ما المقصود بحوكمة الهوية وإدارتها (IGA)؟

ومع إدارة المؤسسات للآلاف من حسابات المستخدمين عبر الأنظمة المحلية والخدمات السحابية وتطبيقات البرمجيات كخدمة (SaaS)، أصبح تتبُّع "من لديه حق الوصول إلى ماذا" أكثر تعقيدًا.

كل هوية رقمية -سواء أكانت تمثِّل مستخدمًا أم جهازًا أم تطبيقًا- قد تشكِّل نقطة وصول محتملة إلى أنظمة حساسة وبيانات بالغة الأهمية. ودون حوكمة سليمة، تشكِّل هذه المنظومة المتشعبة مخاطر أمنية كبيرة وتحديات في الامتثال التنظيمي.

وفقًا لتقرير تكلفة خرق البيانات من IBM، تُعَد بيانات الاعتماد المسروقة أو المخترقة أكثر وسيلة شائعة تُستخدم كنقطة اختراق أولية، وهي مسؤولة عن 16% من اختراقات أمن البيانات. عندما يحصل المخترقون على بيانات اعتماد شرعية، يصبح بإمكانهم التنقل بحرية داخل الشبكات والوصول إلى البيانات والأنظمة الحساسة.

تُسهم حلول حوكمة الهوية وإدارتها في الحماية من الهجمات المستندة إلى الهوية ومنع اختراقات البيانات المحتملة.

يمكن لأدوات IGA أتمتة توفير الخدمات للمستخدمين، وتنفيذ سياسات الوصول، وإجراء التقييمات المنتظمة للوصول طوال دورة حياة الهوية بأكملها، بدءًا من التسجيل وحتى إلغاء التسجيل عند المغادرة. تمنح هذه الوظائف المؤسسات مزيدًا من الرقابة على أذونات المستخدمين وأنشطتهم، ما يجعل من السهل اكتشاف إساءة استخدام الامتيازات وإيقافها.

وتساعد حلول IGA أيضًا على ضمان الامتثال التنظيمي المستمر للتفويضات مثل اللائحة العامة لحماية البيانات (GDPR) وقانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) وقانون ساربينز أوكسلي (SOX). تساعد IGA على ضمان تخصيص الوصول إلى الأنظمة والبيانات الحساسة بشكل صحيح ومراجعته بانتظام، مع إنشاء سجلات تدقيق لدعم عمليات التدقيق الداخلية والخارجية.

تُعَد حوكمة الهوية وإدارتها (IGA) وإدارة الهوية والوصول (IAM) إطاري عمل مترابطين لكن مختلفين ضمن مجال أمن الهوية.تتعامل إدارة الهوية والوصول (IAM) مع كيفية وصول المستخدمين إلى الموارد الرقمية، بينما تضمن حوكمة الهوية وإدارتها (IGA) استخدام هذا الوصول بشكل مناسب. 

تتولى IAM الجوانب التشغيلية لأمن الهوية، مثل إدارة كلمات المرور، والمصادقة، وتفويض الوصول اليومي، وإدارة الحسابات. توسِّع IGA نطاق IAM من خلال إضافة قدرات الحوكمة، مثل الإشراف، وتطبيق السياسات، ووظائف الامتثال.

يمكن النظر إلى IAM وIGA على أنهما يجيبان على مجموعة من الأسئلة المتكاملة:

• إدارة الهوية والوصول (IAM): كيف يمكن للمستخدمين الوصول إلى الموارد، وما الذي يمكنهم فعله بهذه الموارد؟

• حوكمة الهوية وإدارتها (IGA): هل ينبغي أن يمتلك المستخدمون هذا الوصول؟ وهل يمكننا إثبات أن الضوابط لدينا تلبي متطلبات الامتثال؟

في الواقع، تطبِّق المؤسسات أدوات IAM وIGA معًا بشكل متكامل. على سبيل المثال، إذا انتقَل محلل مالي إلى قسم التسويق، تتولى IAM الجوانب التقنية لتغيير صلاحيات الوصول، بينما تضمن IGA أن تتوافق هذه التغييرات مع سياسات الشركة.

