פתיחת קריאת שירות

שירות ותמיכה

072-2126999

הטעויות בניהול משתמשים והרשאות בארגון

הטעויות בניהול משתמשים והרשאות בארגון

כשעובד שעזב לפני שלושה חודשים עדיין יכול להיכנס למייל הארגוני, למערכת הנהלת החשבונות או לתיקיות בענן – זו לא תקלה קטנה. זו בדיוק אחת הדוגמאות הקלאסיות של הטעויות בניהול משתמשים והרשאות, והיא עלולה להפוך מהר מאוד לחשיפת מידע, להשבתת עבודה או לאירוע אבטחה יקר. בארגונים קטנים ובינוניים, שבהם אין תמיד צוות IT פנימי רחב, הטעויות האלה נוצרות בדרך כלל לא בגלל רשלנות אלא בגלל עומס, עבודה ידנית ותהליכים שלא הוגדרו נכון.

ניהול משתמשים והרשאות נשמע לפעמים כמו נושא טכני, אבל בפועל זהו נושא עסקי. הוא משפיע על מי רואה מידע רגיש, מי יכול לשנות נתונים, מי מאשר תשלומים, מי מתחבר מרחוק, ואיך הארגון ממשיך לעבוד גם כשיש תחלופת עובדים, מעבר מערכות או עבודה היברידית. כשאין שליטה מסודרת, הסיכון גדל – וגם התלות באלתור.

למה הטעויות בניהול משתמשים והרשאות קורות שוב ושוב

ברוב הארגונים, ההרשאות לא נבנות ביום אחד. הן מצטברות לאורך זמן. עובד חדש מקבל גישה כמו של עובד ותיק "כדי שיתחיל לעבוד מהר", מנהל מחלקה מבקש הרשאה חריגה "רק לשבוע", ספק חיצוני מקבל גישה מרחוק לפרויקט, ואיש לא חוזר אחר כך לבדוק מה נשאר פתוח. כך נוצר מצב שבו למשתמשים יש יותר גישה ממה שהם באמת צריכים.

יש גם בעיה מבנית. בארגונים רבים המשתמשים מנוהלים בכמה מערכות במקביל – Microsoft 365, שרת קבצים, מערכת ERP, תוכנת שכר, CRM, VPN, מערכות מצלמות, מרכזיה או סביבת ענן. אם אין מדיניות אחידה, כל מערכת מתנהלת קצת אחרת. התוצאה היא חוסר עקביות: המשתמש הוסר ממערכת אחת אבל נשאר פעיל באחרת, או קיבל הרשאה במחלקה אחת שלא תואמת את התפקיד שלו בפועל.

בנוסף, ככל שהארגון גדל, קשה יותר להסתמך על זיכרון של אנשים. מנהלת המשרד יודעת מי עזב, מנהל התפעול יודע מי עבר תפקיד, ורק מי שמנהל את ה-IT יודע אילו גישות נפתחו בפועל. בלי תהליך ברור, הידע מפוזר – והסיכון נשאר במערכת.

הטעות הראשונה: לתת הרשאות רחבות מדי

זו אולי הטעות הנפוצה ביותר. במקום להגדיר גישה לפי תפקיד, נותנים לעובד גישה מלאה למחלקה, למאגר משותף או למערכת שלמה. זה נוח בטווח הקצר, אבל יוצר בעיה בטווח הארוך. עובד בקבלה לא צריך לראות כל מסמך כספי, נציג שירות לא צריך הרשאות עריכה להגדרות מערכת, וספק חיצוני לא צריך גישה קבועה לרשת הפנימית.

עקרון העבודה הנכון הוא הרשאה מינימלית – כל משתמש מקבל רק את מה שנחוץ לו כדי לבצע את עבודתו. לא פחות, אבל גם לא יותר. זה נשמע פשוט, אך דורש מיפוי מסודר של תפקידים, מערכות וצרכים בפועל. בארגון שאין בו מיפוי כזה, ההרשאות בדרך כלל נבנות לפי בקשות נקודתיות, ולא לפי מדיניות.

המחיר של הרשאות רחבות אינו רק סיכון סייבר. הוא גם סיכון תפעולי. ככל שליותר אנשים יש גישה לשנות, למחוק או להעביר מידע, כך גדל הסיכוי לטעויות אנוש, שינויים לא מבוקרים ופגיעה ברציפות העבודה.

