Skip to main content
Współczesne systemy informatyczne rozwijają się w bardzo szybkim tempie. Powstanie rozwiązań chmurowych oraz coraz powszechniejsza praca zdalna w dobie pandemii Covid-19 są głównymi siłami napędowymi tego rozwoju. Ponadto chcemy weryfikować jak najwięcej danych, poddawać je analizie i wyciągać wnioski na ich podstawie. Przedsiębiorstwa gromadzą ogromne ilości informacji ulokowanych w różnych systemach i aplikacjach. Cały ten wirtualny świat podlega nieustannej ewolucji sprzętowej, technologicznej oraz infrastrukturalnej. Tak rozbudowana rzeczywistość nie jest wolna od zagrożeń związanych z wyciekiem poufnych informacji i danych oraz nadużyć zarówno ze strony zewnętrznych intruzów, jak i własnych pracowników lub kontrahentów.

Odpowiedzią na te wszystkie zagrożenia są rozwiązania, które nadzorują, monitorują i zabezpieczają przed nieuprawnionym dostępem, abyśmy nie utracili kontroli nad tym, komu udostępniamy nasze zasoby firmowe. Dynamiczny rozwój obszaru zwanego w skrócie IAM (z ang. Identity and Access Management) ma wpływ na powstawanie coraz większej liczby narzędzi do kontroli i ochrony zasobów firmowych. Wraz z tym rozwojem pojawia się wiele pojęć, które mogą być niejasne dla osób, które na co dzień nie zajmują się tym zagadnieniem, dlatego tworzymy słownik pojęć w całej domenie związanej z zarządzaniem, administrowaniem oraz kontrolą tożsamości cyfrowej i dostępów. Będziemy go sukcesywnie uzupełniać o nowe hasła. 

Słownik

pojęć IAM/IdAM

2FA Analiza audyt uprawnień Authorization cykl życia dostępu cykl życia tożsamości dane osobowe dane poufne dane wrażliwe Digital identity DLP – Data Loss Prevention ACL – Access Control List Federated identity IAM / IdAM(Identity and Access Management)/ IdM – Identity management IdAM Log management MFA MFA2 normy prawne PAM PAM – Privileged Access Management PASK.id PIM pishing provisioning rekoncyliacja RODO Rola w systemie IAM Security token SSO SSO (Single Sign-On) Zero Trust Struktura organizacji System IdM TD – Threat Detection UODO Uprawnienie Wdrożenie Wniosek


 

Tożsamość elektroniczna

Co to jest tożsamość elektroniczna (lub e-tożsamość)? Jest to rodzaj cyfrowego dokumentu tożsamości wydawany przez różne podmioty np. przez urzędy, banki lub inne instytucje. Przykładem tożsamości elektronicznej jest Profil Zaufany, jakim możemy się posłużyć, załatwiając sprawy urzędowe przez internet.


Tożsamość cyfrowa

Co to jest tożsamość cyfrowa? Z ang. digital identity – tożsamość cyfrowa – elektroniczny zbiór informacji o danym użytkowniku umożliwiający jego identyfikację np. w kontekście pełnionej funkcji w organizacji. Tożsamość cyfrowa jest odpowiednikiem tożsamości realnej w świecie rzeczywistym. W systemach do zarządzania tożsamością cyfrową i dostępem tworzy się ją, aby umożliwić użytkownikowi funkcjonowanie w niematerialnym świecie – ułatwić korzystanie z zasobów cyfrowych i dostępów do informacji przedsiębiorstwa. Tożsamość cyfrowa oznacza w tym kontekście użytkownika z całym zakresem obowiązków, jakie realizuje na rzecz organizacji, w której funkcjonuje.


Cykl życia tożsamości cyfrowej

Czym jest cykl życia tożsamości cyfrowej? Jest to okres funkcjonowania tożsamości cyfrowej i dostępu przydzielonego użytkownikowi w danym systemie informatycznym. Cykl obejmuje więc każdy aspekt funkcjonowania tożsamości elektronicznej od momentu jej stworzenia, przez modyfikację, po zamykanie i usuwanie. Analogicznie w przypadku pracownika, któremu nadano tożsamość – od czasu jego zatrudnienia i nadania stosownych uprawnień, przez ich modyfikację, np. rozszerzanie, po odejście pracownika z firmy i usunięcie jego tożsamości elektronicznej.


