Zarządzanie dostępem do systemów informatycznych rzadko bywa tematem, który trafia na szczyt listy priorytetów. Codzienność działów IT w jednostkach samorządu terytorialnego wypełniona jest bieżącymi zgłoszeniami, wdrożeniami i utrzymaniem infrastruktury. W tym natłoku łatwo odkładać na później sprawy, które nie generują natychmiastowych problemów. Uprawnienia pracowników do systemów to właśnie taki temat cichy, niewidoczny, a przez to często niedoceniany.

Tymczasem to właśnie w tym obszarze kryje się wiele ryzyk, które ujawniają się dopiero przy okazji kontroli, zmiany kadrowej lub incydentu bezpieczeństwa. Warto przyjrzeć się temu zagadnieniu spokojnie i bez dramatyzowania, bo rozwiązania są dostępne, a droga do porządku nie musi być ani długa, ani kosztowna.

Zarządzanie uprawnieniami to nie projekt na raz. To proces, który dojrzewa razem z organizacją. Każdy krok w dobrym kierunku ma realną wartość.

Skąd zazwyczaj zaczynamy

Punktem wyjścia dla większości urzędów jest Excel i nie ma w tym nic złego. Arkusz kalkulacyjny jako rejestr dostępów to naturalny pierwszy krok, który pozwala zebrać i uporządkować wiedzę o tym, kto ma dostęp do jakich systemów. Problem pojawia się wtedy, gdy Excel staje się jedynym narzędziem na dłużej niż powinien: gdy nie ma osoby odpowiedzialnej za jego aktualizację, gdy dostępy do systemów dziedzinowych nie są w nim uwzględnione, lub gdy nikt już nie pamięta, kiedy ostatnio był przeglądany.

To bardzo typowa sytuacja i rozpozna ją wiele osób pracujących w samorządowej informatyce. Wiedza o tym, kto ma dostęp do czego, często istnieje, ale jest rozproszona: część w Active Directory, część w pamięci administratora, część w mailach z prośbami o dostęp sprzed kilku lat. Zebranie jej w całość wymaga czasu, którego zazwyczaj brakuje.

Zmiany kadrowe jako wyzwanie dla ciągłości dostępów

Jednym z bardziej praktycznych wyzwań, z którym mierzą się działy IT, jest zarządzanie dostępami w momencie zmian kadrowych. Gdy pracownik kończy zatrudnienie, idealnie byłoby, gdyby wszystkie jego dostępy zostały zamknięte w tym samym dniu. W praktyce bywa różnie nie dlatego, że ktoś jest niedbały, ale dlatego, że brakuje mechanizmu, który sprawia, że informacja o odejściu pracownika trafia do wszystkich systemów jednocześnie.

Karta obiegowa, choć pomocna, nie zawsze obejmuje każdy system dziedzinowy, zewnętrzną platformę czy narzędzie chmurowe. Active Directory obsługuje logowanie domenowe, ale nie kontroluje dostępów w systemach, które mają własne bazy użytkowników. W efekcie konta mogą pozostawać aktywne dłużej niż powinny nie z powodu złej woli, ale z powodu braku centralnego mechanizmu koordynacji.

Wiedza o dostępach istnieje w każdym urzędzie - zazwyczaj jest jednak rozproszona. Jej zebranie w jednym miejscu to pierwszy i najważniejszy krok ku porządkowi.

Regulacje jako punkt odniesienia, nie jako zagrożenie

Temat zarządzania uprawnieniami coraz częściej pojawia się w kontekście regulacji prawnych i słusznie. Krajowe Ramy Interoperacyjności, RODO oraz nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wdrażająca dyrektywę NIS2 tworzą razem spójny obraz oczekiwań wobec jednostek samorządu terytorialnego. Wymagają m.in. regularnych przeglądów uprawnień, dokumentowania decyzji o nadaniu i odebraniu dostępów oraz stosowania zasady minimalnych uprawnień.

Warto jednak patrzeć na te regulacje nie jako na źródło zagrożeń, ale jako na użyteczny punkt odniesienia. Opisują one dobre praktyki, które mają realny sens niezależnie od kontroli, chronią dane mieszkańców, ograniczają ryzyko nieautoryzowanego dostępu i pozwalają odpowiedzieć na pytania, które i tak wcześniej czy później ktoś zada. Zgodność z przepisami i bezpieczeństwo organizacji to w tym przypadku dwa cele, które prowadzą w tym samym kierunku.

Jak wygląda dobry kierunek

Dojrzałe zarządzanie uprawnieniami nie wymaga jednorazowego, spektakularnego wdrożenia. Buduje się je etapami, dostosowując tempo do możliwości organizacji. Pierwszy krok to zazwyczaj inwentaryzacja: zebranie listy systemów, sprawdzenie, kto ma do nich dostęp i porównanie tego ze stanem zatrudnienia. Samo to ćwiczenie dostarcza wartościowej wiedzy i pokazuje, gdzie warto skoncentrować uwagę.

Kolejne etapy to formalizacja procesów i ustalenie, kto zatwierdza wnioski o dostęp, jak przebiega odbiór uprawnień przy odejściu pracownika, i gdzie przechowywana jest dokumentacja tych decyzji. Z czasem te procesy mogą być wspierane przez dedykowane narzędzia, które automatyzują rutynowe zadania i zapewniają stały ślad audytowy.

Bezpieczny urząd zaczyna się od uprawnień, ale nie oznacza to, że wszystko musi się zmienić z dnia na dzień. Oznacza to, że warto zacząć. Każdy krok (nawet ten mały), przybliża organizację do stanu, w którym zarządzanie dostępami jest przewidywalne, udokumentowane i wolne od niepotrzebnego stresu.

System klasy IAM, taki jak https://zantiga.pl, automatyzuje to, co w arkuszu wymaga ciągłej, ręcznej pracy: nadawanie i odbieranie uprawnień, certyfikacja dostępów, pełna historia zmian: kto, kiedy, do czego miał dostęp. Nie deklaracja, a dowód.

Chcesz sprawdzić, jak wygląda porządek w dostępach w praktyce? Porozmawiajmy! 

Chcesz zobaczyć, jak to działa w praktyce? 

Porozmawiajmy o twoim środowisku IT  https://www.intalio.pl

Źródło informacji: Intalio