הטעות השנייה: לא להסיר גישה בזמן

עובדים שעוזבים, מחליפים תפקיד או יוצאים לחופשה ממושכת הם נקודת כשל מוכרת. אם אין תהליך מסודר של קליטה ועזיבה, החשבונות שלהם נשארים פעילים זמן רב מדי. במקרים אחרים, החשבון נחסם רק בחלק מהמערכות, או נשאר פעיל דרך מכשיר אישי שכבר הוגדר בעבר.

כאן הבעיה אינה רק אבטחת מידע אלא גם שליטה ניהולית. ארגון צריך לדעת בכל רגע מי יכול להיכנס למה, מאיזה מכשיר, ובאיזו רמת הרשאה. אם אין תשובה ברורה, אין באמת שליטה. במיוחד בסביבות עבודה עם דוא"ל בענן, מסמכים משותפים וגישה מרחוק, כל עיכוב בנטרול גישה משאיר דלת פתוחה.

הפתרון הוא לחבר בין משאבי אנוש, הנהלה ו-IT. כל שינוי במעמד עובד צריך להפעיל תהליך ברור: חסימת גישה, העברת בעלות על מידע, בדיקת הרשאות נלוות, וסקירת מכשירים וחיבורים חיצוניים. זה לא תהליך של "כשנספיק" אלא חלק מתחזוקת הארגון.

הטעות השלישית: לנהל הרשאות ידנית בלי בקרה

הרבה עסקים מתחילים מניהול ידני – וזה מובן. בהתחלה יש מעט עובדים, מעט מערכות והרבה אילוצים. אבל כשהארגון גדל, הניהול הידני הופך מהר מאוד לנקודת חולשה. פתיחת משתמשים, עדכון הרשאות, איפוס סיסמאות ובדיקת גישות מתבצעים באופן אד-הוק, בלי תיעוד מלא ובלי שכבת בקרה.

בשלב הזה, כל שינוי קטן תלוי באדם מסוים. אם הוא לא זמין, אם אין תיעוד, או אם לא זוכרים מה נעשה בעבר – מתחילות טעויות. לפעמים ניתנת הרשאה זמנית שלא מבוטלת. לפעמים מוגדר חריג שלא מתועד. לפעמים אף אחד לא יודע למה בכלל למשתמש מסוים יש גישה רגישה.

ניהול תקין לא מחייב בהכרח מערכת כבדה, אבל כן מחייב סדר. קבוצות הרשאה, שיוך לפי תפקיד, תיעוד שינויים ובדיקות תקופתיות הם הבסיס. ככל שהארגון משתמש ביותר שירותי ענן, עבודה מרחוק וספקי משנה, כך החשיבות של ניהול מרוכז רק עולה.

הטעות הרביעית: להסתפק בסיסמה בלבד

גם הרשאות טובות לא מספיקות אם מנגנון ההזדהות חלש. כשארגון מסתמך רק על שם משתמש וסיסמה, הוא נשען על נקודת הגנה אחת בלבד. בפועל, סיסמאות נגנבות, ממוחזרות בין מערכות, נשמרות בדפדפן או משותפות בין עובדים – גם אם אף אחד לא מתכוון להזיק.

לכן, ניהול משתמשים והרשאות חייב לכלול גם אימות רב-שלבי, מדיניות סיסמאות סבירה ובקרה על ניסיונות התחברות. לא בכל מערכת נדרש אותו מנגנון, וזה בדיוק המקום שבו צריך שיקול דעת. מצד אחד, לא רוצים להכביד על עבודה שוטפת. מצד שני, מערכות מייל, פיננסים, קבצים רגישים וגישה מרחוק לא אמורות להישאר עם רמת אבטחה בסיסית בלבד.

במילים פשוטות, הרשאה היא השאלה מה מותר למשתמש לעשות. הזדהות היא השאלה האם מי שמנסה להיכנס הוא באמת המשתמש עצמו. בלי שילוב נכון בין השתיים, יש חור במעטפת ההגנה.

