Независимо от того, какую роль играет человек в организации, ему всегда нужен доступ к одной или нескольким базам данных для выполнения своих должностных обязанностей. Будь то кассир в фастфуде или технический менеджер по работе с клиентами в компании из списка Fortune 500, ввод и извлечение данных является основной частью предоставляемых ему БД сервисов, пишет на портале The New Stack Винс Пауэр, корпоративный архитектор компании Torq.
В этой статье мы рассмотрим некоторые преимущества автоматизации для обеспечения безопасности данных в организации. Мы объясним, как внедрение автоматизации в существующие методы контроля доступа к БД может повысить эффективность и согласованность, а также обсудим, как автоматизация, ориентированная на безопасность, добавляет дополнительные уровни защиты, например, улучшает целостность данных и контроль конфиденциальности, что помогает защитить бизнес.
Устранение прямого доступа к базам данных
До появления современных технологий вся информация о клиентах была легко доступна каждому сотруднику офиса в ближайшей картотеке. Позже эта же концепция была перенесена в электронные БД, где каждый ищет все в «системе».
Такая модель, возможно, проста в построении, но она не масштабируется, поскольку все данные в каждой системе должны быть доступны всем сотрудникам — причем всегда. Это также увеличивает количество ручных перекрестных проверок, которые люди должны делать между системами. Не стоит забывать и о риске дрейфа данных, а также о повышенном риске их утечки.
Существует множество преимуществ автоматизации доступа к данным людей, которые их запрашивают. Автоматизированные рабочие процессы могут создавать полное представление и поток ваших данных, автоматически извлекая запрашиваемые фрагменты информации из источников истины.
Например, когда вы извлекаете профиль сотрудника из автоматизированной системы, контактная информация берется из системы управления персоналом, информация о текущих проектах, в которых он участвует, поступает из такого инструмента, как Jira, а список корпоративных активов, с которыми связан сотрудник, извлекается из такого инструмента, как Service Now.
Кроме того, автоматизированные методы контроля доступа к БД позволяют сократить дублирование ввода данных, что в свою очередь уменьшает количество ошибок и смещений. Например, в вышеупомянутом профиле сотрудника контактная информация всегда поступает из HR-системы, поэтому системе расчета заработной платы, равно как и решению для службы технической поддержки, не нужно иметь ее собственную копию.
Принцип наименьших привилегий
Добавление посредника между людьми и данными с помощью автоматизированных рабочих процессов также позволяет внедрить передовые методы обеспечения безопасности и другие средства контроля. В основе этих элементов управления доступом к данным лежит принцип наименьших привилегий.
Например, если кто-то входит в определенную группу продаж, автоматизированное решение может отфильтровать все данные, которые не относятся к его потребностям. То же самое касается людей, которые принимают заказы на складе: им не нужно видеть, сколько стоит каждый товар или какие банковские карты используются. Вы можете сделать это настолько тонко, насколько захотите, но для этого необходимо установить контроль доступа к данным, чтобы поддержать гарантии.
Второй подход, который используют некоторые организации, заключается в том, чтобы регистрировать все и проводить аудит на предмет того, что люди могут делать, а не блокировать доступ к тем областям, к которым людям не нужно иметь доступ. Технически такой подход проще, но для его реализации требуется больше людей.
Запросы на утверждение доступа к данным
Прелесть использования автоматизации безопасности в качестве брокера данных заключается в том, что она способна подтверждать запросы на получение данных. Это включает в себя проверку того, что запрашивающий действительно имеет разрешение на просмотр запрашиваемых данных.
Если соответствующие разрешения отсутствуют, пользователь может отправить запрос на добавление на определенную роль через обычные каналы, что обычно и происходит. При автоматизированном управлении доступом к данным такой запрос может быть сформирован и отправлен в рамках решения для упрощения процесса.
Это также позволяет автоматически включать в запрос дополнительную контекстно-зависимую информацию. Например, если кто-то запрашивает данные, к которым у него нет доступа в рамках его роли, решение может быть настроено на поиск владельца БД, заполнение запроса на доступ и отправку его владельцу данных, который затем может одобрить одноразовый доступ или предоставить доступ на определенный период времени. Распространенный сценарий, в котором это может быть полезно, — когда сотрудник уходит в отпуск, а кто-то другой помогает клиентам, пока его нет.
Контрольные журналы
Как мы уже говорили выше, некоторые организации могут предпочесть регистрировать все, чтобы отслеживать, кто и что делает. Любое хорошее решение для автоматизации защиты данных имеет возможность создания обширных журналов аудита. Эта возможность аудита может — и должна — использоваться для отслеживания как положительных, так и отрицательных событий. Положительным событием может быть предоставление разрешения на просмотр данных, которые запрашивает пользователь, а отрицательным — отказ врачу в доступе к данным пациента, который наблюдается в другом отделении клиники.
Оба типа событий могут быть использованы для выявления тенденций. Например, каждый раз, когда облачный сервис предупреждает вас о том, что вы вошли в систему из нового места, это происходит потому, что его решение зарегистрировало положительное событие аутентификации, а бэкенд-решение что-то сделало с этим событием, когда оно пришло.
Автоматизированные рабочие процессы доступа к данным
Как мы уже говорили выше, включение безопасных рабочих процессов доступа к данным, выполняемых в рамках фреймворков автоматизации, в существующие бизнес-процессы повышает целостность перемещаемых данных и обеспечивает лучший контроль конфиденциальности, показывая только те данные, которые необходимы. Это также позволяет получить больше метрик, которые можно отслеживать, чтобы найти больше областей, которые можно оптимизировать, и больше мест, где дополнительная автоматизация может принести больше пользы.