Podczas konferencji Business Sync Hub eksperci Cloudware Polska – Łukasz Kuflewski, Identity Management Architect oraz Radosław Rajzer, Key Account Manager – opowiedzieli, jak duże organizacje odzyskują kontrolę nad tożsamościami i dostępami dzięki nowoczesnym rozwiązaniom IAM (Identity and Access Management) oraz IGA (Identity Governance and Administration). W centrum dyskusji znalazły się nie tylko systemy i integracje, ale przede wszystkim procesy, zaangażowanie biznesu i porządkowanie danych.
Tożsamość jako nowa granica bezpieczeństwa
Jak podkreślili prelegenci, w dzisiejszych środowiskach IT tożsamości to nie tylko konta pracowników. Rośnie liczba tożsamości maszynowych, API, kont technicznych i workloadów, często nawet o dwa rzędy wielkości w stosunku do tożsamości ludzkich. Tożsamość staje się nową granicą bezpieczeństwa: jeśli nie wiemy, kto (albo co) ma dostęp do czego, trudno mówić o skutecznym Zero Trust czy spełnieniu wymogów NIS2 i innych regulacji.
Jednocześnie wiele organizacji wciąż zarządza dostępami w Excelu, przez maile lub prosty Service Desk, bez automatyzacji i centralnej kontroli. W dużej skali prowadzi to do powstawania Shadow Accounts, kont osieroconych po byłych pracownikach, nadmiarowych uprawnień narastających wraz ze stażem oraz bardzo pracochłonnych audytów bezpieczeństwa. Nowoczesne IGA zostało zaprojektowane właśnie po to, aby ten chaos posprzątać, zautomatyzować cykl życia tożsamości i wzmocnić zasadę minimalnych uprawnień.
Studium przypadku: od silosów do Identity Fabric
W trakcie wystąpienia Łukasz Kuflewski opisał projekt zrealizowany dla klienta z branży wydobywczej – dużej organizacji z wieloma oddziałami, systemami kadrowymi, domenami Active Directory, aplikacjami biznesowymi i centralnym systemem kontroli dostępu dla kilkunastu tysięcy osób. Sytuacja wyjściowa była typowa: rozproszone źródła danych HR, liczne silosy tożsamości, brak jednego miejsca, w którym można sprawdzić, kto ma dostęp do jakich systemów i z jakimi uprawnieniami.
Dostępy rejestrowano głównie przez system Service Desk, a nadanie podstawowych uprawnień zajmowało od kilku dni do tygodnia. Audyty wymagały ręcznego łączenia danych z wielu systemów i potrafiły trwać tygodniami. W odpowiedzi na nowe wymogi regulacyjne i rosnące ryzyko organizacja zdecydowała się na wdrożenie rozwiązania klasy IGA, wpisującego się w koncepcję Identity Fabric – spójnej warstwy łączącej rozproszone narzędzia i źródła danych w jedno środowisko zarządzania tożsamościami.
Analiza przedwdrożeniowa: 70–80% sukcesu
Kluczowym elementem sukcesu projektu była dogłębna analiza przedwdrożeniowa. Jak podkreślił Łukasz, nawet 70-80% sukcesu wdrożenia IGA wynika z dobrze przeprowadzonych warsztatów, zrozumienia procesów i zbudowania wspólnego języka pomiędzy HR, IT, bezpieczeństwem, audytem i Service Desk.
Zespół Cloudware zorganizował szereg warsztatów, aby każda jednostka organizacji rozumiała, po co wdrażany jest system, jak zmieniają się procesy oraz jakie korzyści (np. krótszy onboarding, szybsza recertyfikacja, mniej zgłoszeń) odczuje w codziennej pracy. Bez takiego przygotowania, nawet najlepsza technologia IGA pozostaje niedostosowana do realnych potrzeb organizacji lub jest wykorzystywana tylko częściowo.
Architektura rozwiązania: centralny system IGA i cykl życia tożsamości
W opisywanym projekcie podstawą było wdrożenie sprawdzonego systemu Identity Governance and Administration, który przejął rolę centralnej bazy informacji o tożsamościach, kontach i uprawnieniach. Zarówno pracowników, jak i kontraktorów. Pierwszym krokiem była integracja z systemami kadrowymi, tak aby HR stał się „źródłem prawdy” o tożsamościach, a wszelkie zmiany (zatrudnienie, zmiana stanowiska, odejście z organizacji) automatycznie uruchamiały odpowiednie procesy w IAM/IGA.