איך בונים מדיניות נכונה של ניהול משתמשים והרשאות

מדיניות טובה מתחילה מהבנה עסקית, לא מטבלה טכנית. קודם צריך לדעת אילו מערכות קריטיות לפעילות, מי משתמש בהן, איזה מידע רגיש קיים, ומה הסיכון במקרה של גישה לא נכונה. רק אחר כך מגדירים תפקידים, קבוצות והרשאות.

בפועל, הדרך הנכונה היא לבנות הרשאות לפי תפקיד ולא לפי אדם. מנהל כספים, נציג שירות, מזכירות, ספק חיצוני או מנהל סניף – לכל אחד צריכה להיות מעטפת גישה מוגדרת. זה מקל על פתיחת משתמשים חדשים, מצמצם טעויות, ומאפשר לבצע ביקורת בלי לבדוק כל חשבון מאפס.

חשוב גם להגדיר מי מאשר חריגים. בכל ארגון יש מקרים יוצאי דופן, אבל חריג בלי אישור, תיעוד ותאריך תפוגה הופך מהר מאוד לברירת מחדל מסוכנת. אותו עיקרון נכון גם לגישה זמנית לפרויקטים, לתמיכה חיצונית או לעבודה של יועצים וספקים.

ביקורת תקופתית היא לא מותרות

אחת הבעיות הגדולות בהרשאות היא שהן נראות תקינות ביום שהוגדרו, אבל מאבדות קשר למציאות אחרי כמה חודשים. עובדים משנים תפקיד, מחלקות מתפצלות, מערכות מתחלפות, וסביבת העבודה הופכת מורכבת יותר. אם לא עושים ביקורת תקופתית, הכשלים מצטברים בשקט.

בדיקה רבעונית או חצי-שנתית של משתמשים, קבוצות הרשאה, חשבונות לא פעילים, גישות מנהל וחיבורים מרוחקים יכולה לגלות פערים משמעותיים לפני שהם הופכים לאירוע. זה נכון במיוחד בארגונים שמנהלים מידע רגיש, עובדים מול לקוחות, או כפופים לדרישות רגולטוריות ותפעוליות.

במקרים רבים, עצם הביקורת כבר משפרת את ההתנהלות. כשהארגון יודע שהרשאות נבדקות באופן קבוע, יש יותר משמעת בתהליכי פתיחה, שינוי וסגירה של משתמשים.

מה עסקים קטנים ובינוניים מפספסים בנושא הזה

הטעות הנפוצה ביותר אצל עסקים קטנים ובינוניים היא לחשוב שניהול הרשאות הוא נושא של ארגונים גדולים בלבד. בפועל, דווקא בארגונים קטנים הפגיעה עלולה להיות חריפה יותר, כי אין שכבות הגנה רבות, אין כוח אדם טכני זמין בכל רגע, וכל השבתה מורגשת מיד בשירות, בגבייה ובתפעול.

מעבר לכך, עסקים כאלה עובדים לעיתים עם שילוב מורכב של מערכות ישנות וחדשות, שירותי ענן, גישה מהבית, ספקי תוכנה חיצוניים ומכשירים ניידים. בלי ניהול מסודר של משתמשים והרשאות, נוצר פער בין מה שההנהלה חושבת שקיים לבין מה שפתוח בפועל.

כאן בדיוק נדרש גורם שמסתכל על התמונה המלאה – לא רק על פתיחת משתמש בודד, אלא על כל שרשרת הגישה למערכות העסקיות. זו הסיבה שארגונים רבים בוחרים לעבוד עם שותף IT קבוע כמו Tuzali, שמחבר בין תמיכה שוטפת, אבטחת מידע, סביבת ענן וניהול תשתיות תחת אחריות אחת.

ניהול משתמשים והרשאות לא צריך להיות פרויקט גדול, אבל הוא כן צריך להיות מנוהל. כשמגדירים מדיניות ברורה, מסירים גישות בזמן, בונים הרשאות לפי תפקיד ובודקים את המצב באופן קבוע, הארגון עובד בצורה יציבה יותר, בטוחה יותר ופחות תלויה באלתור. לפעמים ההבדל בין סביבת עבודה מסודרת לבין אירוע מיותר מתחיל בהרשאה אחת שלא נבדקה בזמן.

תוכן עניינים