהטמעת לארגון התועלות של הרחבה להלן
IDM
:
א
.
.ומרכזית יחידה ,אחד במערכת בארגון השונות במערכות משתמשים חשבונות ניהול ריכוז
ב
.
.השונות למערכות הרשאות וחלוקת משתמשים יצירת של אוטומציה
ג
.
שינויים אודות הארגון מערכות של אמת בזמן עדכון
,לחופשה יציאה ,(קליטה עובד בסטאטוס
.)עזיבה ,תפקיד שינוי
ד
.
עובד של עבודתו חיי לאורך המתרחשים לשינויים בהתאם משתמשים חשבונות אחר מעקב
.בארגון
ה
.
.השונות הארגון מערכות בין סיסמאות וניהול סנכרון
ו
.
.בארגון המשתמשים חשבונות בתחום הנעשה אודות אמין תיעוד קבלת
ז
.
קו על שמירה
.השונות הארגון מערכות בין אחידה נוונציה
ח
.
.ארגוניים ושינויים תפקיד שינויי בעקבות לעובדים הנצברות מיותרות הרשאות מניעת
ט
.
ארוכה לחופשה היוצאים עובדים של אוטומטית נעילה ,העובדים חיי מחזור של אוטומטי ניהול
עובדים או פעילים לא עובדים של חשבונות ניהול ,לידה חופשת או
.שעזבו
י
.
ה ומערכות הטכנולוגיות ריבוי של ובקרה שליטה ,איחוד
-
IT
.בארגון
יא
.
מ עבודה
-
Console
.בארגון והפלטפורמות המערכות לכלל משתמשים לניהול מרכזי
יב
.
תהליכים של מלאה אוטומציה
–
.ידניים ובקרה תהליכים ,טפסים ,עבודה בזמן חסכון
יג
.
הקי ורגולציות תקנים אודות לארגונים מענה מתן
.מידע אבטחת בתחום ימות
:המידע אבטחת בנושא ארגוניות יתרונות
א
.
.בארגון משתמשים חשבונות מניהול הנובעים הסיכונים הקטנת
ב
.
.רגולציה בדרישות עמידה יכולת
ג
.
.הרשאות וניהול למערכות גישה למתן הקשור בכל בארגון הנעשה אחר מתמיד מעקב
ד
.
בעקבות השנים עם לעובדים הרשאות צבירת מניעת
.תפקיד מעברי
ה
.
.שיבוץ / תפקיד לפי הרשאות ומיפוי ניהול יכולת
ו
.
.בארגון משתמשים חשבונות ניהול סטנדרט אכיפת
ז
.
.בארגון וקשיח סטנדרטי סיסמאות מערך וניהול אכיפה
ח
.
.אינטרסים ניגוד המאפשרות הרשאות או יתר הרשאות לאיתור כלי קבלת
ט
.
במערכות המתבצעות הפעולות כלל לגבי אמין תיעוד
.וההרשאות המשתמשים חשבונות על
י
.
.עצמן המנוהלות במערכות חוקיות לא פעילויות לגבי התרעות קבלת
יא
.
.אנוש טעויות לצמצם ובכך המערכות ממנהלי משתמשים לפתיחת חזקות הרשאות לקיחת
יב
.
.לארגון סיכון שמהווה שפוטר עובד אחריות תחת שנמצאים משתמשים של מהירה נעילה
יג
.
