Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

După autentificare urmează autorizarea și controlul accesului

2016-05-12

În prima postare din această serie, s-a pus accentul pe autentificare: verificarea dacă o persoană este cine pretinde că este. În multe cazuri, administratorii de sistem oferă niveluri egale de acces la resursele rețelei. Dar, există multe de câștigat prin continuarea aplicării celorlalte componente din gestionarea conturilor. În acest articol vom trata autorizarea și controlul accesului – ce sunt acestea și în ce scenarii pot fi folosite, pentru a îmbunătăți securitatea?

Ce sunt autorizarea și controlul accesului?

Expuse într-o formă mai simplă, autorizarea și controlul accesului sunt moduri de aplicare a politicii de acces. Scenariul stereotip al autorizării este reprezentat de paznicul unui club care îi va lăsa doar pe cei cool să treacă de linia de așteptare. Controlul accesului ar fi de cealaltă parte a baricadei, exluzându-i pe cei care nu sunt cool. Dar, aceste procese au loc peste tot. De exemplu la bancă, la stadion, la o sala de concerte sau când vă pregătiți să vă îmbarcați în avion, trebuie să arătați că sunteți autorizat să întreprindeți o acțiune, precum intrarea într-o arie securizată a aeroportului sau o retragere de bani din contul personal. Dacă nu aveți permisiunea de a intra în acea zonă sau pentru o activitate specifică, veți fi exclus.

Pentru a avea scheme de succes pentru  autorizare și control al accesului, aveți nevoie de două lucruri: o bună autentificare și politici bune. Autentificarea puternică este necesară deoarece trebuie să fiți siguri că cei care încearcă să acceseze datele de care au nevoie sunt chiar cei care pretind a fi și nu altcineva. Politicile bune de acces asigură că urmați principiul privilegiilor cât mai mici. Acest lucru sugerează că nimeni nu poate accesa ceva decât dacă este în același timp necesar și permis. Atât autentificarea, cât și elaborarea politicilor presupun planificare și chibzuire, prentru a vă asigura că oferiți niveluri de acces adecvate, nici prea liberale, dar nici prea restrânse.

Când sunt autorizarea și controlul accesului folositoare?

Acest nivel de planificare poate părea un aport exagerat de muncă, așa că v-ați putea întreba: “Când ar dori cineva să abordeze acest tip de sarcină?”. Răspunsul este că planificarea de acest tip este deosebit de utilă dacă vă aflați într-o situație în care bugetul este limitat și sunteți în căutare de modalități de limitare a riscurilor unde se utilizează mai mult putere intelectuală decât putere de cumpărare. Aici se încadrează probabil cei mai mulți oameni, indiferent de dimensiunea sau de succesul afacerii.

Am auzit cu toții povești, la modul anecdotic sau de la știri, despre companii care intră în necazuri deoarece atacatorii au reușit să intre în sistemele sensibile prin intermediul unei mașini care nu ar fi trebuit să aibă acces (precum un portal de furnizor sau o mașină de la un departament fără legătură). Prin alocarea unui timp necesar pentru planificare, riscul acestui tip de situație poate fi atenuat.

Fiecare afacere, mare sau mică, are zone de stocare, acces sau fișiere care nu ar trebui să fie accesibile tuturor. În funcție de dimensiunea afacerii, ați putea avea mai multe departamente ce dispun de resurse deosebit de sensibile și nu ar trebui să fie accesibile oricui din afara acestui department, inclusiv resurse umane, contabilitate sau IT. Pot exista, de asemenea, situații în care doriți ca părți din afară, precum furnizori sau oaspeți să aibă acces la o parte din resursele dumneavoastră.

Puteți include sau exclude anumite persoane sau grupuri, mașini singulare sau secțiuni întregi ale rețelei, în funcție de nevoile dvs. și sensibilitatea a ceea ce vreți să protejați. Înainte de a stabili politicile, este o idee bună să întocmiți o listă cu grupurile, precum:

  • Departamentele individuale
  • Grupurile din cadrul departamentelor
  • Roluri între departamente (de exemplu, managerii de produs sau de proiect, administratorii)
  • Oamenii cu atribuții specifice legate de muncă
  • Liderii sau managerii de grup
  • Manageri și directori de nivel înalt
  • IT sau Securitate

Odată ce aveți aceste grupuri, puteți începe definirea acțiunilor pentru care trebuie să aibă permisiuni. Totodată, puteți defini ce acțiuni și ce arii ar trebui să fie restricționate pentru acele grupuri.

În timp ce unele grupuri ar putea avea nevoie de acces deplin atât la vizualizare, cât și la editarea fișierelor sau a datelor, altele s-ar putea să aibă nevoie doar să le vadă și nu să le și modifice conținutul sau directoarele. Puteți, de asemenea, stabili limite asupra resurselor, cum ar fi cât de mult sau cât de des au diferiți angajați sau departamente permisiunea de accesa ceva (cum ar fi navigarea pe internet pe site-uri care nu țin de locul de muncă) sau cât de mult spațiu de stocare a fost alocat pentru fiecare în parte.

După ce ați întocmit lista de grupuri și de permisiuni, puteți pune în aplicare aceste politici. Locul cel mai bun pentru a efectua acest lucru este în punctele unde utilizatorilor li se poate solicita deja să se conecteze:

  • Pornirea dispozitivului
  • Aplicații
  • Servicii online
  • Baze de date

Aceste politici ar trebui să fie documente vii, frecvent actualizate pe măsură ce se fac angajări sau pleacă oameni din companie sau atunci când se fac schimbări de roluri în interiorul acesteia.

Odată ce toate aceste politici sunt puse în aplicare în mod corespunzător, ați putea crede că acest lucru reprezintă sfârșitul poveștii. Însă, accidente și evenimente neașteptate se pot întâmpla și veți vrea să fiți la curent cu privire la ele.

LYSA MYERS

CORESPONDENT INDEPENDENT

 



Leave a Reply

Your email address will not be published. Required fields are marked *