журналы подразделения новости подписка контакты home

архив
2001 год
2002 год
2003 год
2004 год
2005 год
2006 год
2007 год
2008 год
2009 год
2010 год
рубрики
БАНКОВСКИЕ СИСТЕМЫ

БАНКОВСКИЕ СТРАТЕГИИ

БАНКОВСКОЕ ОБСЛУЖИВАНИЕ

ПЛАТЕЖИ

ИНФОРМАЦИОННЫЕ РЕШЕНИЯ

БАНКОВСКИЙ МЕНЕДЖМЕНТ

БАНКОВСКИЙ МАРКЕТИНГ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ

Новые рыночные страны

гостям
Агентство "Стандарт" предлагает вам подписаться на экномические журналы – лидеры в своей области.
























"Банковская практика за рубежом" – №4, 2005

ИНФОРМАЦИОННЫЕ РЕШЕНИЯ

Пароль нужен

Система управления паролями доступа в информационную систему не только повышает безопасность бизнеса, но и способствует уменьшению затрат

В одной из стран Латинской Америки есть город, где ограбления банков и подделки банковских документов совершаются так часто, а служащие настолько боятся работать в отделениях, что ведущие банки были вынуждены создать особый график работы, по которому каждый сотрудник каждый новый день работал бы в произвольно выбранном отделении. Ежедневно специалистам звонят и с утра сообщают, где именно они должны в этот день работать. Таким образом, исключается возможность того, что кто-либо из них сумеет узнать о работе конкретного отделения настолько хорошо, что сможет разработать план ограбления или принять участие в его подготовке.

Синди Стерлинг, глава департамента развития американской компании BMC Software, была нанята одним из банков (его название, как и города, пока хранят в секрете) для разработки систем управления паролями и инициализации пользователей, дающих возможность осуществлять подобные графики случайных рабочих мест на один день. Программа "работ-однодневок", просуществовав год, доказала свою эффективность: количество случаев подделки банковских документов и жульничеств уменьшилось в несколько раз. "Каждый день меняются имя пользователя, пароль и права доступа, – говорит Синди Стерлинг. – Система отслеживает перемены, каждый день проводит аутентификацию каждого пользователя по-новому и помогает банку обезопасить себя".

Системы управления паролями и инициализации пользователей открывают перед финансовыми институтами интересные возможности. "Сейчас финансовые институты находятся в самом начале пути их использования для повышения безопасности своей деятельности, – говорит Джонатан Пенн, ведущий аналитик Forrester Research. – Пока банки, где более 5 тыс. служащих, как правило, присоединяют к подобной системе только 500-600 сотрудников. Это только начало, но весьма многообещающее".

Активные слияния и поглощения среди компаний, занятых информационными технологиями, – верный признак динамичного развития сектора. Так, в 2004 году BMC Software купила у Network Associates компанию Magic Software, а в январе текущего года – компанию Calendra. Тем временем, в конце прошлого года Computer Associates приобрела за $430 млн. Netegrity. Роберт Вити из компании Gartner утверждает, что ожидаемый рост рынка составит 100-150%, в то время как количество участников и сложность продуктов увеличатся, ассортимент расширится.

Технология управления паролями дает возможность уменьшить количество паролей, необходимых служащим, обеспечивает высокий уровень электронной безопасности благодаря частому изменению паролей, а также помогает аутентифицироваться сотрудникам, которые забыли пароль или которым необходимо его восстановить. Инициализация пользователей представляет собой систему автоматической авторизации, отслеживания и аннулирования прав доступа к различным ресурсам.

В пользу применения данных технологий можно привести три веских довода: простые правила, снижение затрат и внутренний контроль безопасности. Эксплуатационные нормы систем управления паролями и инициализации пользователей просты и удобны. Снижение издержек, связанное с внедрением систем, может быть достаточно значительным, поскольку внедрение подобных программ экономит время сотрудников, занятых в сфере информационных технологий, а также финансовые ресурсы, направляемые в эту сферу. Что же касается безопасности, то случайная генерация паролей и частая их смена снижают риск использования этой информации для действий, направленных против работы финансового института.

Цена лицензированного программного обеспечения системы инициализации, рассчитанной на 15 тыс. пользователей, – около $700 тыс. Если учесть, что обращения с проблемами относительно идентификации или внедрения программы в целом составляют всего около четверти количества звонков в информационно-справочную службу и что каждое обращение за помощью обходится банку в $10-31, финансовые институты чрезвычайно заинтересованы в том, чтобы средства, вложенные в проект управления паролями, оправдали себя. В пользу подобной системы говорят такие последствия ее внедрения как:

– снижение затрат на содержание информационно-справочной службы и департамента безопасности;

– экономия времени конечных пользователей (процесс изменения пароля в целом занимает намного менее времени, чем звонок в информационно-справочную службу) и департамента бизнес-менеджмента (процесс доступа, посылки запроса и получения ответа проходит чрезвычайно быстро);

– упрощение задач и самого процесса деятельности риск-менеджмента.

