ניהול זהויות הפך בשנים האחרונות לאחד התחומים המשמעותיים ביותר בתעשייה הטכנולוגית. מה שהיה תחום שיושם בעיקר בארגונים בעלי רגולציה מחמירה או מערכות קריטיות – ולעתים נבלם בשל מורכבות ועלויות גבוהות – הפך כיום לליבת אסטרטגיית האבטחה והחדשנות הארגונית. ארגונים מנהלים כיום היקפים עצומים של משתמשים, שירותים וזהויות לא אנושיות, ופועלים בסביבות מורכבות ודינמיות הדורשות שליטה ובקרה ברמה הגבוהה ביותר.
"ניהול זהויות הוא תחום ותיק, שתמיד עסק בשאלות מיהם המשתמשים ומהם משאבי המידע הארגוני שאליהם נדרשת גישה. בתחילת הדרך המיקוד היה בעיקר במערכות סגורות ובקרות בסיסיות, אך כיום מדובר באפליקציות מגוונות על פני פלטפורמות פתוחות, שירותי ענן ותשתיות מורכבות הכוללות גם זהויות לא אנושיות – טוקנים, רובוטים וממשקי API. זהו תחום המתחדש ללא הרף, בניסיון לעמוד בקצב המרוץ הטכנולוגי ולספק למנהלים כלים אמינים לקבלת החלטות", מציין עופר גיגי, מנכ"ל ומייסד חברת פרולינק ניהול זהויות (ProLink Identity Management Architects), המתמקדת באופן ייחודי אך ורק בניהול זהויות ובקרת הרשאות.
"הצורך להתמודד עם ענן, מערכות פתוחות, בסיסי נתונים, AI ושלל טכנולוגיות חדשות יצר מציאות עסקית מורכבת בהרבה. התחום איננו עוד נושא טכני אלא רכיב אסטרטגי בליבת הניהול הארגוני", מוסיף גיגי. "המשמעות היא שניהול זהויות, בהינתן הפתרונות המתקדמים, הופך לכלי עסקי מובהק: הוא יוצר חיסכון ניכר, מבטיח עמידה בתקינה רגולטורית ומשפר שיתוף פעולה ותיאום בין יחידות עסקיות וטכנולוגיות".
בוא נתעכב על נושא הזהויות הלא־אנושיות (NHI) שהפכו לאחד האתגרים המהותיים והמשפיעים ביותר על ניהול הארגון בעידן הנוכחי.
"זהו תחום שמתפתח במהירות עצומה והוא גם מקור לגאווה ישראלית, כי רבות מהחברות בתחום הן ישראליות. כיום זהויות לא אנושיות נוצרות כחלק אינטגרלי מבניית תשתיות ותהליכים עסקיים. הן אינן רק יוזרים עם סיסמה, אלא רכיבים אוטונומיים המחזיקים בהרשאות מורכבות לפעול בהיקפים חדשים לגמרי. לכן חיוני לאמץ כלי ניהול ובקרה מקיפים גם עבורם, ברמת שקיפות ומשילות זהה לזו המיושמת לגבי זהויות אנושיות. זו אחת המגמות המרכזיות שבהן עוסקת פרולינק כיום – חיבור וניהול זהויות לא אנושיות באותה מתודולוגיה מקצועית ומוסדרת כמו זהויות מסורתיות".
בין רגולציה מחמירה לאוטומציה מקיפה
עופר גיגי (59), בעל ניסיון רב שנים בתחום אבטחת מידע וניהול זהויות, הקים את פרולינק ב־1996 כחברה המספקת שירותים מקצועיים בתחום תשתיות מערכות מידע. מאז שנת 2000 ממוקדת החברה בניהול זהויות ובקרת הרשאות, תוך פיתוח התמחות עמוקה שהפכה אותה לשחקן מרכזי ויועץ מועדף של מנהלים בכירים במשק הישראלי.
"אנחנו מגיעים מעולם היישום והאינטגרציה ומביאים ללקוחות יכולת ייעוץ בעיצוב אסטרטגיה ותהליכים לניהול זהויות והרשאות. הניסיון שצברנו כאינטגרטור, יחד עם הבנת תהליכים עסקיים ודרישות רגולציה, מאפשרים לנו לספק ללקוחות ערך מוסף כפול – גם ייעוץ אובייקטיבי בבחירת פתרונות וגם יישום מדויק שיוצר הצלחה בפועל. אנחנו פועלים בגישה אגנוסטית, מציגים חוות דעת מקצועית ונשארים מחויבים לתוצאה העסקית של הלקוח".
מיהם הלקוחות?
"אנחנו ממוקדים בארגוני אנטרפרייז בישראל, שפועלים בתחומי ביטוח ופיננסים, בנקאות, שירותים, תקשורת, פיתוח ותוכנה, היי־טק ועוד. בנוסף אנחנו פעילים באקדמיה ובמוסדות גדולים. למעשה, פרולינק מעורבת במגוון רחב של פרויקטים, החל מייעוץ אסטרטגי ותוכניות־אב ועד ליישום פתרונות המשלבים את אתגרי הענן, DevOps ו-AI, ובכך מגדילים את הערך העסקי של מערכות ניהול הזהויות הארגונית".
מהם האתגרים המרכזיים שבהם נתקלים ארגוני אנטרפרייז בניהול זהויות כיום?
"האתגר הראשון הוא ניהול היקף עצום של משתמשים – עובדים, ספקים, קבלני משנה וגורמים חיצוניים – לצד מערכות ותשתיות מגוונות הכוללות אפליקציות, מערכות הפעלה, בסיסי נתונים וסביבות ענן. ארגונים פזורים על פלטפורמות רבות משיקולים עסקיים, ונמצאים בלחץ גדול לשמור על שליטה ובקרה.