ظهرت حلول IGA لمساعدة المؤسسات على إدارة التعقيد المتزايد لبيئات تكنولوجيا المعلومات في المؤسسات، وتغيُّر مشهد التهديدات الإلكترونية، وتطوُّر متطلبات الامتثال.

تمتد شبكات المؤسسات اليوم لتشمل الأنظمة المحلية، ومزودي السحابة الخاصة والعامة، ومحطات العمل عن بُعد، والعديد من تطبيقات SaaS. وهذا التعقيد يجعل من حوكمة الهوية اليدوية أمرًا شبه مستحيل، كما يزيد من المخاطر الأمنية.

تساعد حلول IGA على التعامل مع بيئات تكنولوجيا المعلومات المعقدة من خلال توفير رؤية مركزية، وروابط تربط بين الأنظمة المختلفة، وأتمتة مهام سير العمل الأساسية.

توفر العديد من حلول حوكمة الهوية لوحات معلومات موحَّدة ووحدات تحكُّم إدارية تُتيح الرؤية المركزية والتحكم عبر بيئات متنوعة.

على سبيل المثال، تستخدم المؤسسات أدوات IGA بشكل متكرر لعرض جميع صلاحيات المستخدمين عبر خدمات السحابة، والأنظمة المحلية، وتطبيقات الطرف الثالث من خلال واجهة واحدة. ويساعد ذلك على ضمان قدرة المؤسسات على الحفاظ على سياسات وصول موحَّدة بغض النظر عن مكان استضافة التطبيقات.

تتضمن حلول IGA الموصِّلات، وهي واجهات جاهزة تربط بين التطبيقات والمنصات ضمن البنية التقنية للمؤسسة؛ لتسهيل حوكمة الهوية الموحَّدة. تساعد الموصِّلات على مزامنة بيانات المستخدم وتحويل سياسات الوصول بين الأنظمة والحفاظ على عناصر تحكُّم متسقة عبر التطبيقات المنعزلة مسبقًا.

على سبيل المثال، يمكن لشركة خدمات مالية استخدام الموصِّلات لدمج نظامها المصرفي الأساسي، ومنصة إدارة علاقات العملاء (CRM)، وقاعدة بيانات الموارد البشرية مع أداة IGA مركزية.يسهِّل هذا التكامل ضبط حقوق الوصول عبر جميع الأنظمة عندما يتغيَّر دور الموظف.

تستخدم حلول IGA الأتمتة لتبسيط سير عمل إدارة الهوية، والقضاء على العمليات اليدوية المستهلكة للوقت، وتقليل عدد طلبات الدعم التي يتوجب على فرق تكنولوجيا المعلومات التعامل معها. تدعم أدوات IGA بشكل عام ما يلي:

• طلبات الوصول ذاتية الخدمة، التي تُتيح للمستخدمين طلب الوصول إلى البيانات والأنظمة الحساسة عبر بوابات سهلة الاستخدام.
  
  
• سير العمل المؤتمت لتوفير الصلاحيات، والذي يُلغي العمليات اليدوية لمهام سير العمل الروتينية مثل إنشاء الحسابات، وتعيين الصلاحيات، ومراجعة الوصول.
  
  
• تحسين الأدوار، واقتراح تحسينات على تعريفات الأدوار وحقوق الوصول الافتراضية بناءً على كيفية استخدام المستخدمين لصلاحياتهم بالفعل.

دون حل IGA، يجب على موظفي تكنولوجيا المعلومات إنشاء حسابات المستخدمين يدويًا في أنظمة متعددة عند إعداد موظفين جُدُد. يمكن لأدوات IGA تبسيط هذه العملية عن طريق توفير الحسابات تلقائيًا عبر جميع الأنظمة المطلوبة في الوقت الفعلي بناءً على دور المستخدم.

لم تَعُد الهجمات الإلكترونية تركِّز فقط على البنية التحتية؛ بل أصبحت عناصر التهديد تستهدف الهويات بشكل متزايد. كذلك لم تَعُد الحماية التقليدية القائمة على محيط الشبكة كافية في ظل إمكانية وصول المستخدمين إلى موارد المؤسسة من أي مكان، وعبر أي جهاز.