Uprawnienie

Możliwość korzystania z danego zasobu w określonym zakresie. Dla uprawnienia można przypisać workflow akceptacji nadawania lub odbierania uprawnienia danej osobie w organizacji.

Wniosek

Wniosek jest zestawem akcji na uprawnieniu (dodanie lub odjęcie) w systemie IdM/IdAM.

Akceptacja wniosku

Potwierdzenie, przez osobę uprawnioną do akceptacji, zgody na przyznanie uprawnień w systemie IdM/IdAM.

Odrzucenie wniosku

Brak zgody na przyznanie wnioskowanych uprawnień w systemie IdM/IdAM.

Realizacja wniosku

Nadanie uprawnień do zasobu w systemie IdM/IdAM.

Wnioskujący

Użytkownik, który utworzył wniosek o nadanie uprawnień/ odbieranie uprawnień w systemie IdM/IdAM; jest autorem wniosku.

Akceptujący

Użytkownik, który ma możliwość zaakceptowania bądź odrzucenia wniosku o nadanie lub odebranie uprawnień w systemie IdM/IdAM.

Realizujący

Użytkownik, który został przypisany w systemie IdM/IdAM jako osoba wykonująca czynność nadania lub odebrania uprawnień do zasobów.


Dane osobowe

Co to są dane osobowe?
Dane osobowe to identyfikatory, które obejmują wszelkie informacje dotyczące osoby fizycznej, takie jak jej imię i nazwisko, dane o lokalizacji, dane genetyczne lub biometryczne (np. linie papilarne) itp., a które w połączeniu z innymi


Dane wrażliwe

Dane wrażliwe to termin obejmujący kategorie danych osobowych, które należy chronić i obchodzić się z nimi ostrożnie. Do danych wrażliwych należą wszelkie dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne oraz przekonania religijne i światopoglądowe, przynależność do związków zawodowych, dane genetyczne oraz biometryczne,  a także wszelkie informacje dotyczące stanu zdrowia, płci lub orientacji seksualnej.  


Informacje/dane poufne

Informacje poufne to dane, które zwykle nie są znane osobom postronnym i nie można je uzyskać w łatwy sposób, o ile osoby dysponujące dostępem do nich zachowały należytą ostrożność i nie udostępniają ich swobodnie. Przedsiębiorstwa powinny jasno określić które informacje mają dla nich znaczenie gospodarcze, które są objęte poufnością i nie powinny być dostępne publicznie.


Rola organizacyjna

Czym jest rola organizacyjna w systemie do zarządzania tożsamością?
Tożsamości cyfrowe grupowane są w role organizacyjne zgodnie z ich obowiązkami zawodowymi wobec organizacji. Każdy użytkownik (tożsamość cyfrowa) zostaje przypisany do roli organizacyjnej po dodaniu go do systemu IdM, dzięki czemu nie funkcjonuje w systemie pod swoją nazwą (np. imię i nazwisko), tylko trafia do grupy tożsamości potrzebujących określonych dostępów. Role organizacyjne tworzy się po to, aby zredukować liczbę obsługiwanych tożsamości cyfrowych, poprzez zgrupowanie ich według tego, jakich potrzebują uprawnień w zasobach, żeby realizować swoje obowiązki. Inne uprawnienia będą posiadać użytkownicy zdalni, podwykonawcy, a jeszcze inne pracownicy stacjonarni czy kadra menedżerska. Rola może być modyfikowana, aktualizowana i usuwana przez administratora posiadającego uprawnienia do zmiany ról użytkowników.

Rola biznesowa

Czym jest rola biznesowa w systemie do zarządzania tożsamością?
Role biznesowe grupują uprawnienia systemowe w poszczególnych zasobach. Użytkownicy przypisani do ról organizacyjnych mają różne uprawnienia (w poszczególnych zasobach), które są związane z czynnościami biznesowymi, takimi jak możliwość odczytu, zapisu, czy pobierania informacji. Pod każdą z tych czynności często kryje się wiele uprawnień systemowych, ponieważ każdy zasób, jakim dysponuje organizacja, ma swój model uprawnień. Zgrupowanie tych uprawnień daje nam możliwość wyboru jednocześnie wielu uprawnień podczas procesowania wniosków w systemie IdM. Uprawnienia zgrupowane w role biznesowe są również dużo bardziej zrozumiałe dla użytkowników biznesowych, którzy w systemie IdM akceptują wnioski o dostępy.


