Mając to na uwadze, prezentujemy kilka wskazówek dotyczących zarządzania dostępem, które mogą ułatwić ten proces.
1. Przeprowadź analizę
Przedsiębiorstwa potrzebują odpowiednich zasad dostępu użytkowników do danych, a administratorzy sieci muszą sobie odpowiedzieć na podstawowe pytanie: kto powinien mieć dostęp do czego?
Prezes i kierownicy wyższego szczebla powinni mieć większe prawa dostępu niż szeregowi pracownicy. W zależności od konkretnych potrzeb przedsiębiorstwa mogą też nadać grupom użytkowników uprawnienia związane z ich obowiązkami. Dzięki temu pracownicy marketingu i sprzedaży będą mieć nieograniczony dostęp do portali społecznościowych, podczas gdy inni pracownicy (np. ochroniarze) będą mogli z nich korzystać wyłącznie w porze lunchu lub poza godzinami pracy.
Ogólny zakaz korzystania z YouTube może przeszkadzać użytkownikom w wykorzystywaniu filmów o tematyce zawodowej do celów szkoleniowych. Duże ograniczenia pasma będą powodować frustrację u pracowników przeprowadzających wideokonferencje z udziałem wielu użytkowników z różnych krajów.
Dlatego określenie odpowiedniego poziomu uprawnień wymaga zbadania, czego potrzebują użytkownicy do osiągnięcia maksymalnej wydajności. Trochę pracy na samym początku pozwoli przedsiębiorstwom uzyskać efekty dużo szybciej niż metodą prób i błędów.
2. Przekazuj jasne informacje o zasadach i zachowaj elastyczność
Po wprowadzeniu odpowiednich poziomów dostępu przedsiębiorstwa muszą poinformować o tym użytkowników. Oznacza to konieczność edukowania pracowników na temat tego, co mogą, a czego nie mogą robić w sieci przedsiębiorstwa.
Firmy powinny jednak zachować elastyczność, ponieważ dany użytkownik lub grupa użytkowników może potrzebować dostępu do specyficznych danych, którego nikt wcześniej nie przewidział. Potrzeby użytkowników mogą się również zmieniać: pracownicy awansują, zmieniają stanowiska i otrzymują nowe obowiązki. Każda taka zmiana wymaga nowego poziomu dostępu.
Dobra znajomość potrzeb użytkowników i informowanie ich o odpowiednich zasadach pozwoli przedsiębiorstwom oszczędzić czas i uniknąć problemów z ich egzekwowaniem. Jeśli pracownicy będą dobrze poinformowani, to jest większa szansa, że będą się starali przestrzegać zasad.
3. Monitoruj, monitoruj, monitoruj
Przedsiębiorstwa wiedzą tylko tyle, ile są w stanie sprawdzić. Mimo wprowadzenia rygorystycznych zasad dostępu jest mało prawdopodobne, że jeden zestaw reguł będzie mieć zastosowanie do całego przedsiębiorstwa przez cały czas. Na pewno pojawią się wyjątki. A w przypadku całej gamy różnych uprawnień i zasad istnieje też niebezpieczeństwo pewnych luk. Dlatego w interesie przedsiębiorstw leżą inwestycje w narzędzia do monitoringu i analizy zachowania użytkowników w sieci. Kompleksowy monitoring pozwala administratorom sieci określić, czy dany użytkownik zmniejsza przepustowość sieci przez strumieniowe odtwarzanie muzyki lub filmów, czy uzyskuje nieuprawniony dostęp do informacji, przez przypadek bądź celowo, lub czy pracownicy odwiedzają niedozwolone strony internetowe w godzinach pracy.
Większa ilość informacji w tym zakresie pozwala firmom działać w sposób, który najlepiej odpowiada ich celom biznesowym. Spójrzmy prawdzie w oczy: większość przedsiębiorstw chce osiągnąć jak największą wydajność i produktywność. Monitoring zapewnia administratorom sieci i kadrze zarządzającej wgląd w wykorzystanie sieci, dzięki czemu mogą lepiej kształtować reguły obowiązujące w firmie pod kątem przyszłego rozwoju.
4. Zarządzaj pracownikami zdalnymi
Większość firm zgodnie uważa, że zarządzanie siecią byłoby łatwiejsze, gdyby nie wychodziło poza mury przedsiębiorstwa. Obecnie jednak, ze względu na dużą popularność pracy zdalnej oraz współpracy na zasadzie podwykonawstwa, taka sytuacja ma miejsce niezmiernie rzadko.
Administratorzy sieci muszą więc dopilnować, aby do takich pracowników i ich urządzeń miały zastosowanie te same zasady i uprawnienia. Przedsiębiorstwa powinny zadbać o to, by dysponowali oni sprawnym rozwiązaniem VPN i by byli objęci działaniem narzędzi do kontroli dostępu i aplikacji, zapór, systemów IDS i IPS oraz programów antywirusowych, antyspamowych i zabezpieczających przed programami szpiegującymi.
5. Pamiętaj, że pracownicy mogą używać swoich prywatnych urządzeń do celów służbowych
Dawno, dawno temu administratorzy sieci mieli za zadanie kontrolę nad siecią i wszystkimi jej elementami. Obecnie sytuacja wygląda inaczej. Użytkownicy nie potrzebują teraz komputerów biurkowych, aby uzyskać dostęp do niedozwolonych stron internetowych czy wrażliwych danych, ponieważ mogą to zrobić za pomocą swoich urządzeń mobilnych.
Prywatne urządzenia mobilne wykorzystywane do celów służbowych zawierają wrażliwe informacje biznesowe o znaczeniu krytycznym. Naraża to przedsiębiorstwa na kradzież danych i ataki szkodliwego oprogramowania, jeżeli to samo urządzenie ma również dostęp do stron internetowych zawierających szkodliwe oprogramowanie.
Dlatego administratorzy sieci i inne osoby zarządzające przedsiębiorstwem muszą określić, do jakiego stopnia zasady zarządzania dostępem powinny mieć zastosowanie do prywatnych urządzeń pracowników. Zależy to od potrzeb i celów firmy, a także od jej kultury organizacyjnej.
autor: Mariusz Rzepka