وفقًا لتقرير IBM® X-Force Threat Intelligence Index، يُعَد استغلال الحسابات الصالحة من أكثر الطرق شيوعًا التي يستخدمها المخترقون لاختراق شبكات المؤسسات، حيث يشكِّل 30% من الهجمات الإلكترونية.

يمكن أن تساعد حلول IGA على تقليل سطح الهجوم والحد من الضرر من خلال فرض مبدأ الحد الأدنى من الامتيازات. أي أن المستخدمين يمتلكون فقط الصلاحيات اللازمة لأداء مهامهم الوظيفية، لا أكثر ولا أقل.

ويمكن أن تساعد حلول IGA أيضًا على تحسين الوضع الأمني للمؤسسة بطرق أخرى:

• أتمتة إلغاء الصلاحيات وتطبيق السياسات: إزالة الوصول فورًا عند مغادرة المستخدمين للمؤسسة أو عند انتهاكهم لسياسات الأمان.
  
  
• التقييمات المنتظمة للوصول: تحديد الأذونات الزائدة وإلغاؤها، مثل اكتشاف أن المطورين لا يزال لديهم وصول إداري إلى أنظمة الإنتاج بعد انتهاء المشروع.
  
  
• تنفيذ مبدأ الثقة الصفرية: دعم بنيات الثقة الصفرية من خلال ضمان حصول المستخدمين على الوصول الذي يحتاجون إليه فقط لأدوارهم.
  
  
• الوصول إلى لوحة المعلومات: تصوُّر الثغرات الأمنية المحتملة للمساعدة على تحسين اتخاذ القرار، مثل التنبيه عند وصول مستخدم إلى بيانات مالية حساسة خارج ساعات العمل المعتادة.

لحماية الحسابات ذات الامتيازات العالية وحقوق الوصول المرتفعة، غالبًا ما تقوم المؤسسات بدمج حلول IGA مع أدوات إدارة الوصول المميز (PAM)، والتي تركِّز تحديدًا على تأمين الحسابات المميزة مثل حسابات المسؤولين.

توفِّر بعض حلول IGA أيضًا قدرات الكشف عن التهديدات والمعالجة في الوقت الفعلي للمساعدة على منع انتهاكات الامتثال واختراق أمن البيانات.

تفرض متطلبات الامتثال مثل اللائحة العامة لحماية البيانات (GDPR) وHIPAA وSOX وغيرها من التفويضات قواعد على كيفية تعامل المؤسسات مع البيانات. ويمكن أن تكون عقوبات عدم الامتثال كبيرة. على سبيل المثال، يمكن أن تؤدي انتهاكات اللائحة العامة لحماية البيانات إلى غرامات تصل إلى 22 مليون دولار أمريكي أو 4% من إجمالي الإيرادات السنوية للشركة في العالم، أيهما أكبر.

توفِّر حلول IGA عناصر تحكُّم ووثائق يمكن للمؤسسات استخدامها لتبسيط الامتثال:

• أتمتة فرض السياسات: ضمان توافق أذونات الوصول والتصاريح مع المتطلبات التنظيمية.
  
  
• مسارات التدقيق الشاملة: تسجيل جميع الأنشطة المتعلقة بالوصول للحصول على أدلة الامتثال لاستخدامها في عمليات التدقيق.
  
  
• شهادات الوصول المنتظمة: مراجعة حقوق وصول المستخدم للمساعدة على التأكد من أنها لا تزال محددة بشكل مناسب لدور كل مستخدم ومسؤولياته.
  
  
• لوحات معلومات الامتثال: توفِّر رؤية في الوقت الفعلي لحالة امتثال حسابات المستخدمين.

على سبيل المثال، يمكن لمزود خدمات رعاية صحية استخدام أدوات IGA لفرض الالتزام بقانون HIPAA من خلال تقييد الوصول إلى سجلات المرضى وفقًا لمسؤوليات الوظيفة، والاحتفاظ بسجلات تفصيلية توضِّح من قام بالوصول إلى تلك السجلات.

تركِّز أدوات وممارسات IGA على إدارة الهويات الرقمية وأذونات الوصول طوال دورة حياة المستخدم، من الإعداد إلى الخروج.

يتضمن العنصران الرئيسيان من IGA إدارة دورة حياة الهوية وحوكمة الوصول.

