פרולינק הטמיעה מערכת לבקרת הרשאות בכ.א.ל. בפרויקט בהיקף 400 אלף שקלים

פרולינק הטמיעה בכ.א.ל. מערכת של אבקסה (Aveksa) למיכון תהליכי בקרת ההרשאות, בפרויקט שארך כחצי שנה והסתיים באחרונה. היקף הפרויקט לא נמסר לפרסום, אולם לאנשים ומחשבים נודע, כי הוא עומד על 400 אלף שקלים.

המערכת משמשת את 25 אנשי אבטחת המידע בחברת כרטיסי האשראי וכן עשרות רבות של יועצי אבטחת מידע חיצוניים ונאמני אבטחת מידע בתוך הארגון. היא מבצעת מיכון של תהליכי בקרת ההרשאות ובכך חוסכת בעלויות הבקרה. אנשי אבטחת המידע יכולים לקבל באמצעותה תמונה מקיפה, מפורטת ומדויקת של הרשאות המשתמשים בארגון. למשתמשים העסקיים – מנהלים שונים בארגון – מציגה המערכת בצורה מובנת את ההרשאות שניתנו לעובדים הכפופים להם.

הרגולציה בישראל ובעולם דורשת אימות של הרשאות שניתנו לעובדים בארגון כדי להבטיח שניתנת לכל עובד גישה אך ורק למשאבים הדרושים לעבודתו. מנהלים מבצעים בקרות דרך מסכי המערכת ומגיבים באישור או דחייה של כל הרשאה. באמצעות המערכת מתאפשר לכ.א.ל. לבצע בפועל מעקב אחר תהליך אשרור הרשאות תקופתי, באופן שממזער טעויות אנוש וחוסך מהותית בזמן ובמשאבים המושקעים בתהליך, שנדרש בארגון באופן שוטף.

לדברי יאיר רובין, מנהל אבטחת המידע בכ.א.ל., "אנחנו עומדים בביקורות כל הזמן, החל מהפיקוח הראשי של הבנקים בישראל ועד ויזה (Visa) הבינלאומית. אין רבעון בו אנו לא נדרשים לטפל בביקורות, וכמעט בכל ביקורת נבדק נושא ההרשאות". הוא הוסיף, כי "הצורך במערכת בקרת ההרשאות עלה כתוצאה מהדרישה של הביקורות והרגולציה להציג כיצד אנחנו מוודאים שההרשאות הקיימות בפועל אכן תואמות להרשאות שניתנו לעובדים".

רובין אמר, כי "רצינו את הפתרון בעיקר כדי שנוכל להפעיל תהליך ארגוני אפקטיבי של אשרור ההרשאות. המערכת מאפשרת לנהל קמפיין שמציג למנהלים בצורה נוחה אילו הרשאות יש לעובדים".

עופר גיגי, מנכ"ל פרולינק, ציין ש-"המערכת מאחדת את מאות אלפי סוגי ההרשאות הקיימות בארגון ומציגה אותן למנהלים בעברית קלה להבנה. לצורך עמידה בביקורת פנימית או חיצונית, המערכת מאפשרת להציג במהירות את ההרשאות השונות על פי פילוחים שונים, כגון: לפי מערכת או תפקידים. עבור כל נתון ניתן לבצע תחקור לעומק, כדי לזהות את מקור ההרשאה".

בהמשך מתכננים אנשי אבטחת המידע של חברת כרטיסי האשראי להרחיב את השימוש במערכת לבקרת הרשאות במערכות נוספות בארגון. בנוסף, הם שוקלים לנצל אותה לביצוע פרויקט מיפוי תפקידים ולאפשר הרחבה של ניהול הרשאות מבוסס תפקידים.