למערכות בחיבור עובדים של פיזי גישה ניהול לשילוב אפשרות
ו כניסה
.שערים
- 13. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 13 of 17
תקציב
פרויקט
IDM
מערכת להטמעת בארגון המגויס התקציב כי לציין יש
IDM
הערך לבעלי בהלימה הינו
.בארגון
,הגישה ניהול בנושא מתמשכת מהתעסקות בארגון המערכות מנהלי את מפנה המערכת
ה וחשבונות ההרשאות
ה מגוף מופרש מהתקציב חלק כן ועל משתמשים
-
IT
רווח מספק אך ,
שמחזירה השקעה בגדר הינו זה לגוף התקציב ולכן ,עבודה בשעות ובחיסכון בתועלת ברור
.עצמה את
וה האו"ש צוות על גם
-
HR
ארגוניים תהליכים שכן ,כהשקעה המערכת הטמעת את לראות
מיכו של תפנית מקבלים יעילים ולא ארוכים
השיפור את נשכח אל .ארגון חוצה וייעול בקרה ,ן
דבר ,לתפקידו בהתאם הרשאותיו כל את מקבל לארגון הגעתו עם אשר ,העובד בחווית
ו יותר נעימה תחושה ,יותר מהירה עבודה תחילת לו המאפשר
גבוה ממיצוב נהנה הארגון
עובדיו בעיני יותר
–
.בכסף נמדד שאינו דבר
בי ""רוחב מול ""עומק
פרויקט ישום
IDM
בו והרחבה העמקה של ומתגלגלת נכונה דרך אם כי דילמה מהווה אינו הנושא ,מניסיוננו
,אחת מערכת של בסיסי יישום לאחר ,כלומר ,בארגון שונים גורמים של לרוב ,זמנית
שוטפת העמקה תוך ,הבאה המערכת מנהלי בעזרת הבאה למערכת היישום את מרחיבים
במערכת היישום של
מיפוי ,נוספים ניהול תהליכי (יישום וא"מ האו"ש צוות ע"י הראשונה
.)'וכו סוטרות או חריגות בהרשאות יותר מפורט טיפול ,הרשאות של יותר מעמיק
שינוי
עובד של סטאטוס
את מובהק באופן ממחישה זו נקודה
חשיבות
.המידע אבטחת צוות של המדיניות יישום
,לדוגמה
נכון לניהול יביא ,מידע אבטחת צוות בהנחיית ,"הכל של "איפוס של מדיניות קבלת
(דבר הקודמות להרשאותיו נדרש ועדין מנויד אשר עובד .החריגות ההרשאות של זמן ולאורך
כלל שבדרך
)הקודם בתפקיד בטיפולו שכבר נושאים סגירת או חפיפה ביצוע לשם מתבקש
,
י ,"הכל של "איפוס של במקרה
תועבר אשר בקשה ,נוספת להרשאה בקשה להגיש צטרך
של החריגות ההרשאות כלל ,זה באופן .מידע אבטחת צוות לאישור
,וינוהלו יבחנו עובד אותו
לתקופה הרשאות א"מ יעניקו ,משימות סגירת או חפיפה לשם להרשאה צורך של ובמקרים
.אוטומטית בצורה ההרשאות יוסרו בסיומה אשר ,מוקצבת
- 14. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 14 of 17
אתגרים
ביישום
IDM
–
בהרשאות וגרנולריות ארגונית מורכבות
מערכת הטמעת כי הדבר נכון
IDM
אנו .מורכב דבר הינו ,בארגון והיקפה יכולותיה כל על ,
ליתרונות נכונה ארגונית פנים הסברה על דגש תוך ,היישום של והדרגתי נכון ניהול כי מזהים
ומ חששות מפחיתה ,היישום ולאופן השונים
מנהלים ,רבים בארגונים .לדרך יציאה אפשרת
מערכת של ביישום "להרפתקה "לצאת חוששים
IDM
כי "ה"שמועות ומתוך ידע חוסר מתוך
פרויקטי
IDM
,קטנים לחלקים היישום פירוק תוך ,הארגון של נכונה הכנה .להיכשל סופם
.המורכבות את ואיתם החששות את מפחיתים ,ויישימים ברורים
גישות
לי
ישום
להלן
נוספים דגשים מספר
:זהויות לניהול מערכת בתכנון
א
.
מצומצמות עבודה לחבילות בחלוקה ופרטנית מדויקת תכולה קביעת
–
ניהול על לחשוב יש
ה מערכת כגון ,והמערכות המשתמשים לרוב מענה הנותנות המרכזיות הליבה מערכות
-
AD
.
ב
.
הגדרת
החלטות לקבלת מוסמך גורם
תהליכים בנושא
ארגוניים
–
גורם
יהיה זה
מצוות
.האו"ש
ג
.
הגדרת
החלטות לקבלת מוסמך גורם
מדיניות בנושא
–
גורם
יהיה זה
מ
המידע אבטחת גוף
.בארגון
ד
.
ה מחטיבת ,ניהולי/בכיר ,טכנולוגי פרויקט מנהל הגדרת
-
IT
כלל את ומכיר רואה אשר ,
.משתמשים מערכות
ה
.
המיועדות המערכות כלל לגבי מקיף אפיון ביצוע
חשבונות ניהול תהליכי ולגבי לקישור
.בארגון המשתמשים
ו
.