System IdM

Co to jest system IdM (z ang. Identity Management)? System do zarządzania tożsamością cyfrową (IdM) umożliwia przypisywanie odpowiednich ról użytkownikom, co wiąże się z możliwością nadawania, modyfikowania lub odbierania dostępów do zasobów firmowych. Stanowi centralny rejestr uprawnień do zasobów firmy. Jest rozwiązaniem informatycznym poprawiającym bezpieczeństwo (ochrona tożsamości) i usprawniającym pracę zespołów IT. Ponadto system zawiera informacje, kim jest dana tożsamość w przedsiębiorstwie oraz jakie pełni w nim funkcje, do jakich systemów dziedzinowych (np. systemy ERP, CRM itp.) może mieć dostęp i jak szerokie są to uprawnienia; a także jak można nimi dysponować.


System IAM

Co oznacza IAM z ang. Identity and Access Management? IAM lub IdAM oznacza zarządzanie tożsamościami cyfrowymi i dostępem, które jest oparte na strukturze zasad i technologii, umożliwiających poszczególnym użytkownikom dostęp do odpowiednich zasobów organizacji. System IAM w sposób usystematyzowany reguluje, kto ma dostęp do informacji wewnętrznych przedsiębiorstwa i uprawnień do systemów, jakie posiada firma. Dystrybucja tych uprawnień oraz zarządzanie nimi odbywają się poprzez nadawanie podmiotom, np. pracownikom lub kontrahentom, tożsamości cyfrowej w systemie IdAM.


Systemy IGA

System IGA (z ang. Identity Governance and Administration) – to akronim angielskich słów oznaczających zarządzanie i administrowanie tożsamością cyfrową. Systemy IGA łączą administrację tożsamością cyfrową (administrowanie kontami i poświadczeniami oraz zarządzanie uprawnieniami) z zarządzaniem tożsamością, które dotyczy rozdziału obowiązków, zarządzania rolami, rejestrowania oraz analiz i raportowania.To, co wyróżnia IGA na tle systemów IdM/IAM to fakt, że systemy tego typu mają dodatkowe funkcjonalności, które pomagają spełniać wymagania dotyczące zgodności z normami bezpieczeństwa; możliwość przeprowadzenia audytu dostępów oraz raportowania zgodności. Systemy te również automatyzują działania związane z obsługą wniosków dostępowych, takich jak zatwierdzanie lub wycofanie dostępów.


Uwierzytelnianie

Co to jest Uwierzytelnianie (z ang. authentication)? Uwierzytelnianie to proces potwierdzania tożsamości użytkownika, czyli użytkownik „nam się przedstawia”, a my weryfikujemy, czy to rzeczywiście on. Potocznie używa się też nazwy “autentykacja”. Celem uwierzytelnienia jest identyfikacja użytkownika lub udowodnienie prawdziwości wiadomości. Użytkownik musi podać swoje dane uwierzytelniające, takie jak nazwa użytkownika i hasło, aby uwierzytelnić się w systemie lub aplikacji.


Autoryzacja

Co to jest autoryzacja (z ang. authorization)? Proces autoryzacji to element kontroli dostępu do zasobów. Krótko pisząc autoryzacja sprowadza się do tego, że sprawdza się do czego uwierzytelniona osoba ma prawo mieć wgląd i dostęp. W wersji bardziej formalnej brzmi to tak: użytkownik musi uzyskać potwierdzenie, że jest uprawniony do korzystania z zasobów. Uprawnienia użytkownika potwierdzane są dopiero po zidentyfikowaniu i uwierzytelnieniu jego tożsamości np. za pomocą ustalonego loginu i hasła. Autoryzacja na podstawie ustalonych reguł kontroli dostępu decyduje, czy żądanie dostępu od uwierzytelnionego użytkownika ma zostać zatwierdzone, czy odrzucone.