تتضمن إدارة دورة حياة الهوية إنشاء هويات المستخدمين، وتعديلها، وتعطيلها مع انضمام الموظفين إلى المؤسسة، أو انتقالهم داخلها، أو مغادرتهم لها. ويمكنها أن تضمن حصول المستخدمين الجُدُد على الصلاحيات المناسبة منذ اليوم الأول، وسحب تلك الصلاحيات فورًا عند إنهاء الخدمة.

إذا غيَّر الموظف دوره الوظيفي، يمكن لأدوات IGA أن تُلغي تلقائيًا الصلاحيات القديمة وتحدِّد صلاحيات جديدة بناءً على مسؤولياته المحدَّثة. 

تتضمن العمليات الرئيسية لإدارة دورة حياة الهوية ما يلي:

• الإعداد: توفير حسابات المستخدمين والوصول الأوَّلي.
  
  
• تغييرات السمات: تحديث حقوق الوصول عند تغيير سمات المستخدم - مثل التصريح الأمني أو تعيين القسم أو المشروع.
  
  
• الخروج: إلغاء توفير الوصول عندما يغادر المستخدمون المؤسسة.

تُشرف حوكمة الوصول على من يملك صلاحية الوصول إلى أي موارد، وتساعد على ضمان بقاء هذا الوصول مناسبًا مع مرور الوقت. توفِّر طبقة الإشراف لإدارة الهوية، مع التركيز على تطبيق السياسات، ومراجعة الوصول، والامتثال.

تشمل الوظائف الرئيسية لحوكمة الوصول ما يلي:

• التحكم في الوصول بناءً على الأدوار (RBAC)
• تطبيق مبدأ فصل المهام (SoD)
• شهادات ومراجعات الوصول
• إدارة الاستحقاق

يخصِّص التحكم في الوصول بناءً على الأدوار (RBAC) الأذونات للمستخدمين استنادًا إلى الأدوار التنظيمية بدلًا من تعيين أذونات فردية لكل مستخدم. على سبيل المثال، قد يمنح الدور المالي للمستخدم صلاحية تنفيذ عمليات الشراء، في حين يمنح دور الموارد البشرية صلاحية الاطِّلاع على ملفات الموظفين.

تساعد قدرات الإدارة في حلول IGA المؤسسات على تحديد الأدوار وإدارتها والحفاظ عليها مع مرور الوقت.

باستخدام RBAC، يمكن لحلول IGA إدارة الوصول لآلاف المستخدمين دون الحاجة إلى تعيين أذونات فردية واحدة تلو الأخرى. عندما ينضم موظف إلى الأقسام أو ينتقل منها أو يغادرها، يمكن للمسؤولين ببساطة تعيين الأدوار الموحَّدة أو إزالتها بدلًا من إعادة تكوين العشرات من أذونات النظام المنفصلة.

فصل المهام (SoD)، ويُعرَف أيضًا باسم فصل الواجبات، هو مبدأ أمني يهدف إلى منع تعارض المصالح من خلال ضمان عدم حصول أي فرد على صلاحيات وصول مفرطة.

تساعد حلول IGA على تطبيق مبدأ فصل المهام (SoD) من خلال تحديد ومنع تراكم الصلاحيات التي قد تؤدي إلى الاحتيال أو إساءة الاستخدام.

على سبيل المثال، في عملية الشراء، ينبغي ألَّا يتمكن الشخص نفسه من إضافة مورد جديد إلى النظام والموافقة على الدفعات لذلك المورد في الوقت نفسه. يمكن لحل IGA الإشارة إلى هذا الترتيب باعتباره انتهاكًا لمبدأ فصل المهام (SoD)، إما من خلال منعه بالكامل أو طلب موافقات إضافية.

تشمل شهادة الوصول مراجعة دورية لصلاحيات المستخدمين لضمان بقائها ملائمة بمرور الوقت. عادةً ما تتضمن هذه المراجعات تأكيد المديرين أو أصحاب الموارد على أن أعضاء الفريق لا يزالون بحاجة إلى امتيازات الوصول الحالية.

يمكن أن تساعد حلول IGA على تبسيط مراجعات الوصول عن طريق بدء المراجعات تلقائيًا على أساس منتظم. قد تتم مراجعة حقوق الوصول عالية المخاطر -مثل الوصول إلى الأنظمة المالية- بشكل متكرر أكثر من الأذونات الأقل خطورة.

