Politika upravljanja korisničkim računima i privilegijama - SME

Politika upravljanja korisničkim računima i privilegijama (P11S) je sveobuhvatna ponuda usmjerena na SME, osmišljena za upravljanje izradom, korištenjem, praćenjem i uklanjanjem korisničkih računa i privilegija pristupa unutar organizacije. Kao politika prilagođena globalnim standardima i regulatornim mandatima, uspostavlja okvir kako bi se osiguralo da samo ovlašteni korisnici imaju odgovarajući pristup, što je kritična kontrola za sprječavanje neovlaštenog pristupa i smanjenje insajderske prijetnje. P11S je napisana posebno za mala i srednja poduzeća (SME), što se vidi kroz odgovornost General Managera (GM) i izostanak složenih struktura IT upravljanja poput namjenskog Centra za sigurnosne operacije (SOC) ili glavnog službenika za informacijsku sigurnost (CISO). Ovaj pristup čini kontrolu pristupa visoke razine pouzdanosti ostvarivom i upravljivom za organizacije bez velikih sigurnosnih timova, uz zadržavanje usklađenosti s ISO/IEC 27001:2022 i povezanim okvirima. Politika se primjenjuje na sve zaposlenike, izvođače, pripravnike i treće strane s pristupom organizacijskim IT resursima. Obuhvaća tradicionalne korisničke račune, administratorske i servisne račune, kao i privremene ili gostujuće autentifikacijske vjerodajnice. Pravila obuhvaćaju cijeli životni ciklus računa, od inicijalnog uvođenja u posao i dodjele pristupa do periodičnog pregleda i opoziva pristupa tijekom izlaznog procesa. Svakom korisniku dodjeljuje se jedinstveni, sljediv identitet radi osiguravanja odgovornosti, pri čemu su dijeljene vjerodajnice izričito zabranjene osim u kontroliranim, dokumentiranim iznimkama. Povišene privilegije moraju proći dodatni sloj obrazloženja i ovlaštenja, uvijek uz dokumentaciju i periodični pregled. Uloge i odgovornosti su pojednostavljene i jasne: GM osigurava ukupni nadzor, osiguravajući pridržavanje politike i rješavanje svih sigurnosnih incidenata povezanih s korisničkim računima. Implementacija i tehnička provedba pripadaju IT Leadu (ili vanjskom pružatelju IT usluga), koji upravlja dodjelom pristupa, onemogućavanjem, praćenjem i revizijskim bilježenjem, strogo na temelju dokumentiranih odobrenja. Neposredni rukovoditelji imaju ključnu ulogu u podnošenju zahtjeva, pregledu i validaciji pristupa kako se uloge članova tima mijenjaju, dok je svaki korisnik odgovoran za zaštitu svojih autentifikacijskih vjerodajnica i prijavljivanje sumnjivih aktivnosti. Politika je strogo upravljana, zahtijevajući da se sve promjene računa, izrade, deaktivacije i eskalacije privilegija bilježe i povezuju s imenovanim osobama. Periodični pregledi pristupa obvezni su najmanje svakih šest mjeseci. Složenost lozinke, višefaktorska autentifikacija (MFA) gdje je izvedivo, zaključavanje računa nakon neuspjelih pokušaja te sustavni pregled servisnih računa i računa trećih strana ugrađeni su u pravila. Postupci izlaznog procesa osiguravaju brzo uklanjanje pristupa i povrat svih sigurnosnih tokena ili uređaja, smanjujući rizike zaostalog pristupa. Upravljanje iznimkama provodi se prema visokom standardu: svako odstupanje od temeljne politike (poput rijetke uporabe dijeljenih ili testnih računa) mora biti pisano obrazloženo, kompenzirano kompenzacijskim kontrolama, pregledavano tromjesečno i podložno konačnom opozivu pristupa. Hitni “break glass” računi dopušteni su samo pod definiranim, dokumentiranim uvjetima i moraju se resetirati nakon uporabe. Politika propisuje redovite revizije, preglede incidenata informacijske sigurnosti i godišnja ažuriranja radi održavanja usklađenosti s promjenjivim regulatornim i poslovnim zahtjevima. Konačno, izričito se povezuje s pratećim politikama koje pokrivaju upravljanje, kontrolu pristupa, Politiku uvođenja u posao i prestanka radnog odnosa, Politiku podizanja svijesti i osposobljavanja o informacijskoj sigurnosti i Politiku odgovora na incidente (P30), osiguravajući cjelovit pristup upravljanju pristupom i usklađenosti.