Onko organisaatiollasi dokumentaatio etuoikeutettujen tilien käytöstä?

Monet organisaatiot eivät tiedä, miten laajennettuja tai erityisoikeuksia sisältäviä tilejä käytetään. Tämä voi hankaloittaa vastausten löytämistä ongelmatilanteissa – ja seuraukset voivat olla huomattavia. Tässä artikkelissa käsittelemme tarkemmin, miksi dokumentointi on keskeisessä roolissa sekä turvallisuuden että luottamuksen kannalta.

Kuvittele, että liiketoiminnan kannalta kriittinen järjestelmä kaatuu kesken työajan. Tai että ulkoinen toimittaja saa pääsyn tietoihin, joihin heidän ei pitäisi päästä. Ehkä huomaatte yhtäkkiä, että joku on muuttanut tärkeän järjestelmän asetuksia, eikä kukaan tiedä kuka, milloin tai miksi.

Tällaisessa tilanteessa herää luonnollisesti kysymys: Kuka teki mitä – ja milloin?

Organisaatiolla ei ole hyvää dokumentaatiota

Usein käy kuitenkin ilmi, että selkeää vastausta ei ole. Tämä ei johdu siitä, että joku haluaisi peitellä jotain, vaan siksi, että pääsyä ei ole kirjattu, tiliä ei ole henkilökohtaisesti yhdistetty kehenkään, tai pääsy on jaettu useiden kesken.

Kun on kyse käyttäjistä, joilla on erityisoikeuksia, kuten järjestelmänvalvojat, skriptit ja ulkopuoliset, joilla on suora pääsy järjestelmiin, dokumentaatio on usein puutteellista. Juuri tässä tilanteessa seuraukset voivat olla vakavia.

Miksi on vaikeaa löytää vastauksia ongelman ilmetessä?

Monilla organisaatioilla on nykyään hyvä hallinta tavallisten käyttäjien pääsyissä. Kuitenkin erityisoikeuksilla varustettujen tilien kohdalla tilanne on usein toisenlainen.

Erityisoikeuksilla varustettuja tilejä käyttävät yleensä järjestelmänvalvojat, järjestelmän omistajat, ulkopuoliset konsultit tai automatisoidut skriptit. Pääsy myönnetään usein nopeasti tietyn ongelman ratkaisemiseksi. Juuri siksi, että kyse on toiminnasta ja "jonkun on vain päästävä sisään", dokumentointi ja valvonta jäävät usein toissijaisiksi.

Tämä tarkoittaa, että:
Useilla henkilöillä voi olla pääsy samalle tilille ilman dokumentointia.
Pääsy myönnetään suoraan ilman hyväksyntää tai lokitietoja.
Skriptit ja palvelutilit omaavat pääsytasoja, joita kukaan ei enää hallitse.
Väliaikaisia pääsyjä ei koskaan poisteta.

Kun virheitä, epäilyksiä tai tarkastusvaatimuksia ilmenee, ei ole selkeää tietopohjaa, johon voisi palata. Tämä ei välttämättä johdu siitä, että joku olisi tehnyt virheen, vaan siitä, että järjestelmä ei ole suunniteltu tarjoamaan näkyvyyttä.

Mitkä ovat dokumentaation puutteen seuraukset?

Kun ei ole dokumentaatiota siitä, kuka on tehnyt mitä, on vaikeaa toimia, oppia ja ottaa vastuuta. Tämä pätee sekä pienissä että vakavimmissa tilanteissa.

Etuoikeutettujen käyttäjien dokumentaation puutteen seuraukset

Jos konfiguraatiota muutetaan ilman selitystä, voi olla aikaa vievää ja resurssi-intensiivistä selvittää, mitä on tapahtunut ja miksi. Jos herää epäily väärinkäytöstä, voi olla mahdotonta selvittää, onko se todellista ja kuka on vastuussa. Ja jos kohtaatte tarkastus- tai valvontavaatimuksia, dokumentaation puute voi herättää epäilyksiä koko turvallisuusrakenteestanne.

Tietämättömyys voi myös johtaa siihen, että samat virheet toistuvat. Johto ei saa selkeitä vastauksia. Ja luottamus IT-turvallisuuteen heikkenee – sekä sisäisesti että ulkoisesti.

Yksinkertaisesti sanottuna: Ilman dokumentaatiota ei ole varmuutta siitä, että pääsy teidän herkimmille järjestelmille käytetään asianmukaisesti.

Mitä vaaditaan hyvän dokumentoinnin varmistamiseksi etuoikeutetulle pääsylle?

Hyvä dokumentointi ei tarkoita kaikkien jatkuvaa valvontaa, vaan kykyä jäljittää korkean riskin pääsyn käyttöä ja varmistaa läpinäkyvyys.

Jotta tämä saavutettaisiin, edellytetään, että etuoikeutettu pääsy:
On liitetty nimettyihin käyttäjiin tai järjestelmiin.
Myönnetään selkeillä tarkoituksilla ja kestolla.
Käytetään järjestelmien kautta, jotka kirjaavat toimet ja tapahtumat.
Tarkistetaan ja arvioidaan säännöllisesti.

Se saattaa vaikuttaa laajalta, mutta sen ei tarvitse olla. Oikealla lähestymistavalla ja ratkaisulla on mahdollista luoda selkeyttä ja dokumentointia – askel kerrallaan.

Mitä voit tehdä parantaaksesi dokumentointia liittyen etuoikeutettuun pääsyyn?

Jos organisaatiollanne ei ole täydellistä käsitystä etuoikeutettujen tilien käytöstä, on hyvä aloittaa siitä. Sekä turvallisuuden että dokumentoinnin parantamiseksi on tärkeää saada selvyys siitä, miten pääsyä arkaluonteisiin järjestelmiin tällä hetkellä hallitaan.
Mitä voit tehdä parantaaksesi dokumentointia liittyen etuoikeutettuun pääsyyn?

Aloita esittämällä kysymyksiä, kuten:

Mitkä tilit pääsevät liiketoimintakriittisiin järjestelmiin?
Kuka käyttää niitä ja milloin?
Miten pääsy myönnetään, valvotaan ja poistetaan?

Kun sinulla on kokonaiskuva, on helpompaa tunnistaa, missä hallinta tai läpinäkyvyys puuttuu.

Privileged Access Management (PAM) on luonteva seuraava askel. PAM-ratkaisu auttaa hallitsemaan, rajoittamaan ja dokumentoimaan etuoikeutettujen tilien käyttöä – ja luomaan sen läpinäkyvyyden, jota monet organisaatiot tänä päivänä kaipaavat.