Sistem za upravljanje privilegijev na delovnih postajah oz. EPM (ang. Endpoint Privilege Management) je rešitev s področja informacijske varnosti, ki naslavlja upravljanje pravic uporabnikov na delovnih postajah. Izzivov, s katerimi se podjetja na tem področju srečujejo je veliko, glavna težava pri uvedbi takšne rešitve pa je izbrati takšno, da se doseže pravo ravnovesje med potrebami uporabnikov in varnostjo informacijskega sistema.

 

Zakaj je ravnovesje med tema gradnikoma potrebno oz. kaj se zgodi, če damo večji poudarek enemu izmed njih?

 

  • UPORABNIŠKA IZKUŠNJA JE PRIORITETA

Zadovoljstvo uporabnikov pridobimo tako, da jim dodelimo administratorske pravice na delovni postaji, s katerimi njihovo delo v nobenem trenutku ni ovirano. Uporabnik ima »proste roke« in lahko na napravi dela karkoli; od nameščanja programov in aplikacij do zaganjanja le-teh ter spreminjanja kritičnih nastavitev naprave. S takšnim pristopom imamo na eni strani zadovoljne uporabnike, na drugi strani pa delovne postaje, ki predstavljajo visoko varnostno tveganje.

 

  • INFORMACIJSKA VARNOST JE PRIORITETA

S takšnim pristopom zagotovimo varnost sistema, vendar neposredno vplivamo na produktivnost in zadovoljstvo uporabnikov. Za zagotavljanje ustreznega nivoja informacijske varnostni, uporabnikom ne smemo dodeljevati administratorskih pravic na napravah. Posledično s tem neposredno vplivamo na uporabniško izkušnjo, ker povzročimo morebitno nedelovanje aplikacij potrebnih za nemoteno delo, hkrati pa zaradi pritožb nezadovoljnih uporabnikov povečamo delo in pritisk na IT osebje, ki mora nastale težave reševati. V kolikor je za odpravo težav uporabniku dodeljena administratorska pravica, se spet vrnemo na točko 1 – zadovoljen uporabnik in ranljiva naprava.

 

Princip najnižjega privilegija

V raziskavi, ki jo je opravila družba Cybersecurity Insiders, ugotavljajo, da kar 87 % vprašanih specialistov s področja IT meni, da je splošno gledano uporabniška izkušnja pomembnejši faktor ter da bo potrebno v prihodnje varnostne rešitve prilagoditi tako, da bodo prijaznejše do uporabnika oz. uporabniške izkušnje. Seveda ob predpostavki, da se nivoja varnosti ne znižuje. Vprašanje, ki se tukaj postavi je, ali je to sploh mogoče oz. kako zmanjšati vpliv ene lastnosti na drugo? V konkretnem primeru, kjer obravnavamo pravice uporabnikov na delovnih postajah je vprašanje, kako uporabniku na delovni postaji dodeliti čim nižji nivo pravic, ki pa bo vseeno omogočal nemoten delovni proces?

 

Načelo oz. rešitev za zgoraj opisano medsebojno izključevanje uporabniške izkušnje in informacijske varnosti imenujemo ‘princip najnižjega privilegija’ oz. PoLP (ang. Principle Of Least Privilege), ki govori o tem, da mora imeti vsak uporabnik, program ali process pravico dostopa do informacij in virov, ki so nujno potrebni za nemoteno delovanje iz upravičenih razlogov (torej, da uporabnik določene informacije in vire uporablja zaradi narave dela in ne iz drugih razlogov). Programska rešitev, ki temelji na tem principu, mora zagotavljati varnost delovnih postaj brez negativnih vplivov na produktivnost zaposlenih.

 

Sistem za upravljanje privilegijev na delovnih postajah, ki rešuje opisane probleme, ima v svoji ponudbi tudi podjetje Wallix in se imenuje BestSafe. Kaj rešitev omogoča in na kakšen način deluje pa sem razkril v zapisu Upravljanje privilegijev na delovnih postajah. Vedno se nam lahko javite in predstavite svoje izzive ali razmišljanja.

 

Prispevek je pripravil Matevž Kuhelj.