يمكن لبعض حلول IGA أيضًا تقديم توصيات لتغييرات الوصول استنادًا إلى أنماط الاستخدام، مثل وضع علامة على الأذونات غير المستخدمة التي قد لا يحتاجها المستخدم.

تُعَد إدارة الصلاحيات هي الجزء الأكثر تفصيلًا من حوكمة الوصول، حيث تركِّز على الأذونات التي يمتلكها المستخدمون داخل الأنظمة. بصيغة أخرى: تُشرِف حوكمة الوصول على ما يمكن للمستخدمين الوصول إليه، بينما تُشرف إدارة الصلاحيات على ما يمكن للمستخدمين فعله بذلك الوصول.

على سبيل المثال، في نظام المحاسبة، تتعامل إدارة الصلاحيات مع الضوابط الدقيقة مثل تحديد من يمكنه عرض السجلات المالية، ومن يمكنه تعديلها، ومن يمكنه حذفها.

تتضمن القدرات الإضافية لإدارة الصلاحيات ما يلي:

• فهرسة الصلاحيات: الاحتفاظ بمخزون من أذونات المستخدم.
  
  
• تقييم مخاطر الوصول: تقييم المخاطر المرتبطة بصلاحيات محددة، مثل القدرة على تعديل الحدود الائتمانية للعملاء.
  
  
• الضوابط المستندة إلى السياسات: فرض سياسات الأمان أثناء طلبات الوصول للحفاظ على مبادئ الامتياز الأقل، مثل طلب موافقة المشرف للوصول إلى البيانات المالية الحساسة.
  
  
• تحليلات الوصول: توفير رؤى حول أنماط الوصول لمساعدة المؤسسات على معالجة المخاطر الأمنية المحتملة بشكل استباقي، مثل اكتشاف حالات حصول المستخدمين على أذونات مفرطة للأنظمة الحساسة.

يُسهم التقدُّم في مجال الذكاء الاصطناعي في إحداث تحديات وفرص جديدة في عالم حوكمة الهوية وإدارتها.

تستخدم عناصر التهديد أدوات الذكاء الاصطناعي التوليدي الجديدة لاستهداف سير عمل IGA وضوابطه. على سبيل المثال، من خلال استخدام الذكاء الاصطناعي لإنشاء مقاطع مزيفة واقعية ورسائل تصيُّد مقنِعة، يمكن للمهاجمين خداع المستخدمين الشرعيين لتسليم بيانات اعتمادهم. قد تستخدم عناصر التهديد الأكثر تطورًا أدوات التعلم الآلي لتحليل هيكل الصلاحيات وتحديد فرص للتحايل على السياسات بهدف تجاوز ضوابط IGA. 

في الوقت نفسه، يستخدم البائعون الذكاء الاصطناعي لتحويل حلول IGA الخاصة بهم من نقاط تفتيش ثابتة للتحقق من الامتثال إلى أنظمة مرنة لإدارة المخاطر. وفيما يلي بعض الأمثلة التي تستخدم حلول IGA فيها الذكاء الاصطناعي:

• توصيات الوصول الذكية: استخدام أدوات التعلم الآلي لتحليل أدوار المستخدمين، ووظائفهم، والمجموعات النظيرة، من أجل اقتراح الصلاحيات المناسبة تلقائيًا أثناء عملية الانضمام أو الانتقال، ما يحسِّن من كفاءة عمليات RBAC التقليدية.
  
  
• رصد السلوك غير الطبيعي باستخدام الذكاء الاصطناعي: الاعتماد على خوارزميات الذكاء الاصطناعي لبناء نماذج مرجعية لسلوك المستخدم، من أجل تحديد أي نشاط مريب قد لا تلتقطه أدوات IGA القياسية.
  
  
• المراجعات المحسَّنة بالذكاء الاصطناعي: تقييم وتصنيف الصلاحيات بناءً على مستوى الامتيازات والاستخدام وتأثير SoD، بحيث يمكن لأنظمة IGA إعطاء الأولوية للوصول عالي المخاطر للمراجعة اليدوية وأتمتة القرارات منخفضة المخاطر.