Potrebu centrálne riadených prístupových práv si podniky uvedomujú, ale realizácia je ďaleko za očakávaniami.

V medzinárodnom  prieskume spoločnosti KPMG o stave a vyspelosti IAM sa zúčastnilo 235 respondentov z 21 európskych krajín vrátane Slovenska. V rámci prieskumu poskytlo odpovede a hodnotenie svojho stavu aj 17 spoločností zo strednej a východnej Európy (ďalej len CEE), z toho 5 zo Slovenska. Pohľad na región CEE poukazuje na isté odlišnosti od celoeurópskeho priemeru.

Zloženie respondentov prieskumu potvrdilo skutočnosť, že informačnej bezpečnosti venujú najväčšiu pozornosť spoločnosti z finančného sektora (viď napr. Prieskum stavu informačnej bezpečnosti v SR 2006). Z celkového počtu respondentov predstavovali 41% (47% v prípade CEE).

Centrálna správa identít a prístupových práv (Identity & Access management, IAM) znamená smernice, procesy a systémy, ktoré organizáciám umožňujú efektívne riadiť prístup ku zdrojom. Procesy IAM zastrešujú viacero oblastí: správa používateľov, správa autorizácií, správa prístupov, automatické nastavovanie koncových systémov, monitoring a audit.

Zameranie IAM projektov organizácií sa typicky sústreďuje tam, kde je najväčší počet používateľov a teda aj rizík - na zamestnancov a zmluvných partnerov a na interné systémy a informácie. Riešenie komplexnejších vzťahov (napr. tzv. Federated Identity, prepojenie so správou zákazníkov prípadne prepojenie IAM prostredia s obchodnými partnermi), nie je zatiaľ veľmi rozšírené.

V uplynulých troch rokoch všetci respondenti rozbehli jeden alebo viac IAM projektov. Najviac prostriedkov na centrálne riadenie prístupových práv vynakladajú finančné inštitúcie. Naopak najmenší rozpočet má štátna správa. Až 70% respondentov zo CEE nemá osobitne vymedzený žiadny, prípadne len malý rozpočet (menej 100 000 EUR) pre oblasť IAM projektov na nasledujúce tri roky.  

Isté rozdiely medzi európskym priemerom a CEE sú viditeľné v oblasti očakávaných prínosov IAM projektov. „Je zarážajúce, že viac ako polovica IAM projektov nedosiahla zamýšľaný cieľ, čo takmer zákonite viedlo k nespokojnosti respondentov s výsledkami projektov. Medzi očakávanými a reálnymi prínosmi existujú veľké rozdiely, čo môže byť spôsobené aj nedostatočným uvedomením si výhod systematického riadenia používateľov a prístupových práv,“ hovorí Pavol Adamec z KPMG Slovensko, riaditeľ oddelenia poradenstva pre informačnú bezpečnosť. „Náš prieskum naznačuje, že najväčšou výzvou pre úspešnosť nie sú technické požiadavky. Hlavnou príčinou zlyhania týchto projektov je skutočnosť, že organizácie jednoducho nie sú pripravené na takýto krok.“  Alarmujúce je, že v prípade CEE až 82% spoločností indikovalo ako dôvod zlyhania IAM projektov skutočnosť, že útvary okrem IT a bezpečnosti neboli pripravené na zmenu.

Väčšina IAM procesov sa nachádza v počiatočných fázach – od úvodného návrhu po definovanie štandardov. Pokiaľ ide o čiastkové IAM procesy, najviac pozornosti respondenti venujú zložke správa užívateľov - 45% z nich túto časť riadi uspokojivo alebo optimalizovane.  Monitoring a kontrola sú naopak na chvoste záujmu. „Celkovú úroveň riadenia a efektívnosti IAM procesov možno zvýšiť definovaním jednoznačných procesov a automatizáciou. Pomôže to primerane ošetriť všetky zložky, teda správu autorizácií, správu prístupov, automatické nastavovanie koncových systémov, monitoring a audit. Takto môže organizácia zároveň zlepšiť svoj prehľad o skutočných prínosoch IAM a v neposlednom rade získať náskok pred svojimi konkurentmi,“ dodával Pavol Adamec.