Na tej bazie zdefiniowano ujednolicony cykl życia tożsamości: onboarding, zmiany ról i struktur, offboarding, w tym pełne ujęcie kontraktorów. Równolegle zintegrowano system IGA z krytycznymi systemami: domenami Active Directory, katalogami użytkowników i wybranymi aplikacjami biznesowymi, stopniowo włączając kolejne systemy – początkowo nawet w trybie półmanualnym, ale już z centralnym raportowaniem i obsługą wniosków.
Recertyfikacja, minimalne uprawnienia i SOD w praktyce
Dopiero gdy organizacja ma kompletną i aktualną mapę tożsamości, kont i uprawnień, można skutecznie wdrożyć cykliczną recertyfikację, zasadę least privilege oraz reguły Segregation of Duties (SoD). W opisywanym projekcie, po zbudowaniu spójnej bazy, uruchomiono kampanie recertyfikacji, które pozwoliły menedżerom i właścicielom systemów okresowo zatwierdzać lub odbierać dostępy.
Reguły SoD pomogły wykryć konfliktowe zestawy uprawnień (np. możliwość jednoczesnego tworzenia i zatwierdzania tego samego typu transakcji), a zasada minimalnych uprawnień była egzekwowana automatycznie przez polityki IGA. Dzięki temu udało się usunąć konta osierocone, Shadow Accounts i nadmiarowe uprawnienia, co znacząco obniżyło ryzyko nadużyć i poprawiło zgodność z regulacjami takimi jak NIS2.
Efekty biznesowe: od dni do minut
Łukasz Kuflewski i Radosław Rajzer podkreślili, że wdrożenie IGA w dużej organizacji nie jest wyłącznie projektem „compliance”, ale źródłem wymiernych korzyści biznesowych. W studium przypadku kluczowe efekty obejmowały m.in.:
- Skrócenie czasu nadawania dostępu z kilku dni do kilku minut dzięki automatyzacji workflow i predefiniowanym rolom.
- Redukcję liczby zgłoszeń do Service Desk oraz oszczędność czasu zespołów IT i audytu dzięki centralnym raportom i automatycznym recertyfikacjom.
- Uporządkowanie danych w Active Directory, ujednolicenie polityk haseł i kont, łatwiejsze zarządzanie zmianami i dodawaniem nowych systemów.
- Lepszą zgodność z regulacjami (NIS2, wymagania audytowe) dzięki przejrzystej historii nadawania dostępów, raportom „kto ma dostęp do czego” i kontroli nad ryzykiem.
W rezultacie biznes otrzymał większą przejrzystość i kontrolę nad dostępami, a organizacja stała się bardziej odporna na współczesne zagrożenia, w których – jak zauważył prowadzący – napastnicy coraz częściej nie „włamują się”, ale po prostu logują się, wykorzystując przejęte tożsamości.
Rola integratora: procesy, ludzie, technologia
Na koniec wystąpienia Łukasz i Radosław zwrócili uwagę, że projekty IAM/IGA są jednymi z najtrudniejszych w organizacjach, ponieważ dotykają wielu działów i często łączą ze sobą zespoły o różnych priorytetach. Rola integratora, takiego jak Cloudware, polega nie tylko na wprowadzeniu technologii, lecz także na zaprojektowaniu procesów, które połączą HR, IT, bezpieczeństwo, audyt i biznes w spójny program zarządzania tożsamością.
Dobrze przeprowadzona analiza przedwdrożeniowa, doświadczenie z wcześniejszych projektów i umiejętność „tłumaczenia” wymagań między działami decydują o tym, czy IGA stanie się realnym centrum zarządzania tożsamościami, czy tylko kolejnym systemem. Jak podsumował Łukasz: IGA to nie tylko compliance, ale przede wszystkim automatyzacja, efektywność i bezpieczeństwo – fundament dla Zero Trust i nowoczesnej cyberodporności organizacji.
