PUTEREA INFORMATIEI

Conform sondajului Identity & Access Management (IAM) realizat de KPMG, care a cuprins 17 companii din Europa Centrala si de Est (CEE), inclusiv din Romania, organizatiile europene sunt constiente de necesitatea unui management sistematic al identitatii si drepturilor de acces ale utilizatorilor. Cu toate acestea, sondajul indica existenta unui decalaj vizibil intre beneficiile asteptate si cele reale ale proiectelor IAM, in mare parte datorat faptului ca organizatiile nu sunt pregatite pentru aceasta schimbare. Raspunsurile celor 235 de participanti din companiile a 21 de tari europene dezvaluie unele diferente notabile in comparatie cu media europeana. De exemplu, o analiza a rezultatelor sondajului in functie de domeniile de activitate, dovedeste ca organizatiile care ofera servicii financiare acorda mai multa importanta securitatii informatiilor. Acestea reprezinta 41% din totalul respondentilor, fata de 47% cat este media europeana.

Proiectul include procese si sisteme ce au ca scop cresterea eficientei guvernarii si administrarii entitatilor care au acces la resursele unei organizatii. Asadar, procesele reglementate de IAM cuprind: administrarea utilizatorilor, administrarea autentificarii, administrarea autorizarii, administrarea accesului, aprovizionarea, contorizarea si auditarea.

Importanta securitatii

Avand in vedere ca toate companiile lucreaza cu oameni, cu informatii confidentiale despre acestia, majoritatea organizatiilor considera importanta securitatea informatiilor. Astfel, Geanina Ionita, PR & Communication Manager in cadrul Stanton Chase pledeaza pentru confidentialitate si spune ca echipa ei are grija ca informatiile oferite de clienti sa nu fie divulgate.

Cristina Nitescu, CEO la Omniasig Pensii, declara ca organizatia pe care o conduce lucreaza cu datele personale a peste 80.000 de clienti si agenti. Pentru ca domeniul de activitate al companiei are ca specific volumul mare de informatii personale detinute in bazele de date, "acordam o atentie deosebita protejarii informatiilor personale, atat impotriva pierderii accidentale a acestora, cat si impotriva accesarii acestor informatii de catre persoane neautorizate", explica CEO-ul Omniasig.

Pentru TotalSoft, securitatea informatiilor este extrem de importanta mai ales ca prin natura activitatii, organizatia intra in contact cu informatii confidentiale ale clientilor. Prin urmare, in companie "securitatea informatiilor este privita, in primul rand, prin prisma aplicatiilor pe care le livram (sisteme ce asigura un nivel avansat de securitate, drepturile sau restrictiile celor care le utilizeaza), dar si prin cea a accesului oamenilor", spune Suzana Badea, Marketing Officer la TotalSoft. Pentru fiecare proiect al companiei se stabileste o echipa, responsabilitatile membrilor si, in functie de acestea, se hotarasc si drepturile de acces la informatii.

Aurelia Costache, Partner, IT Advisory Service in cadrul KPMG Romania e de parere ca "securitatea informatiei nu mai trebuie tratata doar din punct de vedere tehnic, ci trebuie inclusa in managementul companiei".

Oricum, se pare ca problemele tehnice nu sunt principalele provocari pentru succesul unui proiect IAM, iar principala cauza a esecului consta in faptul ca organizatiile nu sunt pregatite pentru schimbare. Potrivit sondajului, aproape 82% dintre organizatiile din CEE au declarat ca proiectele au esuat fiindca, in afara de securitate si IT, cele mai multe departamente nu au fost pregatite pentru schimbare.

Cu toate acestea, nu exista domenii in care se acorda o importanta mai scazuta securitatii informatiilor. Totusi, importanta este direct proportionala cu valoarea, tipul si sensibilitatea informatiilor care trebuie protejate. Sondajul arata ca sectorul guvernamental e cel care aloca cele mai mici sume pentru astfel de proiecte. Nu inseamna ca acest sector acorda o importanta mai scazuta securitatii informatiilor. Exista multe proiecte aferente acestui sector care sunt derulate cu resurse interne sau au caracter secret.

Securitate

Unele companii beneficiaza de un departament de securitate a informatiilor, iar altele apeleaza la firme specializate care se ocupa de acest domeniu. Astfel, in cadrul Omniasig Pensii exista o persoana care se ocupa strict de monitorizarea solutiilor (antivirus, anti-spam, anti-spyware, firewall) si de monitorizarea tentativelor de accesare neautorizata a informatiilor sau de realizare a backup-urilor. In cadrul Stanton Chase, exista o baza de date unde angajatii companiei stocheaza informatiile necesare, iar de ea se ocupa o firma specializata. In cadrul companiei exista si un data base administrator care are grija ca toate informatiile sa fie corecte.

Proiecte

Cele mai multe proiecte sunt in prezent in faza initiala – de la proiectarea preliminara la definirea standardelor. Dintre procesele IAM, managementul utilizatorilor este cel mai matur – 45% dintre participanti au evaluat maturitatea ca fiind "controlata" sau "optimizata". Procesul de monitorizare si auditare este evaluat ca fiind cel mai putin dezvoltat proces.

"Nivelul general de eficienta si eficacitate a managementului proceselor IAM poate fi imbunatatit prin automatizarea si definirea proceselor", spune Aurelia Costache. Procedand astfel, organizatiile isi pot controla mai bine beneficiile curente legate de managementul identitatii si accesului si cresterea competitivitatii acestora.

Concluzii

Rezultatele sondajului arata ca toti participantii au initiat unul sau mai multe proiecte IAM in ultimii trei ani. Totodata, sectorul financiar aloca cele mai mari bugete proiectelor de acest tip, in timp ce sectorul guvernamental aloca cele mai mici sume. 70% dintre participantii din CEE nu au alocat bugete sau au alocat bugete extrem de mici, mai putin de 100.000 euro, pentru proiectele IAM derulate in urmatorii trei ani.

Trebuie mentionat ca participantii sondajului au fost persoane cu functii de CEO si CIO, ofiteri de securitate si sefi de audit intern din organizatii de diferite dimensiuni si din diferite industrii.