.ארגוניים לתהליכים יסוד ודרישות הנחות קביעת
ז
.
העובדים נתוני כגון ,הארגון עובדי לגבי מוסמך מידע מקור על תתבסס הזהויות ניהול מערכת
ה במערכת אשר
-
HR
.בארגון המערכות שאר יעודכנו ודרכה ,
ח
.
המערכו על האחראים מפתח אנשי
הטמעת לתהליך מלאים שותפים יהיו בארגון השונות ת
.המוצע הפתרון
ט
.
עבודה וסביבות תשתיות
–
ב יוקם הפרויקט
בשתי לפחות
:וסגורות שונות עבודה סביבות
בדיקות סביבת
–
סביבה
.המערכת בדיקות כלל יעשו בה
הייצור סביבת
–
למ קישור
אישור לאחר בייצור ערכות
QA
.
- 15. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 15 of 17
IDM
לווין ומערכות
לנהל הצורך הינה ,לקוחותינו אצל וגוברת הולכת דרישה רואים שאנו ,מרכזית נילוות מערכת
בצרכי גם ,שלנו הניידים במכשירים וגובר הולך שימוש עושים שכולנו סוד זה אין .ניידת זהות
למערכות וגישה מאובטחת הזדהות לבצע הינו הצורך .ארגוניות פנים במערכות וגם העבודה
הנ מהמכשיר
.ייד
ה מערכת כגון ,מאובטח לזיהוי פלטפורמה המעניקות מערכות
-
NetIQ Advanced
Authentication
מערכת ,
Deon
מאפ ,'וכו
ש
ביומטרי זיהוי רות
,'וכו קולי זיהוי ,פנים זיהוי ,
ו
חלק להיות הופכות
אינטגראלי
ה יישום מפתרון
-
IDM
.
המלצות
ליישום נוספות
IDM
א
.
יצירתיות
–
מערכת יישום
IDM
ארגוני תהליך כל כמעט למכן לנו ומאפשר מאוד גמיש הינו
:לדוגמה .רק לא אך ,והרשאות גישה בנושא
•
הספקת מחלקת או הארגון של הרכב צי במערכת העובד של אוטומטי רישום
ניידים מחשבים
–
.לעובד מראש מחשב או רכב להזמנת שיביא דבר
•
מיכון
.העובד של והיוצא הנכנס הטיולים טופס
•
ה
חניה כרטיס ,עובד כרטיס פקת
–
.ההנפקה מערכות מול אינטגרציה
ב
.
עזיבת .חזקים וחשבונות אפליקטיביים חשבונות לניהול מענה נותנת הזהויות ניהול מערכת
שהיו חזקים חשבונות העברת גם אלה האישי חשבונו סגירת את רק גוררת אינה עובד
.שניהל מערכות בשירות או בבעלותו
עובדי על דגש
IT
,בארגון רגישות מערכות המנהלים ,
בידם נשארים אך ,שימוש עשו בהם במערכות שלהם המשתמש חשבון נסגר רבים במקרים
הרשאות
admin
מלא באופן מטופל להיות וצריך יכול זה נושא .רגישים שרתים על מקומיות
ה מערכת ידי על
-
IDM
.
תגובת
one1
פרויקט להטמעת עיקריות גישות מספר קיימות
IDM
להבין ארגון כל ועל
–
לדרך יציאה לפני
עם
הפרויקט
–
:ביותר הגדול הערך את מהפרויקט יקבל הארגון בה העיקרית הגישה מהי
- 16. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 16 of 17
הגישה גם היא ,ביותר הטובות התועלות את להפיק ניתן בה ,לטעמנו "ה"אידאלית הגישה
רחבה ארגונית מחויבות ומצריכה למימוש ביותר הקשה
–
,זו בשיטה .בכנס גם שעלה כפי
מהפעילויות מורכב ההטמעה תהליך
:הבאות
1
.
ליצירת מרכזיות מערכות בחירת
baseline
–
הטמעת להתחיל מומלץ
IDM
כ עם
2-4
משמעותית ייעל בהן ושיפור גדול משתמשים בסיס בעלות אחד מצד אשר מרכזיות מערכות
חלקה הטמעה לאפשר כדי קטנים וסיכון מורכבות בעלות שני מצד אך ,הארגון עבודת את
הרא השלב של ומהירה
מערכות זה לשלב לבחור שלא מומלץ .שון
Legacy
מערכות ,
מערכות .לגביהן מדי גדולים ידע פערי שקיימים מערכות כללי ובאופן עצמו בארגון שפותחו
הן זה לשלב נפוצות
Active-Directory, SAP, Oracle DB, OpenLDAP
.
