Automatyzacja procesów biznesowych to jeden z najważniejszych trendów rynkowych ostatnich lat. Jak podaje Deloitte , rynek zautomatyzowanych technologii rośnie aż o 40,6% rocznie. Automatyzacja niesie bardzo wiele korzyści dla organizacji, ale jest także źródłem poważnych wyzwań związanych z zapewnieniem bezpiecznej realizacji procesów zgodnie z przepisami prawa czy zasadami ładu korporacyjnego. Rozwiązaniem tych problemów są systemy zarządzania tożsamością i dostępem typu IAM (Identity and Access Management).
 

 REKLAMA 
 Wdrażasz KSeF w firmie 
 
Kontrola i rozdział uprawnień w systemach informatycznych przedsiębiorstwa nie jest zjawiskiem nowym, ale ostatnie lata pokazały duży wzrost potrzeb oraz inwestycji, jakie poczyniły organizacje w tym obszarze. Według raportu instytutu badawczego Markets and Markets światowa wartość rynku w 2020 roku wyniosła aż 12,3 mld USD, a według prognoz do 2025 roku urośnie do poziomu 24,1 mld USD. Tak duży wzrost inwestycji to zasługa m.in. rozwoju rozwiązań Internet of Things, upowszechnienia chmury obliczeniowej, ale także efekt pandemii Covid-19, która przyczynia się do zmian w modelu pracy większości organizacji. Trzeba dodać do tego także wyraźny trend w automatyzacji procesów biznesowych oraz stale zmieniające się przepisy prawa i regulacje, które muszą spełniać przedsiębiorstwa czy instytucje. W efekcie rozdział uprawnień i kontrola dostępu stały się absolutnym standardem w każdej firmie chcącej efektywnie konkurować na rynku.

Jaki jest cel wdrażania systemów klasy IAM?

Automatyzacja procesów biznesowych wiąże się z ich digitalizacją i przeniesieniem do firmowych systemów IT, niezależnie czy mówimy o podmiotach z własną infrastrukturą czy korzystających z chmury obliczeniowej. Dostęp do systemów oraz danych organizacji, niekiedy wrażliwych i poufnych, wymaga zabezpieczenia, monitorowania i kontroli, aby te nie wpadły w ręce osoby nieupoważnionej. Mówimy tutaj zarówno o atakach zewnętrznych, ale także o wyciekach danych wynikających z nadużyć lub błędów popełnianych przez samych pracowników. Drugim aspektem są korzyści wynikające z automatyzacji procesów biznesowych takie jak wydajność, skalowalność czy efektywność kosztowa. Systemy zarządzania tożsamością i dostępem posiadają właśnie taki zestaw cech. Jednak przede wszystkim organizacje mają obowiązek zapewnienia bezpiecznej realizacji danego procesu zgodnie z przepisami prawnymi (np. ustawa Sarbanes-Oxley), zasadami kontroli wewnętrznej oraz dobrymi praktykami biznesowymi. Kluczowe jest tu minimalizowanie ryzyka dostępu do danych przez osoby nieuprawnione oraz ryzyka występowania wspomnianych wcześniej nadużyć.

Istotą wdrożenia IAM jest uniknięcie sytuacji zbyt szerokiego dostępu pracowników do systemów lub obszarów spoza ich kompetencji czy odpowiedzialności wynikającej z roli w organizacji. Ważne jest, by proces przyznawania i kontroli uprawnień przebiegał w sposób ciągły i firma mogła reagować na zmiany, np. odejście pracownika, przypisanie mu nowego zakresu obowiązków, wdrożenie nowych procedur, zmiany struktury organizacyjnej czy pojawienie się nowej aplikacji w ekosystemie IT firmy. Daje to organizacji gwarancję, że działa zgodnie z przyjętym ładem korporacyjnym, zewnętrznymi przepisami i potrafi tego dowieść podczas audytu.

Problemem wielu organizacji w zakresie zarządzania dostępem do systemów jest brak aktualnych danych. Może to wynikać ze skomplikowanej lub specyficznej struktury organizacyjnej, częstych i dużych zmian w firmie, a nawet niedopracowanych procedur czy ludzkiego niedopatrzenia. Jeśli dodamy do tego dużą ilość różnych systemów czy aplikacji nie połączonych ze sobą, to mamy przepis na kłopoty. Rozwiązanie jest proste - automatyzacja tego procesu w ramach jednego systemu, który zintegruje wszystkie możliwe systemy w firmie i da nam pełną kontrolę oraz ograniczy ryzyka wycieku danych czy dostępu do nich przez osoby niepożądane.” - powiedział Rafał Barański, prezes firmy braf.tech, która wdraża autorski system IAM w organizacjach.


