ABT blog

A
A jogosultság felülvizsgálat előnyei és kihívásai / Benefits and Challenges of User Access Review

A jogosultság felülvizsgálat előnyei és kihívásai

A jogosultság felülvizsgálat a felhasználók hozzáférési jogainak időszakos felülvizsgálatát és ellenőrzését jelenti egy szervezeten belül.

Előnyei

A jogosultság felülvizsgálat (user access review, továbbiakban UAR) a felhasználók hozzáférési jogainak időszakos felülvizsgálatát és ellenőrzését jelenti egy szervezet egy vagy több informatikai rendszerén belül. Ez a folyamat fontos a szervezet rendszereinek és adatainak biztonsága szempontjából. A UAR, mint napjaink (adat)védelmi intézkedéseinek nagy része, önmagában nem biztosít teljeskörű védelmet és bizonyosságot, azonban egy nagyon fontos része a szervezet védelmi rendszerének, kulcsfontosságú informatikai kontrolljainak.

A UAR előnyei:

  • segít a jogosulatlan hozzáférések felderítésében és elvételében;
  • javítja a kilépő és jogosultság visszavonási folyamat esetleges hibáit;
  • feltárja és kezelhetővé teszi a szervezeten belül pozíciót váltó munkatársak jogosultságainak halmozódását;
  • segít bizonyos szerepkör szegregációs (SOD) hibák, kockázatok felismerésében és kiküszöbölésében;
  • csökkenti az incidensek és adatvesztés kockázatát;
  • effektívebb munkavégzést tesz lehetővé azzal, ha mindenki csak a munkájához szükséges jogosultságokkal rendelkezik.

Kihívások

Aki találkozott vagy vett részt UAR folyamatban, megtapasztalhatta, hogy mennyire összetett a folyamat. Sok kényes pont található benne, amelyekre figyelnünk kell ahhoz, hogy teljes, hatékony és hatásos legyen a jogosultság felülvizsgálatunk.

Több UAR folyamatot kísértünk végig és vállaltunk bennük aktív részt. Tapasztalataink alapján az alábbi kulcs tényezőkre hívnánk fel a figyelmet, amelyek nagyban hozzájárulhatnak a folyamat sikeréhez.

1. Hatókör meghatározás fontossága

      • A UAR folyamat által érintett rendszerek, felhasználók és szerepkörök listájának definiálása. Kockázatértékelésünk alapján mely rendszerekre kell végrehajtani?
      • Minden felhasználót és jogosultságot vizsgálunk, esetleg kihagyjuk a csak megtekintő jogosultságokat?
      • Hogy kezeljük a külsős partnerek felhasználóit?
      • Külön figyelmet szentelünk a kiemelt jogosultságú felhasználókra?

2. Szereplők pontos definiálása

      • Kik koordinálják és hajtsák végre magát a UAR-t? Ez egy periodikusan (általában évente kétszer) végrehajtott, nagy munkatöbblettel járó folyamat, építsük be valamelyik terület éves feladatiba? Hozzunk létre rá egy belsős projekt csapatot, esetleg alkalmazzunk külsősöket a feladatra?
      • Kik lesznek a jóváhagyók? Minden dolgozó jogosultságait a közvetlen felettese hagyja jóvá? Esetleg a jogosultságoknak van egy felelőse (owner), aki minden hozzá tartozó jogosultságot hagy jóvá? Vagy az adott informatikai rendszer üzleti tulajdonosa? Figyelni kell arra, hogy egy jóváhagyó ne kapjon túl sok tételt, mert nem reális több ezer tétel átnézése rendszerenként, de ne is legyen több ezer jóváhagyónk.

3. Adatforrások

Milyen forrásokból nyerjük ki a UAR alapjául szolgáló adatokat? Hogyan tudunk megbizonyosodni a listák teljességéről és pontosságáról? Ez különösen akkor fontos, ha külső audit is fogja vizsgálni a folyamatunkat.

4. Használt eszközök

Milyen platformon szervezzük meg a UAR folyamatát? Az Excel alapú sok manuális lépés időigényes és több hibalehetőséget tartalmaz. Egy dobozos szoftver beszerzése drága lehet, és nem biztos, hogy a dobozos megoldás teljeskörűen kiszolgálja a szervezetünk igényeit.

5. Időzítés tartása

Hogyan oldjuk meg, ha egy jóváhagyó nem elérhető? Hogy működik az esetleges delegálás? Kik végezhetik?

6. Következmény menedzsment

Hogyan kezeljük a határidőig meg nem érkezett válaszokat? Elveszünk minden jogosultságot, ezzel esetleges üzleti fennakadásokat okozva? Hogyan szűrjük ki az estleges önellenőrzést (self-review), ezáltal biztosítva a független jóváhagyást?

Látható, hogy egy UAR során rengeteg felmerülő kérdés és döntési pont van, melyekben egy külső, többféle módszert és folyamatot ismerő tanácsadó segítségére bármikor szükség lehet.

Hogy tudunk segíteni Önnek?

Szakembereink az évek során számos Társaságnál vettek részt a UAR-hoz kapcsolódó projektekben feladatokban. A felhasználó felülvizsgálathoz kapcsolódó szolgáltatásaink az alábbiak:

  • Folyamat auditálása és tanácsadás: a folyamat felmérése után meghatározzuk azokat a pontokat, ahol fejlődési, fejlesztési lehetőség van és megadjuk az Önök szervezetéhez és folyamatihoz leginkább illeszkedő fejlesztési lehetőségeket.
  • A UAR koordinálása és végrehajtása: tanácsadóink végig vezetik a folyamatot az Önök szervezetében, a tervezéstől az adatok audit-álló kinyerésén és tisztításán keresztül a végső dokumentálásig.
  • UAR automatizálás: Az ABT saját fejlesztésű UAR szoftvere már sok jogosultság felülvizsgálat során bizonyított, és többször sikeresen vizsgázott Big4 auditokon. Van, ahol több mint 15 rendszert és 15 ezer felhasználó jogosultságait validálják a segítségével.

 

1. ábra Részlet az ABT UAR szoftveréből

Ha az Ön figyelmét felkeltették a UAR-ral kapcsolatos szolgáltatásaink, keressenek minket bizalommal!

Címkék: , ,

Megjelent: 2022. december 19. | Témakör: IT biztonság

Szerző
Balogh Gábor
Szenior tanácsadó, kockázatmenedzsment
[email protected]

A fenti összefoglaló tájékoztatás és figyelemfelhívás céljából készült. Bármilyen ebből következő döntés előtt javasoljuk, hogy konzultáljon szakértőinkkel.

Az ABT Treuhand Csoport 2005 óta a NEXIA International tagja. A Nexia International a világ több mint 100 országában működő mintegy 320 független adótanácsadó és könyvvizsgáló cég szaktudását és tapasztalatát egyesítő, 1971 óta létező hálózat.

Mi várható adózási digitalizáció terén 2023-ban?
Hogyan módosul a munka törvénykönyve 2023. január 1-től?