2
.
נתונים טיוב
–
(כ שנבחרו המערכות על מעבר
2-4
נית ,)מערכות
וניקוי ההרשאות וח
או השכר למערכת גישה הרשאות עם פקיד או מפתח ,(למשל ""ברורות מיותרות הרשאות
בכלים להיעזר זה בשלב מומלץ .)'וכו ;""יתומים חשבונות ;חופפות הרשאות ;הנה"ח
כדוגמת ,בהרשאות בפועל שימוש המציגים
SecurityIQ
מבית
SailPoint
מבטיח זה שלב .
להמ הנתונים כי
ה הטמעת שך
IDM
של התוצרים את משמעותית משפר ובכך ""נקיים הינם
ה פרויקט
IDM
.
3
.
)(פרופילים רולים כריית
–
מאפייני לפי לאוכלוסיות משותפים מכנים מציאת
HR
–
ל לפחות המשותפות הרשאות ,לדוגמא
90%
.הנה"ח מעובדי
4
.
מערכת הטמעת
IDM
המערכות עבור שנמצאו הרולים עם
תהליכי סדר לפי שנבחרו
JLM
(רש"ת
Joiner-Leaver-Mover
)
*
.שהוגדרו האוטומטיים הרולים לפי עובד קליטת תהליכי עיצוב
*
עובד עזיבת תהליך
*
)יחידה/תפקיד (שינוי ארגוניות תזוזות תהליכי
*
)וכיו"ב לחופשה חזרה/(יציאה נוספים תהליכים
5
.
חשיפ
הרשאות לבקשת משתמש ממשקי ת
–
( עצמם עבור משתמשים
Self-Service
,)
'וכו תמיכה מרכז ,לעובדיהם מנהלים
6
.
ה למערכת נוספות מערכות להוסיף ניתן ,מעלה כמפורט התשתית הקמת לאחר
IDM
כפלאג
-
ה לתשתית חדשות מערכות הוספת על מאוד שמקל מה ,קיימת לתשתית אין
IDM
.
- 17. Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444
Page 17 of 17
העיקר הקושי
הארגונית המחויבות הוא זו בגישה י
–
משאבי מצריכה זו גישה
IT
לטיוב
כשה הרולים בכריית וסיוע הנתונים
Time-To-Market
נחשפת שהמערכת עד יחסית ארוך
.מפירותיה ליהנות וניתן לארגון
נעשים לא ,במקביל מתרחשים מעלה מהמתואר מסוימים שלבים ,רבים בפרויקטים ,בפועל
שנעש או כלל
שכשם מלמד שלנו הניסיון .הארגון ודרישות ליכולות בהתאם ,אחר בסדר ים
בתהליכים ,במערכות ייחודי גם אך ,דומים ארגונים עם רבים מאפיינים חולק ארגון שכל
פרויקט לכל גם כך ,לו הייחודיים ובתרבות
IDM
חייב הוא אך ,דומים בסיסיים מאפיינים
כצוות .מוטמע הוא בו לארגון להתאים
מעל של ניסיון עם
15
ה בתחום שנה
IDM
כי למדנו ,
ה מערכת על
IDM
את לבחור לארגונים ולאפשר במימוש והן בתפיסה הן גמישה להיות
בעבורם ביותר המתאים הכיוון
–
הראשון כשלב משתמש ממשקי עם התחלה ,לדוגמא
ב אוטומטיים תהליכים עם התחלה או ,מכן לאחר רולים מבוסס לניהול ומעבר
ומימוש לבד
.שיוגדרו ככל לרולים רק משתמש ממשקי
מוצר
IdentityIQ
מבית
SailPoint
נותן אחד מצד אשר פתוח ממשק ע"י זו גמישות מספק
במערכת תהליך וכל רכיב לכל רבות הטמעה אפשרויות מבין לבחור המערכת למיישמי חופש
המערכת להגדרות הן וידידותי נוח משתמש ממשק מספק שני ומצד
בקשות להגשת והן
.קצה משתמשי ע"י להרשאות