Кроме того, системы управления паролями и инициализации пользователей предоставляют более быстрый и легкий способ авторизации пользователей. "Большинство обращений в информационно-справочную службу приходятся на первый день рабочей недели после долгих выходных или праздников, – говорит Роберт Миллер, вице-президент по маркетингу в M-Tech, среди клиентов которой – Wells Fargo, Washington Mutual, Sovereign и Riggs Bank. – Раньше в такие дни службе, чтобы справиться с наплывом звонков, приходилось дополнительно привлекать к работе несколько "резервных" сотрудников. Теперь же наша система P-Synch обеспечивает служащих банка возможностью провести аутентификацию самостоятельно, т.е. необходимость обращения в информационно-справочную службу попросту отпадает. В целом же управление паролями – это только первый шаг перед введением управления идентификацией, открывающего возможности для реализации дополнительных проектов".

Riggs Bank ввел в практику новую разработку компании M-Tech одним из первых. Программа дает возможность пользователям Riggs Direct, банковской системы авторизации, самостоятельно проводить аутентификацию. "Мы внедрили систему P-Synch в июле 2004 года с целью уменьшения количества обращений в информационно-справочную службу, – вспоминает Чарли Диксон, вице-президент Riggs Bank по вопросам обслуживания клиентов. – И уже довольно скоро получили ощутимый результат: число звонков уменьшилось на 50%. В период с января по апрель 2004 года отмечено 5532 звонка, связанных с проблемами использования паролей. После введения новой системы – в период с августа по ноябрь 2004 года – общее количество подобных обращений сократилось до 2772. По сути, мы в месяц экономили около 60 рабочих часов в информационно-справочной службе, и это без учета времени, которое тратили сотрудники банка на дозвон до службы и ожидание решения проблемы". В целом затраты Riggs Bank на покупку программного обеспечения к P-Synch, внедрение самой системы и обучение сотрудников составили $40-50 тыс.

Чарли Диксон утверждает, что Riggs Bank не собирается останавливаться на введении P-Synch. В будущем банк планирует реализовать еще несколько сопутствующих проектов и до одного довести количество паролей, необходимых каждому служащему для проведения операций, а также создать систему вопросов и ответов, уникальных для каждого пользователя, которые обеспечивали бы ему получение доступа к ресурсам Riggs Direct извне системы.

Пример Riggs Bank интересен, но далеко не уникален в своем роде. Так, Bank of America тоже достиг определенных успехов, используя программу Siteminder, разработанную специалистами компании Netegrity. Данная система обеспечивает управление всеми пользователями, предоставляя им возможность доступа ко всем ресурсам с предъявлением всего одного пароля. В результате лишь за год количество пользователей, получающих доступ к различным ресурсам при помощи шести паролей, уменьшилось на 54%, при помощи двенадцати и более паролей – на 64%. За тот же период число обращений с проблемами использования паролей в информационно-справочную службу снизилось на 73%. В целом, введя новую систему, банк сэкономил около $3 млн.

Впрочем, снижение затрат возможно не только в результате внедрения проектов по управлению паролями и инициализации пользователей. Компания Thor Technologies разработала новую упрощенную систему регистрации, контроля и аннулирования доступа пользователей, которой уже воспользовались британские банки Barclays и Lehman Brothers.

"Представьте себе, что некий инвестиционный банк в силу определенных причин нанимает внештатного сотрудника, подписав с ним контракт сроком на полгода, – делится опытом Джон Эйсиен, вице-президент Thor Technologies по вопросам маркетинга и развития. – На этот период банк должен обеспечить нового сотрудника электронным адресом, доступом к определенным основным системам, к некоторой бухгалтерской документации и т.д. И это все должно быть аннулировано после окончания срока контракта. Новый продукт нашей компании предоставляет сотруднику все эти возможности с центрального сервера, а также снижает издержки на внесение всех необходимых изменений вручную, уменьшает затраты на безопасность и исключает задержки и проволочки. Если раньше весь этот процесс занимал неделю, то теперь достаточно одного дня".

В целом же надежность и важность систем управления паролями и инициализации пользователей подтверждается их ключевой выгодой. "Главное, что каждый сотрудник получает столько прав, сколько необходимо для реализации им своих служебных обязанностей, – говорит Джонатан Пенн. – Ни больше, ни меньше. Это достаточно выгодно, особенно если учесть, что в большинстве банков служащие используют "накопленные" за время работы права доступа, которые не аннулируются, даже тогда, когда изменяется сам характер их деятельности". Роберт Миллер добавляет: "Жесткий надзор за возможностями сотрудников особенно важен для банков, отличающихся высокими показателями текучести кадров".

Однако в этой сфере еще не все окончательно доработано. В ближайшем будущем разработчикам и финансовым институтам, которые непосредственно используют системы управления паролями и инициализацией пользователей, придется решить ряд проблем. Прежде всего, необходимо будет усовершенствовать системы, для того чтобы они могли обеспечивать четкое разграничение функций различных служащих, а также разделение запросов и обращений пользователей в зависимости от их тематики и назначения. Кроме того, необходимо будет унифицировать процесс предоставления, подтверждения и аннулирования прав доступа, поскольку в нынешних системах эти функции разделены между разными объектами системы, а также усовершенствовать процесс контроля привилегий доступа и всего процесса аутентификации. "Надо убедиться, что в системах нет дыр, – соглашается Чарли Диксон, – и что пользователи получают доступ только для себя, а не передают право на него кому-либо еще, а также что никто не злоупотребляет привилегиями и т.д. Только после этого мы сможет заверить покупателей в надежности своего продукта".

Евгения Лакосник,
по материалам US Banker

 
© агенство "Стандарт"