"האתגר השני הוא להבטיח הרשאות מותאמות להקשרים עסקיים ולמודלי ממשל תאגידי: מי רשאי לגשת למידע רגיש, כיצד מונעים חשיפה מיותרת, מי מוסמך לבצע עדכונים קריטיים ואיך מאזנים בין הצורך בנגישות מהירה לדרישות אבטחה מחמירות. במרחב רחב ודינמי של משתמשים והרשאות, כל טעות עלולה לגרור עלויות כבדות או נזק תדמיתי. לכן יש צורך במערכות שמאפשרות בקרה מדויקת, יעילה ומאובטחת".
איך ארגונים מתמודדים עם מורכבות ניהול זהויות בהיקפים גדולים?
"המפתח הוא אוטומציה רחבה. ללא אוטומציה אפקטיבית לא ניתן לנהל זהויות בקנה מידה ארגוני. חישוב שערכנו יחד עם לקוחות הראה שכ־30־40 אלף פעולות אוטומטיות בחודש בארגון גדול שוות ערך לעבודה ידנית בעלות של כ־4 מיליון שקלים. זהו נתון קריטי ברמת ROI: האוטומציה לא רק מייעלת תהליכים, אלא גם חוסכת משאבים אדירים ומאפשרת לדרג הניהולי למקד את המשאבים בנושאים אסטרטגיים".
צריך להכניס למשוואה גם את הרגולציה.
"נכון, הרגולציה התעצמה מאוד ב־15 השנים האחרונות בתחומי אבטחת מידע והגנת הפרטיות. מנהלים בכירים נדרשים להביא בחשבון לא רק את העלות הישירה של ההפרות, אלא גם את פוטנציאל הפגיעה במוניטין ובערך המניה. פעמים רבות רגולטור מצביע על תחום מסוים וכשמעמיקים בבדיקה מתגלה תמונה מורכבת הרבה יותר. כאן נכנסת פרולינק לעובי הקורה, עם יכולת אינטגרטיבית לבחון מערכות, לאתר פגיעויות, להעריך כלים ומתודולוגיות ולשקלל רגישויות עסקיות. היכולת הזו מעניקה להנהלות בסיס מוצק לקבלת החלטות מושכלות תחת מגבלות רגולציה".
מה השלב הבא?
"היכולת לנתח את הדאטה, לנטר הרשאות בזמן אמת ולזהות מגמות טכנולוגיות עוד לפני שהן הופכות לשגרת שוק. מנהלים רבים עדיין לא מנצלים את התובנות שניתן לחלץ ממערכות ניהול זהויות, כמו זיהוי מי ניגש לנתונים קריטיים ובאיזו תדירות. מידע זה עשוי להצביע על תחומים מתפתחים, על סיכונים חבויים ואף על הזדמנויות עסקיות. זהו הבסיס ליכולות חיזוי ולניהול פרואקטיבי".
כנס ניהול זהויות: אבטחה, יעילות וחדשנות עסקית
לאחרונה יזמה חברת פרולינק, בשיתוף עם RSA וזברה טכנולוגיות, כנס מקצועי בנושא ניהול זהויות. הכנס הדגיש את השינוי הפרדיגמטי שעובר התחום: ניהול זהויות כבר אינו פרויקט טכני נקודתי, אלא תשתית עסקית אסטרטגית שמשפיעה על כלל התהליכים הארגוניים.
במסגרת הכנס התקיים פאנל לקוחות, שבו השתתפו שלוש מנהלות מרכזיות בתחום: ענת קסורלה, ראש צוות הגנת מידע בהפניקס ביטוח השקעות ופיננסים; רחל נקש־יקותיאל, מנהלת אבטחת המידע בפרטנר; ואירה שסטובץ, מנהלת פרויקט ניהול הזהויות בבנק ירושלים.
נקש־יקותיאל הדגישה שהטמעת מערכת ניהול זהויות חורגת הרבה מעבר לסוגיית האבטחה: "המערכת חוסכת סכומים ניכרים, מייעלת משמעותית את תהליכי הקליטה והניוד של עובדים ומשדרגת את חוויית המשתמש. היא תומכת גם בצוותי התמיכה ובמחלקות ה-IT, מאפשרת גילוי מערכות 'רפאים' עם הרשאות לא מנוצלות, וסגירתן מביאה לחיסכון של מיליוני שקלים. התועלת העסקית ניכרת במקביל ליתרונות האבטחה".
שסטובץ שיתפה רגע מפתח בפרויקט: "הופתענו לגלות שניתן לחבר את מערכת ניהול הזהויות החדשה למערכת בנקאית ותיקה, שנחשבה לבלתי ניתנת לאינטגרציה. באמצעות API שפיתחנו בתוך שלושה חודשים בלבד הצלחנו לבצע את החיבור, הישג שהוכיח את הגמישות והיכולת הטכנולוגית של הפתרון".
קסורלה הוסיפה: "ההצלחה תלויה בקשר ובשיתוף פעולה הדוק עם מנהלי המערכות בארגון. בתחילה ההטמעה יוצרת עומס, אך במהרה היתרונות ברורים. כיום מנהלי מערכות פונים אלינו ביוזמתם בתחילת כל פרויקט ארגוני חדש, כדי לוודא חיבור למערכת ניהול הזהויות, וכך מתאפשר תהליך מהיר, אוטומטי ויעיל".
בשיתוף פרולינק ניהול זהויות
