Directed by
Robert B. Weide
Robert B. Weide
Не внедряйте IDM, 2FA/MFA и PAM
пока не...
Рынок предлагает на сегодняшний день обширный перечень решений - есть и Identity Management, и Identity & Access Governance, и Identity & Access Management, двухфакторку и многофакторку на любой вкус, и Public Key Infrastructure-решения верхом на Certificate Authority. Даже казалось бы привычная служба каталогов вроде Microsoft Active Directory или FreeIPA - один из наиболее распространённых элементов Identity Security. Вам точно есть из чего выбрать и на что потратить не один бюджет ИБ и ИТ вашей компании.
Годы пройдут, поколения сменятся, новые дали к себе позовут, но наш девиз никогда не изменится - а ряд купленных и внедрённых продуктов может никогда так и не начать приносить пользу бизнесу. При этом подход построения информационной безопасности путём локального приобретения ряда продуктов для закрытия «очевидных дыр», потому что «так принято» — это шитьё лоскутного одеяла. Покупка моновендорских решений зачастую позволяет получить прекрасный лоскутный результат из кусочков, выдержанных в одном стиле. То есть причина того, что не выходит каменный цветок — не столько в технике или выборе вендора.
Каждый вендор очевидно стремится продать и внедрить свои продукты. Вендор чаще всего хорошо понимает особенности работы своего продукта, умеет работать с его сильными и слабыми сторонами. Вендор хорошо понимает, чего хочет заказчик применительно к локальной задаче, и умеет работать с потребностями на этом уровне. И в целом сложившаяся на рынке ситуация позволяет заказчикам приобретать хорошие продукты в управляемые сроки и решать локальные задачи.
При этом здесь упускается из внимания крайне важный элемент: осознать объективные потребности бизнеса применительно к безопасности Identity, стратегическое направление для компании в Identity & Access Management в частности и в Identity Security в целом — способен только заказчик либо самостоятельно, либо при квалифицированной поддержке команды исполнителей, обеспеченной адекватными бюджетом (ха) и адекватными сроками (ха-ха) и адекватными прочими трудноизмеримыми ресурсами (ха-ха-ха). При этом исполнитель от вендора или интегратора, несмотря на реальную экспертность и подкованность – объективно не всегда может выявить, сформулировать и донести их до заказчика. Часто приходится искать какой-то компромисс, понимая, что сделать лучше можно, но очень сложно. Осечки в этой части случаются, и, к сожалению, весьма часто.
Учиться на практике не только полезно, но и выгодно. Правда - не для заказчика. Неправильно построенная безопасность Identity - весьма затратное мероприятие с долгоиграющим отложенным эффектом.
Поэтому понимание объективных потребностей должно быть сформировано и сформулировано намного заранее до начала проектов внедрения и закупочных процедур любых продуктов, направленных на обеспечение безопасности Identity.
Годы пройдут, поколения сменятся, новые дали к себе позовут, но наш девиз никогда не изменится - а ряд купленных и внедрённых продуктов может никогда так и не начать приносить пользу бизнесу. При этом подход построения информационной безопасности путём локального приобретения ряда продуктов для закрытия «очевидных дыр», потому что «так принято» — это шитьё лоскутного одеяла. Покупка моновендорских решений зачастую позволяет получить прекрасный лоскутный результат из кусочков, выдержанных в одном стиле. То есть причина того, что не выходит каменный цветок — не столько в технике или выборе вендора.
Каждый вендор очевидно стремится продать и внедрить свои продукты. Вендор чаще всего хорошо понимает особенности работы своего продукта, умеет работать с его сильными и слабыми сторонами. Вендор хорошо понимает, чего хочет заказчик применительно к локальной задаче, и умеет работать с потребностями на этом уровне. И в целом сложившаяся на рынке ситуация позволяет заказчикам приобретать хорошие продукты в управляемые сроки и решать локальные задачи.
При этом здесь упускается из внимания крайне важный элемент: осознать объективные потребности бизнеса применительно к безопасности Identity, стратегическое направление для компании в Identity & Access Management в частности и в Identity Security в целом — способен только заказчик либо самостоятельно, либо при квалифицированной поддержке команды исполнителей, обеспеченной адекватными бюджетом (ха) и адекватными сроками (ха-ха) и адекватными прочими трудноизмеримыми ресурсами (ха-ха-ха). При этом исполнитель от вендора или интегратора, несмотря на реальную экспертность и подкованность – объективно не всегда может выявить, сформулировать и донести их до заказчика. Часто приходится искать какой-то компромисс, понимая, что сделать лучше можно, но очень сложно. Осечки в этой части случаются, и, к сожалению, весьма часто.
Учиться на практике не только полезно, но и выгодно. Правда - не для заказчика. Неправильно построенная безопасность Identity - весьма затратное мероприятие с долгоиграющим отложенным эффектом.
Поэтому понимание объективных потребностей должно быть сформировано и сформулировано намного заранее до начала проектов внедрения и закупочных процедур любых продуктов, направленных на обеспечение безопасности Identity.
Безопасность Identity (Identity Security) - это не очередная серебряная пуля. И это не какой-то отдельный "новый" продукт вроде ITDR. Это в первую очередь правильно осознанная потребность и правильно разработанная архитектура комплексной системы, обеспечивающей защиту Identity бизнеса.
Применение современных и технологичных продуктов и инструментов для решения локальных задач при отсутствии цельной картины - крайне порочная практика.
Вроде «сначала внедрим IDM или MFA, а потом подумаем и решим, что с этим делать». Такое «потом» приводит к тому, что высокоэффективный инструмент используется на 15-20% от своих возможностей.
Закрывать задачи безопасности Identity при помощи эффективных локальных инструментов «поэтапно» можно только в том случае, когда есть проработанная архитектура и понятно целевое состояние всего процесса обеспечения Identity Security для организации.
Вроде «сначала внедрим IDM или MFA, а потом подумаем и решим, что с этим делать». Такое «потом» приводит к тому, что высокоэффективный инструмент используется на 15-20% от своих возможностей.
Закрывать задачи безопасности Identity при помощи эффективных локальных инструментов «поэтапно» можно только в том случае, когда есть проработанная архитектура и понятно целевое состояние всего процесса обеспечения Identity Security для организации.
Чтобы определить понятие «безопасность Identity» - сперва нужно определиться, что же такое Identity.