Poznaj swoje słabe strony

Wdrożenie systemu zarządzania rozdziałem i kontrolą uprawnień oznacza również wiele innych korzyści dla organizacji. Jedną z nich jest uświadomienie organizacji jej słabych stron czy luk w procedurach i ograniczenie ryzyka nadużyć oraz błędów, jakie mogą wystąpić. Praktyka pokazuje, że dopiero na etapie projektowania czy dostosowania systemu do zarządzania dostępem i tożsamością do potrzeb firmy, analitycy wychwytują niespójności w wewnętrznych przepisach, które teraz można skorygować.

Bardzo ważne jest ustalenie takiej procedury, która zapewni sprawne nadążanie za zmianami, będzie uwzględniać uwarunkowania i obowiązki, którym podlega dany podmiot, oraz wspierać spełnienie wymogów audytowych. Jednak w procedurach nie da się przewidzieć i opisać wszystkich scenariuszy, dlatego trzeba dobrze przeanalizować i zmapować potrzeby organizacji oraz reagować na zmiany. Wiele firm nie ma świadomości konieczności wdrażania takich systemów zarządzania zintegrowanego. One nie tylko usprawniają pracę i funkcjonowanie organizacji, ale pozwalają uniknąć przyszłych problemów. – powiedziała Ewa Żak-Lisewska, dyrektor ds. rozwoju w braf.tech.


Centralizacja uprawnień zamiast rozproszenia

Kolejną zaletą wdrożenia systemów zarządzania tożsamością i dostępem jest unifikacja informacji o uprawnieniach i rolach. Duże organizacje często wykorzystują wiele różnych systemów i aplikacji, które nie są ze sobą zintegrowane i nie funkcjonuje wymiana danych pomiędzy nimi. Osoby odpowiadające za administrację dostępami czy ich przydzielanie muszą więc korzystać z różnych źródeł danych i często aktualizować je ręcznie. W efekcie sprawdzenie uprawnień, ich odebranie albo modyfikacja wiąże się ze sprawdzeniem zapisów w kilku źródłach, co wydłuża proces. Należy wziąć też pod uwagę, że w wyniku błędów ludzkich nie zawsze dane są prawidłowe lub aktualne. Rozwiązaniem jest właśnie automatyzacja w ramach systemów IAM.

Systemy zarządzania dostępem i tożsamością, po wdrożeniu w organizacji, przejmują rolę głównej bazy informacji o użytkownikach, ich rolach i uprawnieniach. System łączy się z szyną danych, pozyskuje je i prowadzi aktywną wymianę. Określone role i uprawnienia otrzymują ustalone atrybuty, które są wykorzystywane w poszczególnych aplikacjach czy systemach. Aplikacje wykorzystywane w firmie są następnie integrowane z systemem IAM. Od tej pory nie ma przeszkód, by zarządzać dostępami z jednego miejsca, wykorzystując aktualne dane.” – powiedział Rafał Barański.


W zgodzie z przepisami

Inna i być może najważniejsza zaleta systemów IAM to spełnienie wymagań audytorów, regulatorów czy innych zainteresowanych podmiotów. Kontrola dostępu i uprawnień jest koniecznością wynikającą z przepisów prawa, takich jak wspomniana już ustawa SOX regulująca praktyki finansowe i ładu korporacyjnego. Systemy zautomatyzowane typu IAM spełniają te wymogi i wspierają nie tylko kontrolę zarządczą wynikającą z wewnętrznych procedur firmy, ale także zewnętrzne audyty realizowane przez niezależne organy. Systemy te posiadają mechanizmy kontrolne, ułatwiają raportowanie i dostarczają dowody audytowe.

Stosowanie systemów IAM to nie tylko czerpanie korzyści wynikającej z automatyzacji procesów. Rozdział i kontrola uprawnień pozwala nam minimalizować występowanie nadużyć czy błędów, np. w obszarze finansowym. Zaszycie mechanizmów kontrolnych w systemach zwiększa bezpieczeństwo procesu i prowadzi do wyeliminowania kontroli manualnych. Firmy muszą prowadzić regularną sprawozdawczość, przechodzić audyty zewnętrzne, a ich procesy wewnętrzne czy systemy spełniać określone wymagania w zakresie compliance. Brak zgodności oznacza problemy podczas audytu, a to może skutkować bardzo poważnymi konsekwencjami - od kar finansowych nakładanych przez regulatorów, przez utratę reputacji, aż po spadek wartości akcji. - powiedziała Ewa Żak-Lisewska.


Źródło: braf.tech

PRZECZYTAJ RÓWNIEŻ:


Back to top