دسترسی‌های غیر مجاز؛ خطری در کمین منابع سازمان‌ها

دسترسی‌های غیر مجاز؛ خطری در کمین منابع سازمان‌ها

زمانی که در سازمان‌های بزرگ صحبت از امنیت اطلاعات و مدیریت صحیح دسترسی‌ها می‌شود، شاید در گمان اکثر مردم امنیت اطلاعات بیشتر به مفهوم حفظ محرمانگی اطلاعات و جلوگیری از دسترسی‌های غیر مجازی باشد که ممکن است منجر به افشای اسرار سازمان و -در بدترین حالت- خرابکاری در سامانه‌ها و منابع شوند. ولیکن به خطر افتادن امنیت اطلاعات و منابع سازمان علاوه بر لطمه‌ای که به اعتبار و حیثیت سازمان در بازار کسب و کار وارد می‌کند، به طور حتم می‌تواند خسارت‌های فراوان مالی و غیرمالی نیز در پی داشته باشد.

کنترل دسترسی، نظارت متمرکز

یکی از گام‌های کلیدی در حفظ اعتبار و منافع هر سازمانی، ارتقاء امنیت منابع و اطلاعات سازمان به واسطه کنترل دائمی کاربران و نظارت بر دسترسی و عملکرد آن‌ها در تعامل با سامانه‌ها و منابع سازمان است. زمانی که مسئله حفظ امنیت یک سامانه و یا یک منبع اطلاعاتی در میان باشد، به مراتب با پیچیدگی کمتری روبرو خواهیم بود، حال آنکه مسئله حفظ امنیت زمانی اهمیت بیشتری پیدا می‌کند که تعداد زیاد سامانه‌های مورد استفاده در سازمان‌ها، تنوع تکنولوژی‌های توسعه آنها و ارتباطات بین آن سامانه‌ها را هم در نظر آوریم.

هر سامانه، برای تامین امنیت اطلاعات خود نیاز به سیستم مدیریت هویت کاربران و کنترل دسترسی مجزا دارد. بنابراین کاربران سازمان برای دسترسی به سامانه‌های متعدد، با تعداد زیادی نام کاربری و رمز عبور سر و کار خواهند داشت. در چنین شرایطی مدیریت کاربران، مدیریت دسترسی‌ها، اعمال تغییرات و نظارت بر عملکرد آنها تبدیل به فرایندهای زمان‌بر و هزینه‌بری خواهند شد که در عین حال ساده‌ترین تضمین‌های امنیتی لازم را نیز برای سازمان تأمین نخواهند کرد.

همچنثن به دلیل حجم بالا و پیچیدگی زیاد فرایندهای کنترل دسترسی و مدیریتی کاربران، احتمال بروز خطاهای انسانی در بستن دسترسی‌های غیر مجاز و ایجاد تغییرات در آنها به شدت بالا خواهد رفت. این مسئله زمینه‌ساز وقوع حوادث امنیتی بعضاً جبران‌ناپذیری در سطح سازمان خواهد شد.

یک داستان واقعی

مدتی پیش در یکی از سازمان‌های خدماتی بسیار معتبر و عظیم کشور مشکل مشابهی بوجود آمد که نهایتا خسارت مالی سنگینی به سازمان تحمیل کرد. کارشناسان و متخصصان سازمان مذکور پس از انجام تحقیقات گسترده متوجه شدند که عده‌ای از کارکنان سابق سازمان با استفاده از دسترسی‌هایی که پس از خروج آنها همچنان برقرار مانده بود، در ازای دریافت مبلغی؛ اقدام به صدور مدارک جعلی برای افراد متقاضی می‌کردند که آن سازمان مطابق کسب و کار محوری خود در قبال این مدارک، ملزم به پرداخت مبالغ هنگفتی می‌شد.

 پس از کشف این تخلف گسترده؛ سازمان مذکور تصمیم گرفت تا راهکار نوینی برای مدیریت هویت و کنترل دسترسی کلیه کاربران به کار گیرد تا از تکرار این‌گونه موارد جلو‌گیری کند.

انتخاب راهکار گاندو

سازمان مذکور برای حل این مشکل، با شرکت سامانه پرداز آریس ارتباط گرفت و ابعاد فنی و فرایندی مسأله طی جلسات مشترک شفاف گردید. کارشناسان شرکت آریس، پس از انجام تحقیقات و بررسی‌های جامع و دقیق، اعلام کردند راهکاری که مورد نیاز این سازمان است راه‌اندازی سامانه‌های احراز هویت متمرکز و کنترل دسترسی است.

پیاده‌سازی این سامانه‌ با تجمیع تمام هویت‌های افراد در سامانه‌های مختلف سازمان و ایجاد یک هویت‌نامه  واحد، در وهله اول حفظ و نگه‌داری آن را برای کارکنان ساده‌تر کرد و در ادامه با ایجاد کنترل دسترسی یکپارچه؛ امکان سو استفاده از دسترسی‎ها را از بین برد.

همچنین از سوی دیگر مدیریت هویت متمرکز و کنترل دسترسی با ایجاد یک درگاه واحد برای ورود و مدیریت کاربران، نیازمندی‌های مربوط به امنیت از دیدگاه فن‌آوری، اطمینان از صحت عملکرد امنیتی در حوزه کاربران (نام‌های کاربری و هویت نامه‌ها)، کنترل دسترسی، برآورده شدن سیاست‌های این حوزه و امکان گزارش‌گیری دقیق از عملکرد سامانه‌ها در رابطه با کنترل دسترسی را به خوبی پوشش داد.

در حال حاضر سازمان مورد نظر موفق شده است هویت تمام کاربران خود را متمرکز کرده و برای هر کاربر یک هویت یکتا ایجاد کند. با پیاده‌سازی گام به گام و تدریجی راهکار احراز هویت متمرکز و کنترل دسترسی، در هرگام چند سامانه با اولویت بالاتر انتخاب شده و به راهکار احراز هویت متمرکز و کنترل دسترسی متصل گشتند.

راهکار احراز هویت متمرکز و کنترل دسترسی شرکت آریس که با نام "گاندو" شناخته شده است.

این راهکار بر همین مبنا و با استفاده از تکنولوژی‌های روز دنیا تهیه و عرضه شده‌است. راهکار گاندو علاوه بر نیازمندی‌های کارکردی، روی نیازمندی‌های غیرکارکردی نظیر امنیت، مدیریت پذیری، گسترش‌پذیری، دسترس پذیری و بازده نیز تمرکز کرده است.

رضایت‌بخش بودن پیاده‌سازی و اجرای راهکار گاندو همچنین سازمان مذکور را بر آن داشته است تا اداره کل مشتریان خود را در قالب کاربران سامانه باشگاه مشتریان تحت پوشش این راهکار قرار دهد.

درباره آریس

آریس خدمات خود را در زمینه‌های مشاوره، طراحی و راه‌اندازی مراکز داده، تولید محصولات نرم‌افزاری مبتنی بر تکنولوژی‌های متن‌باز و مشاوره نرم‌افزار به مشتریان خود عرضه می‌دارد. امروزه شرکت آریس ارایه دهنده محصولات و خدمات مختلفی است و مشتریان آن را سازمان‌ها و شرکت‌های بزرگ و کوچک تشکیل می‌دهند. 

ارتباط با آریس

 تهران، یوسف آباد، بالاتر از میدان سلماس، خیابان۱۰/۱، پلاک ۵۰، واحد ۳

کد پستی ۱۴۱۳۷۶۳۱۶۵

  ۸۸۰۲۴۶۸۰ (۰۲۱)

  info@arissystem.com