Quản lý truy cập IT – IT Access Management

• Quyền truy cập là cấp độ hoặc phạm vi chức năng của ứng dụng mà người dùng được phép sử dụng. Ví dụ: trong máy chủ tệp hoặc hệ thống quản lý nội dung, quyền truy cập là liệu người dùng có thể đọc tệp, đọc và viết tệp, chỉnh sửa tệp hoặc xóa tệp.
• Yêu cầu truy cập là cách mà người dùng yêu cầu có thể truy cập dịch vụ. Đây thường là yêu cầu đăng nhập thông qua yêu cầu dịch vụ từ bàn dịch vụ.
• Chính sách bảo mật thông tin là tài liệu cung cấp các quy tắc quản lý truy cập. Quy trình quản lý bảo mật thông tin xây dựng và duy trì chính sách này. Danh tính  là thông tin cần thiết để cho bạn biết người dùng là ai. Nó được sử dụng để xác minh trạng thái của người dùng trong một tổ chức và xác định cấp độ truy cập của người đó. Một danh tính là duy nhất cho người dùng.
• Quyền, còn được gọi là đặc quyền, là các cài đặt mà bạn cung cấp cho người dùng cùng với quyền truy cập của họ. Ví dụ: người dùng có thể có quyền truy cập để xem wiki nội bộ nhưng có thể không được phép chỉnh sửa hoặc xóa bất cứ điều gì trong wiki.
• Các nhóm dịch vụ là các bộ dịch vụ tương tự. Các dịch vụ này có thể thực hiện các chức năng tương tự hoặc liên quan đến nhau, chẳng hạn như hệ thống quản lý trung tâm cuộc gọi. Điều này được thực hiện khi người dùng được thêm vào một nhóm cụ thể sau đó cấp quyền truy cập tương tự trên nhiều hệ thống.

ITIL rất rõ ràng về hệ thống phân cấp ra quyết định truy cập, nói rằng quyền truy cập phải được cấp theo các quy tắc được đặt ra bởi chính sách bảo mật thông tin. Quản lý truy cập không ra lệnh cho bất kỳ chính sách bảo mật nào. Các hoạt động của quản lý truy cập, do đó, đáp ứng theo các quy tắc đã được đặt ra.

Yêu cầu truy cập

Đây là bước đầu tiên trong việc thực hiện quản lý truy cập. Yêu cầu có thể đến từ bàn dịch vụ thông qua yêu cầu dịch vụ (trong hoạt động dịch vụ) hoặc từ yêu cầu thay đổi (khi chuyển dịch vụ). Truy cập có thể liên quan đến việc đi từ không có quyền truy cập để có quyền truy cập hoặc từ một cấp truy cập đến cấp độ khác. Lý tưởng nhất, danh mục dịch vụ nên bao gồm các quy trình để đáp ứng yêu cầu. Hoạt động này sẽ xác định ai có thể yêu cầu quyền truy cập, thông tin nào được yêu cầu và cách yêu cầu sẽ đi qua hệ thống.

Xác minh

Hoạt động này xác minh rằng một cá nhân yêu cầu quyền truy cập đủ điều kiện để yêu cầu nó. Người dùng phải chứng minh danh tính của họ và họ có lý do hợp pháp cho yêu cầu. Các cấp độ truy cập khác nhau có thể bao gồm số lượng xác minh khác nhau. Ví dụ: quyền truy cập để xem và chỉnh sửa báo cáo tài chính cần có nhiều yêu cầu phê duyệt khác với yêu cầu xác minh để tạo người dùng mới với quyền mặc định.

Cung cấp quyền

Khi cá nhân đã được xác minh, đã đến lúc cung cấp quyền truy cập. Điều này liên quan đến việc thêm người dùng vào một nhóm mới, nếu cần. Thông tin có thể cần được tạo trong mỗi hệ thống mà người dùng yêu cầu truy cập. Nhiệm vụ của quản lý truy cập là đảm bảo rằng quyền truy cập được cung cấp không can thiệp vào bất kỳ quyền truy cập nào khác đã được cấp. Xây dựng danh mục vai trò người dùng và hồ sơ truy cập giúp giữ cho các nhóm khác nhau tồn tại.

Giám sát tình trạng danh tính

Thay đổi trạng thái danh tính là cực kỳ quan trọng, đặc biệt là đối với các tổ chức lớn. Đây là nơi có một kho lưu trữ truy cập đã được cung cấp là rất quan trọng. Nếu có quá nhiều người xử lý các yêu cầu thay đổi truy cập, có khả năng quyền truy cập có thể được cấp có thể xung đột với quyền truy cập khác được cấp. Tự động theo dõi các thay đổi bảo mật cũng đảm bảo rằng quyền truy cập chỉ được cấp theo chính sách.

Ghi nhật ký và truy cập theo dõi

Bằng cách đăng nhập và theo dõi các thay đổi truy cập, tổ chức của bạn đảm bảo rằng quyền truy cập được cấp chỉ được sử dụng như dự định. Theo dõi các thay đổi cũng bảo vệ tổ chức khỏi các lỗ hổng bảo mật và rủi ro. Các sự kiện như truy cập trái phép, hoạt động ứng dụng bất thường và các nỗ lực đăng nhập không chính xác quá mức cần được đánh giá cho các vi phạm bảo mật.

Xóa bỏ hoặc hạn chế quyền

Hoạt động này liên quan đến việc xóa quyền truy cập một khi nó đã được cấp hoặc hạn chế quyền truy cập dựa trên vai trò của người dùng. Điều này xảy ra khi người dùng thay đổi vai trò trong quá trình làm việc của họ, làm việc trong các phòng ban khác nhau hoặc trên các hệ thống khác nhau. Cho dù người dùng bị chấm dứt, chết, thay đổi vai trò, chuyển bộ phận hoặc thay đổi địa điểm thực tế, cần có một quy trình để cấp cho họ quyền truy cập mà vai trò của họ cho phép. Các hoạt động này là nền tảng của chính sách bảo mật thông tin vững chắc. Các quy trình tồn tại cho từng hoạt động vì nó áp dụng cho từng vai trò người dùng.

Quản lý truy cập có hai quy trình phụ:

1. Duy trì một danh mục vai trò người dùng và hồ sơ truy cập : Quá trình này liên quan đến việc xây dựng và duy trì một kho lưu trữ hoạt động của tất cả các vai trò người dùng và hồ sơ truy cập trong tổ chức. Vai trò người dùng được xác định danh sách và phân cấp của tất cả các vai trò trong một tổ chức, bao gồm các loại người dùng, chẳng hạn như bàn dịch vụ, người dùng doanh nghiệp, nhân viên bán hàng, v.v … Điều quan trọng là phải xem xét các vai trò này định kỳ, đặc biệt khi có yêu cầu truy cập những thay đổi dường như không tương ứng với vai trò. Quyền truy cập được trao cho các vai trò cũng nên được đánh giá khi phần mềm mới được mua hoặc ngừng hoạt động. Điều này cho phép bạn cấp và xóa quyền truy cập dựa trên quy trình thay vì theo yêu cầu một lần.
2. Cung cấp yêu cầu truy cập của người dùng : Quá trình phụ này là nơi các hoạt động quản lý truy cập bắt đầu hoạt động. Quản lý truy cập xác minh người dùng, cung cấp quyền truy cập, theo dõi trạng thái nhận dạng, xóa hoặc hạn chế quyền truy cập, nhật ký và theo dõi truy cập. Thành công của quy trình phụ này phụ thuộc vào việc duy trì hồ sơ người dùng và kho lưu trữ truy cập chính xác.