Prihlásenie do informačného systému často vnímame ako technickú samozrejmosť. Zadáme meno, heslo a pokračujeme v práci. V skutočnosti však ide o jedno z najdôležitejších bezpečnostných rozhodnutí, ktoré organizácia robí. Zle nastavené prihlasovanie môže viesť k neoprávneným zásahom, spochybneniu rozhodnutí aj k vážnym bezpečnostným incidentom.

Jednotný metodický rámec prináša do tejto oblasti jasný a praktický pohľad. Dobre nastavené prihlásenie má byť primerané riziku, zdokumentované a kontrolovateľné. Nie zbytočne komplikované, ale ani podcenené.

Autentifikácia a autorizácia: dve rôzne otázky

V praxi sa tieto pojmy často zamieňajú, no ich význam je zásadne odlišný. Autentifikácia odpovedá na otázku, kto sa prihlasuje. Autorizácia zase určuje, čo môže používateľ po prihlásení robiť.

Ak zlyhá jedna z týchto častí, celý systém sa stáva rizikovým — bez ohľadu na to, ako dobre je chránená infraštruktúra alebo sieť. Preto je nevyhnutné, aby boli tieto dva princípy jasne oddelené a správne nastavené.

Jednoduchý model, ktorý dáva zmysel

Zabezpečenie prístupu nemusí stáť na zložitých riešeniach. Naopak, osvedčeným prístupom je jednoduchý a zrozumiteľný model, ktorý je možné dlhodobo udržiavať. Jeho základom sú:

• jasne definované účty a identity,
• prístupy viazané na roly,
• riadený životný cyklus účtov,
• zdokumentované a schvaľované výnimky.

Cieľom nie je komplikovať prihlasovanie, ale zabezpečiť, aby každý prístup mal jasné opodstatnenie a zodpovednosť.

Primeranosť ako kľúčový princíp

Nie každá služba a nie každý systém si vyžaduje rovnakú úroveň zabezpečenia. Preto je dôležité uplatňovať princíp primeranosti. Jednoduché služby s nízkym dopadom môžu využívať jednoduchšie formy prihlasovania. Naopak, kritické systémy, rozhodovacie procesy alebo práca s citlivými údajmi si vyžadujú silnú autentifikáciu.

Takýto prístup je nielen praktický a používateľsky prijateľný, ale aj ľahko obhájiteľný pri audite alebo kontrole.

Autorizácia: rozhodovanie v mene organizácie

Po úspešnom prihlásení nastupuje autorizácia. Práve tu vzniká v praxi najviac problémov. Používatelia majú viac oprávnení, než potrebujú, oprávnenia sa časom hromadia a nie je jasné, kto ich schválil.

Oprávnenia preto musia byť viazané na roly, pravidelne revidované a potvrdené vlastníkom informačného aktíva. Autorizácia totiž neznamená len technické povolenie, je to rozhodovanie v mene organizácie.

Dokumentácia ako ochrana, nie byrokracia

Dobre nastavené prihlasovanie musí byť zdokumentované. Nie preto, aby vznikla ďalšia byrokracia, ale aby organizácia vedela preukázať:

• aký model autentifikácie a autorizácie používa,
• prečo je primeraný riziku,
• ako sa kontroluje jeho dodržiavanie.

Bez dokumentácie sa aj kvalitné technické riešenie stáva pri kontrole alebo incidente ťažko obhájiteľným.

Menej incidentov, viac dôvery

Správne nastavená autentifikácia a autorizácia:

• znižuje riziko zneužitia účtov,
• zvyšuje dôveru v elektronické služby,
• chráni organizáciu aj jej vedenie.

Dobre nastavené prihlásenie nie je o technológiách. Je o kontrole, zodpovednosti a dôvere.

Praktický infobox: 5 otázok, ktoré by si mala organizácia položiť k prihlasovaniu

1. Vieme jednoznačne určiť, kto sa do systému prihlasuje? Má každý používateľ vlastnú identitu, alebo sa ešte používajú zdieľané účty?
2. Je úroveň prihlasovania primeraná riziku systému? Používame silnejšiu autentifikáciu tam, kde sa rozhoduje alebo pracuje s citlivými údajmi?
3. Má každý používateľ len tie oprávnenia, ktoré naozaj potrebuje? Sú prístupy viazané na roly a pravidelne prehodnocované?
4. Vieme preukázať, kto a prečo schválil výnimky z pravidiel? Alebo sú výnimky len „dohodnuté" bez dokumentácie?

Máme zdokumentovaný model autentifikácie a autorizácie? Dokážeme pri kontrole vysvetliť, prečo je naše nastavenie primerané a bezpečné?