Politika upravljanja uporabniških računov in privilegijev – SME

Politika upravljanja uporabniških računov in privilegijev (P11S) je celovita, na SME osredotočena ponudba, zasnovana za upravljanje ustvarjanja, uporabe, spremljanja in odstranjevanja uporabniških računov in privilegijev v organizaciji. Kot politika, prilagojena globalnim standardom in regulativnim zahtevam, vzpostavlja okvir, ki zagotavlja, da imajo ustrezen dostop le pooblaščeni uporabniki, kar je ključna kontrola za preprečevanje nepooblaščenega dostopa in zmanjševanje notranjih groženj. P11S je napisana posebej za mala in srednje velika podjetja (SME), kar se odraža v odgovornosti generalnega direktorja (GM) ter odsotnosti kompleksnih struktur upravljanja IT, kot so namenski center za varnostne operacije (SOC) ali vodja informacijske varnosti (CISO). Ta pristop omogoča dosegljiv in obvladljiv nadzor dostopa z visoko stopnjo zagotovila za organizacije brez velikih varnostnih ekip, hkrati pa ohranja usklajenost z ISO/IEC 27001:2022 in povezanimi okviri. Politika velja za vse zaposlene, pogodbene izvajalce, pripravnike in tretje osebe z dostopom do organizacijskih IT virov. Zajema tradicionalne uporabniške račune, skrbniške in storitvene račune ter začasne ali gostujoče avtentikacijske poverilnice. Pravila pokrivajo celoten življenjski cikel računa, od uvajanja in dodeljevanja dostopa do periodičnega pregleda in preklica dostopa med postopkom izstopa. Vsakemu uporabniku je dodeljena edinstvena, sledljiva identiteta za zagotavljanje odgovornosti, deljene poverilnice pa so izrecno prepovedane, razen v okviru nadzorovanih, dokumentiranih izjem. Povišani privilegiji morajo prestati dodatno raven utemeljitve in odobritve ter so vedno predmet dokumentiranja in periodičnih pregledov. Vloge in odgovornosti so poenostavljene in jasne: GM zagotavlja splošni nadzor, zagotavlja upoštevanje politike in obravnava vse incidente informacijske varnosti, povezane z uporabniškimi računi. Implementacija in tehnično uveljavljanje sta v pristojnosti vodje IT (ali zunanjega ponudnika IT), ki upravlja dodeljevanje dostopa, onemogočanje, spremljanje in revizijsko beleženje, vse strogo na podlagi dokumentiranih odobritev. Neposredni vodje imajo ključno vlogo pri vlaganju zahtev za dostop, pregledih pravic dostopa in preverjanju dostopa, ko se vloge članov ekip spreminjajo, vsak uporabnik pa je odgovoren za varovanje svojih avtentikacijskih poverilnic in poročanje o sumljivih dejavnostih. Politika je strogo upravljana in zahteva, da se vse spremembe računov, ustvarjanja, deaktivacije in eskalacije privilegijev beležijo ter povežejo z imenovanimi posamezniki. Periodični pregledi pravic dostopa so obvezni najmanj vsakih šest mesecev. Zahtevnost gesla, večfaktorska avtentikacija (MFA), kjer je mogoče, zaklep računa po neuspelih poskusih ter sistematični pregledi storitvenih računov in računov tretjih oseb so vgrajeni v pravila. Postopki izstopa zagotavljajo hitro odstranitev dostopa in vračilo vseh dostopnih žetonov ali naprav, s čimer se zmanjšajo tveganja zaradi preostalega dostopa. Upravljanje izjem je postavljeno na visok standard: vsako odstopanje od temeljne politike (npr. redka uporaba deljenih ali testnih računov) mora biti pisno utemeljeno, kompenzirano z nadomestnimi kontrolami, četrtletno pregledano in predmet končnega preklica dostopa. Nujni računi »break glass« so dovoljeni le pod opredeljenimi, dokumentiranimi pogoji in morajo biti po uporabi ponastavljeni. Politika določa redne presoje, preglede incidentov informacijske varnosti in letne posodobitve za ohranjanje usklajenosti z razvijajočimi se regulativnimi in poslovnimi zahtevami. Na koncu se izrecno povezuje s spremljevalnimi politikami, ki pokrivajo upravljanje, nadzor dostopa, politiko uvajanja in prenehanja, usposabljanje za ozaveščanje o varnosti ter odziv na incidente, s čimer zagotavlja celovit pristop k upravljanju dostopa in skladnosti.