Egyre fontosabb a magas jogosultsággal rendelkező IT felhasználók ellenőrzése

Az IDC, a vezető globális IT piackutató és tanácsadó vállalat 2011. februárjában a BalaBit támogatásával kiadott új tanulmányában (Compliance is More Than Just Cost: Creating Value Beyond Compliance #IDCWP05T) arra hívja fel a figyelmet, hogy a megfelelőségi beruházásokat – amelyeket a vállalatok alapvetően csak a kötelező előírások teljesítéséhez szükséges kiadásként kezelnek – amennyiben kiterjesztik az üzleti folyamatokra, beleértve a magas jogosultsággal rendelkező felhasználók és a rendszergazdák tevékenységét is, jelentősen növelik a a szervezetek megbízhatóságát és versenyelőnyt biztosítanak számukra. Az ellenőrzés kiterjesztése nem csak a bankok, hanem minden összetett IT rendszerrel rendelkező vállalat számára szükséges a compliance előírások teljesítéséhez. A szervezetek és az IT szakértők nem hagyhatják figyelmen kívül a megfelelőségi kényszer mögött rejlő lehetőségeket, mint például egy tevékenység- és hozzáféréskezelő eszköz kiterjesztése a már meglévő eszközállományra, amellyel így hozzáadott értéket teremthetnek. Egy jól menedzselt IT környezet nagymértékben hozzájárul a szervezetek nyereségességi mutatóinak, minőségének, jó hírnevének és vonzerejének növeléséhez, valamint védjegyének és globális eredményeinek javításához. Az IDC szerint 2011-ben, ismét növekedési pályára állnak az IT beruházások az EMEA régió bankszektorában, az elmúlt két év csökkenő, illetve stagnáló költségvetési tendenciái után. A piacot számos összetett mutató befolyásolja, de a növekedés motorját a helyi és regionális felügyeleti szervek által meghozott, folyamatosan bővülő új szabályozások jelentik, egy már eleve magasan szabályozott iparágban. Az európai bankok átlagosan IT költségvetésük 10%-át költik a törvényi előírásoknak való megfelelésre – az IDC szerint 2011-ben ez az érték a szervezet méretétől függően 15-20%-ra fog emelkedni. „A megfelelőséggel kapcsolatos feladatok még újdonságot jelentenek számos IT igazgató és belső biztonsági szakértő számára. Ez a terület speciális költségvetéssel és befektetésekkel jár. A törvényi előírásoknak való megfelelés befektetésként történő kezelése, és hasznosítása az értékteremtési folyamatokban a marketingverseny új területévé fog válni. A szervezeteknek meg kell találniuk a módját, hogy értéket teremtsenek, miközben egy kötelezően teljesítendő költségtételre adnak ki pénzt.” – nyilatkozta Eric Domage, az IDC európai biztonsági kutatásért és tanácsadásért felelős igazgatója. Az információs technológia széles körű elterjedésével termelési eszközökké váltak a személyi számítógépek, hálózatok és szerverek, amelyek hozzájárulnak a termékek és szolgáltatások értékének növeléséhez. Az informatika a korábbi automatizálási vagy feladat-támogató szerepét kinőve ma már kézzelfoghatóan, kimutaható módon hozzájárul az értékteremtéshez. Éppen ezért az eszközök szigorú és gyors felügyelete elengedhetetlenné vált a globális szervezetek számára. Kevesebb, mint egy évtizeden belül az IT adminisztrátorok, az egykor alacsony értéket képviselő IT erőforrás támogatóiból az értékteremtés kulcsfontosságú szereplőivé váltak. A szervezeteknek tevékenységük fókuszába kell helyezniük a hozzáférés ellenőrzés fejlesztését mind a hálózaton, mind az alkalmazási szinteken. Erre nem csak a magas jogosultsággal rendelkező felhasználók, hanem olyan speciális felhasználók esetében is szükség van, akik hozzáférnek a növekvő számú tranzakciós- és ügyféladathoz, mint például az IT rendszert üzemeltetők, vezérigazgatók és banki operátorok. Az IDC tanulmányában felhívja a figyelmet arra, hogy minden speciális hozzáférési jogosultsággal rendelkező felhasználót a rendszergazdákkal megegyezően, vagy még annál is alaposabban kellene felügyelni. A magas jogosultságokkal rendelkező felhasználók felügyeletének előnyei: * Visszaélés megelőzése és felderítése: a napló- és eseményelemző eszközök segítségével visszajátszhatók az események és megállapíthatók a felelősségek még a belső rendszerben történt tevékenységekkel kapcsolatban is * Alkalmazottak tisztázása: az eseménymonitorozó- és naplózó eszközök hűen rekonstruálják az IT rendszerben történt aktivitásokat, és tisztázzák azokat a kollégákat, akik munkájuk során helyesen jártak el. * Átlátható szervezeti struktúra: az eszközökkel demonstrálható és bizonyítható, hogyan járt el a szervezet egy adott kritikus helyzetben, ezáltal igazolhatja a törvényi előírásoknak megfelelő viselkedését. Az IDC White Paper, amely a BalaBit támogatásával készült, a BalaBit honlapján érhető el: www.balabit.com/idc_wp