Kým pri interných prístupoch sa organizáciám ešte darí udržiavať určitý poriadok, pri externých prístupoch sa kontrola často stráca. Dodávatelia, servisné firmy, konzultanti či vývojári potrebujú prístup „len na chvíľu“ a tá chvíľa sa neraz zmení na mesiace, bez evidencie, bez kontroly a bez jasnej zodpovednosti.

Práve externé prístupy patria medzi najčastejšie príčiny bezpečnostných incidentov aj auditných zistení. Jednotný metodický rámec 2 (JMR2) preto tejto oblasti venuje osobitnú pozornosť a zavádza jednoduché, no veľmi účinné pravidlo: žiadny externý prístup bez procesu.

„Na dobré slovo“ je najrizikovejší model

V praxi sa externé prístupy často riešia neformálne: telefonátom, e-mailom alebo dohodou typu „veď ho poznáme“. Takýto prístup síce šetrí čas, no vytvára neobhájiteľné riziko. Ak dôjde k incidentu alebo kontrole, organizácia nedokáže jednoznačne preukázať, prečo bol prístup poskytnutý, na aký účel, na aké obdobie ani kto zaň niesol zodpovednosť. Nahradiť stav jasným princípom: externý prístup je vždy výnimka, nie štandardná súčasť prevádzky.

Prístup „na tiket“ ako základ kontroly

Základným nástrojom riadenia externých prístupov je formálny požiadavkový proces, často označovaný ako „prístup na tiket“. Nejde o konkrétny softvér, ale o princíp, podľa ktorého:

• každý externý prístup vzniká na základe zdokumentovanej požiadavky,
• má jasne definovaný účel a rozsah oprávnení,
• je časovo obmedzený,
• je schválený zodpovednou osobou.

Takýto postup vytvára dôkaznú stopu, ktorú je možné kedykoľvek spätne preukázať pri incidente, kontrole aj audite.

Minimálne oprávnenia a jasný koniec prístupu

Jednou z najčastejších chýb pri externých prístupoch je prideľovanie nadmerných oprávnení z dôvodu pohodlnosti alebo nedostatočnej špecifikácie požiadavky. Proces ide presne opačným smerom: vyžaduje prideľovanie len minimálne nevyhnutných oprávnení (princíp najmenších privilégií), jasné časové obmedzenie prístupu a riadené alebo automatické odobratie prístupu po splnení účelu. Externý prístup má existovať len tak dlho, ako je preukázateľne nevyhnutný.

Dohľad a záznamy: vidieť, kto čo robí

Externý prístup bez dohľadu predstavuje nekontrolované slepé miesto v bezpečnostnej architektúre organizácie. Kladieme preto dôraz na zaznamenávanie aktivít externých osôb tak, aby bolo možné spätne dohľadať, kto, kedy a čo vykonal, a aby existovali mechanizmy na pravidelnú kontrolu a vyhodnocovanie týchto záznamov. Nejde o nedôveru voči dodávateľom, ale o základnú požiadavku bezpečnostného dohľadu (monitoringu), ktorá chráni organizáciu, jej systémy aj zodpovedné osoby.

Externý prístup ako súčasť riadenia tretích strán

Riadenie externých prístupov nie je izolovanou technickou témou. Je úzko prepájaná s oblasťou riadenia tretích strán (Third Party Risk Management), kde sa riešia zmluvné povinnosti, bezpečnostné požiadavky a rozdelenie zodpovedností dodávateľov. Externý prístup tak nie je len technickým nastavením, ale neoddeliteľnou súčasťou celkového zmluvného a bezpečnostného vzťahu s dodávateľom, ktorý musí byť systematicky riadený a pravidelne kontrolovaný.

Menej improvizácie, viac istoty

Správne nastavené externé prístupy neprinášajú viac byrokracie. Prinášajú merateľne nižšie riziko bezpečnostných incidentov, prehľad nad tým, kto má v danom čase prístup do ktorých systémov, a preukázateľnosť rozhodnutí pri audite alebo kontrole. Jasne poukazujeme, že prístup „na tiket“ nie je prekážkou spolupráce, ale základom profesionálnej, bezpečnej a zodpovednej spolupráce s tretími stranami.

„Externé prístupy nemajú byť otázkou dôvery. Majú byť otázkou jasných pravidiel, zodpovednosti a kontroly.“