SSO

Co to jest SSO? Z ang. Single Sign-On oznacza jednorazowe logowanie się do systemu przedsiębiorstwa i uzyskanie dostępu do wszystkich systemów, niezbędnych do wykonywania pracy. Jest to metoda uwierzytelniania, która pozwala użytkownikom w bezpieczny sposób logować się do wielu różnych aplikacji za pomocą jednego zestawu poświadczeń, czyli loginu i hasła. Dzięki SSO nie trzeba zapamiętywać wielu danych do logowania i każdorazowo podawać ich ponownie.


Zero Trust

Co oznacza Zero Trust? To model bezpieczeństwa, nazywany także bezpieczeństwem bez granic, zakładający brak zaufania do wszystkich użytkowników i urządzeń, za których pośrednictwem korzysta się z informatycznych systemów firmy. W podejściu tym zakłada się, że bezpieczeństwo IT jest nadrzędną wartością organizacji i trzeba być przygotowanym na ewentualne nieprawidłowości, np. wycieki danych. Architektura Zero Trust przyjmuje więc, że nie można domyślnie ufać żadnemu z urządzeń, nawet jeśli wcześniej zostało zweryfikowane i działa w firmowej sieci.


PAM / PIM

Co to jest PAM? Z Ang. Privileged Access Management/ Privileged Identity Management – sposób kontrolowania sesji uprzywilejowanych, czyli działań wykonywanych przez administratorów danego systemu IT. Dzięki niemu można w prosty sposób nadawać uprawnienia administratorom oraz stale monitorować wykonywane przez nich czynności. PAM służy więc zabezpieczeniu systemów organizacji przed wewnętrznymi nadużyciami lub zaniedbaniami ze strony administratorów.


MFA

  1. MFA – Uwierzytelnianie wielopoziomowe, z ang. multi-factor authentication zapewnia dodatkową ochronę podczas logowania dzięki wprowadzeniu uzupełniających elementów potwierdzających tożsamość. MFA oznacza defacto trzy poziomy zabezpieczania dostępu:
  1. Hasło lub PIN (czyli to, co jest nam znane)
  2. KOD (czyli to, co otrzymujemy)
  3. Weryfikacja biometryczna (czyli to, jacy jesteśmy – np. linie papilarne, face id, skanowanie tęczówki itp.)

W praktyce przedstawia się to następująco: użytkownik, zanim się zaloguje do określonej aplikacji musi wprowadzić osobisty identyfikator użytkownika i podać hasło uwierzytelniające. Następnie wprowadza dodatkowy kod uwierzytelniający, wysyłany przez system (do którego chce uzyskać dostęp) w momencie próby logowania. Kod najczęściej przesyłany jest na zatwierdzone urządzenie przenośne (np. telefon). Dodatkowo zatwierdza całą operację np. za pomocą odcisku linii papilarnych lub fizycznej karty, która potwierdza jego tożsamość.


Provisioning

Co to provisioning? W kontekście systemów IAM oznacza faktyczne wprowadzenie wyznaczonych zmian w systemie dziedzinowym (np. ERP, CRM itp.). Provisioning możemy przeprowadzić na dwa sposoby: automatycznie i manualnie. System IdAM może łączyć się za pomocą konektorów z docelowym systemem dziedzinowym i modyfikować uprawnienia użytkowników zgodnie ze stanem faktycznym w systemie do zarządzania tożsamością i dostępami. Manualna modyfikacja polega na tym, że administrator danego systemu dziedzinowego manualnie wprowadza zmiany w uprawnieniach dla użytkownika.


Rekoncyliacja

Porównanie danych w systemach dziedzinowych, takich jak np. systemy ERP, CRM, systemy HR z informacjami o uprawnieniach danego użytkownika w systemie IdAM, w celu znalezienia i wyeliminowania rozbieżności. Rozbieżnością może być np. fakt, że dany użytkownik wg danych systemu IdAM teoretycznie nie ma złożonego i zaakceptowanego wniosku o dostęp do konkretnego systemu dziedzinowego, a de facto go posiada i może z niego korzystać.