Des politiques essentielles pour révolutionner la gouvernance et l’administration de l’identité

Partir au bon endroit est essentiel au succès d’IGA

La principale raison pour laquelle IGA ne parvient pas à apporter de la valeur est que de nombreuses organisations ne la mettent pas en œuvre correctement. Ils ne l’abordent pas d’une manière qui s’aligne sur le principe d’IGA d’orchestration centralisée basée sur des politiques de gestion de l’identité utilisateur et de contrôle d’accès.

De nombreuses organisations tombent dans le piège de commencer par définir des rôles, puis d’attribuer des droits basés sur ces rôles artificiellement construits. Bien que cela fonctionne en théorie, dans la pratique, cela ne conduit qu’à un champ de mines de complexité que peu d’organisations peuvent gérer.

Commencer par les politiques est une bien meilleure approche. Si les politiques sont le fondement d’IGA, elles apporteront la valeur commerciale qu’elles sont conçues pour offrir sans toute la complexité inutile associée à l’approche fondée sur les rôles.

Les politiques sont l’endroit logique pour commencer

Dans le contexte de l’IGA, une politique vise essentiellement à savoir qui a accès à quoi dans quelles circonstances. Par exemple, l’utilisateur A peut imprimer sur l’imprimante 123, mais seulement lorsque vous travaillez au bureau.

La première étape consiste donc à définir les politiques de la manière indiquée ci-dessus. Ensuite, les utilisateurs de groupe ou de cluster ayant des droits similaires. Par exemple, tous les utilisateurs qui peuvent imprimer sur l’imprimante 123, mais seulement lorsque vous travaillez dans le bureau.

De cette façon, les rôles peuvent être dérivés des politiques fraîchement décrites. Enfin, les autorisations ou les droits peuvent être facilement associés aux rôles parce qu’ils sont déjà décrits dans les politiques. Le droit dans notre politique d’exemple est « imprimer sur l’imprimante 123 lorsque vous travaillez dans le bureau ».

Les politiques aident à relever les défis liés aux rôles

Une approche fondée sur les politiques a plusieurs avantages :

• Évite de créer des rôles complexes et artificiels.
• Commence par des politiques que tout le monde peut décrire facilement.
• Si les organisations sont pragmatiques dans le regroupement, elles seront en mesure d’éviter une prolifération de rôles.
• Les droits sont faciles à définir correctement parce qu’ils sont contenus dans les politiques.
• Les stratégies peuvent être utilisées pour obtenir d’autres politiques telles que les politiques de gestion de l’accès et même les politiques de pare-feu.

L’utilisation des rôles des politiques signifie également que les organisations peuvent travailler avec un modèle à un niveau pour les rôles au lieu de modèles complexes à plusieurs niveaux que l’on retrouve couramment dans les organisations d’aujourd’hui.

Les politiques sont donc le point de départ logique parce qu’elles contiennent tous les éléments essentiels de la gestion de l’accès, ce qui signifie que tout le reste peut en être dérivé. L’avantage supplémentaire d’une approche fondée sur les politiques est qu’à mesure que la technologie mûrit, il y aura de plus en plus de possibilités d’utiliser des outils logiciels intelligents pour obtenir automatiquement des droits et même d’autres politiques.

Les politiques aident à relever les défis liés aux examens

Les examens de l’accès sont un autre défi important de l’IGA qu’une approche fondée sur les politiques peut aider à relever. Comme nous l’avons mentionné plus haut, une approche fondée sur les politiques permet une automatisation fondée sur les politiques, ce qui est extrêmement utile pour réduire le nombre d’examens requis.

L’accès est généralement accordé de deux façons. Premièrement, en réponse aux demandes manuelles où les particuliers demandent des droits particuliers, et deuxièmement, automatiquement en fonction de la politique.

Lorsqu’une approche fondée sur des politiques à l’égard de l’IGA est utilisée, les demandes manuelles devraient être l’exception et l’accès automatisé peut être la norme. Cela signifie que l’accès peut être accordé automatiquement aux groupes ou groupes d’utilisateurs ayant des exigences ou des caractéristiques similaires. Par exemple, les utilisateurs au même endroit ou travaillant dans les mêmes projets auront tous besoin d’avoir accès à un ensemble commun de ressources. Ces autorisations d’accès peuvent être accordées et révoquées automatiquement en fonction d’attributs tels que l’emplacement et le projet.

Cela simplifie énormément le processus d’examen parce que seuls les droits faits à titre exceptionnel en réponse aux demandes manuelles doivent être suivis et examinés. Pour tous les autres accès automatisés, il s’agit simplement d’examiner une poignée de politiques, plutôt que des centaines de droits individuels.

En outre, le simple fait de modifier une politique peut plus que de changer un rôle ou un seul droit. Cela peut aider à atteindre l’objectif de moins de changements, moins d’examens, moins de demandes et moins d’approbations.

Processus essentiels pour l’automatisation basée sur les politiques

L’automatisation basée sur les politiques est fortement recommandée comme moyen d’améliorer et de simplifier les examens d’accès. Toutefois, pour que cela fonctionne correctement, trois processus importants clés doivent être mis en place :

1. Un processus de suivi des droits qui ont été accordés par l’entremise des politiques et qui ont été accordés en réponse à des demandes manuelles afin de s’assurer que tous les droits sont couverts soit par l’examen des politiques, soit par l’examen individuel des droits.
2. Un processus en place pour approuver les politiques avant qu’elles ne deviennent actives. Il s’agit de s’assurer que la traduction de la politique en droits concrets est correcte.
3. Un processus de retraite des politiques lorsqu’elles ne sont plus appropriées.

Revues manuelles: une chose du passé?

En théorie, si toutes les demandes manuelles peuvent être éliminées et que tous les droits d’accès sont effectués automatiquement en fonction de polices bien conçues, approuvées, gérées et travaillant correctement, les examens manuels d’accès ne seront plus nécessaires.

Le fait que les politiques soient déjà couramment utilisées pour des choses comme la gestion de l’accès et le fait qu’il n’existe pas de norme de vérification demandant des rôles ou des droits statiques signifie que la plupart des vérificateurs sont habitués aux politiques et pourraient bien accepter l’élimination des examens manuels.

La probabilité que les auditeurs acceptent que les organisations respectent l’exigence de normes d’audit communes est encore plus grande lorsque les organisations créent, approuvent, gèrent et examinent des politiques dans le cadre de processus structurés, bien définis et bien documentés. Cette position peut être renforcée encore davantage en ajoutant de bons processus autour de la qualité de l’information d’identité pour s’assurer que les données sont toujours correctes.

Bien qu’il ne soit pas clair dans quelle mesure l’élimination universelle des examens manuels sera acceptée par les auditeurs, dans l’intervalle, les organisations devraient viser à parvenir à autant d’automatisation fondée sur les politiques que possible. Cette approche améliorera sans aucun doute la qualité des examens d’accès parce qu’il y aura beaucoup moins à faire et qu’il sera donc beaucoup plus facile de le faire correctement et efficacement.

Utilisez les stratégies pour révolutionner vos processus IGA

Adopter une approche axée sur les politiques à l’égard de l’IGA afin de réduire le nombre de demandes d’accès manuel, de réduire le nombre d’approbations d’accès requises et de réduire la complexité des examens d’accès.

Bien qu’il y ait d’autres mesures qui peuvent être faites pour simplifier le processus d’examen de l’accès, comme l’introduction de droits limités dans le temps, les politiques et l’automatisation sont la première et la plus importante étape pour simplifier l’IGA ainsi que plus efficace et efficient.