כשעובד חדש מצטרף בבוקר, הוא צריך מייל, גישה לקבצים, כניסה למערכת הנהלת חשבונות, חיבור ל-CRM ולעיתים גם הרשאה למערכות ענן חיצוניות. אם כל זה נעשה ידנית, לאט ובלי בקרה מסודרת, נוצר פער תפעולי וגם סיכון אבטחתי. בדיוק כאן נכנסות לתמונה מגמות ניהול זהויות ארגוני, שהפכו בשנים האחרונות מנושא טכני למחצה לתשתית עסקית קריטית.
עבור עסקים, מוסדות וארגונים בישראל, ניהול זהויות כבר לא עוסק רק בסיסמה חזקה. הוא עוסק בשאלה מי מקבל גישה, מתי, מאיזה מכשיר, לאילו מערכות, ובאילו תנאים. ככל שיותר מערכות עוברות לענן, יותר עובדים פועלים מרחוק, ויותר ספקים חיצוניים נוגעים במידע רגיש, הדרישה לשליטה מרכזית נהיית מעשית מאוד – לא תיאורטית.
למה מגמות ניהול זהויות ארגוני הפכו לנושא הנהלתי
פעם היה אפשר להחזיק שרת מקומי, כמה משתמשים ב-Active Directory, ולהרגיש שהסיפור די סגור. היום התמונה שונה. ברוב הארגונים יש שילוב של Microsoft 365 או Google Workspace, מערכות SaaS ייעודיות, טלפוניה בענן, כלי שיתוף, תוכנות הנהלת חשבונות, מערכות CRM, ולעיתים גם יישומים פנימיים ישנים שלא נעלמו.
המורכבות הזאת יוצרת עומס על מי שמנהל את ה-IT, אבל גם קושי למנהלים עצמם. כשהרשאות מפוזרות בין מערכות שונות, קשה לדעת מי עדיין מחובר למה, אילו חשבונות נשארו פתוחים אחרי עזיבת עובד, ואיפה יש גישה רחבה מדי למידע רגיש. לכן ניהול זהויות עבר מהגדרה של "עוד רכיב אבטחה" לתחום שמחבר בין תפעול, תאימות, אבטחת מידע והמשכיות עסקית.
מעבר מגישה מבוססת אמון לגישה מבוססת אימות
אחת המגמות המרכזיות היא המעבר מהנחה שמשתמש פנימי הוא בהכרח משתמש בטוח, לגישה שבה כל בקשת גישה נבחנת לפי הקשר. זה נשמע טכני, אבל המשמעות העסקית פשוטה: לא מספיק שעובד הקליד סיסמה נכונה. הארגון רוצה לדעת גם מאיזה מכשיר הוא מתחבר, מאיזו מדינה, באיזו שעה, והאם ההתנהגות שלו תואמת לדפוס הרגיל.
הגישה הזו קשורה לעולם ה-Zero Trust, אבל בפועל היא מתורגמת למדיניות ברורה יותר. למשל, משתמש יכול לקבל גישה למערכת פיננסית רק ממחשב ארגוני מנוהל. מנהל מערכת יכול להיכנס לכלי אדמיניסטרציה רק עם אימות רב-שלבי. וספק חיצוני יקבל הרשאה זמנית ומוגבלת במקום משתמש קבוע שנשאר פעיל חודשים.
זה לא אומר שכל ארגון צריך להחמיר באותה רמה. משרד עורכי דין, מרפאה, רשות מקומית וחברת סחר לא חיים באותו פרופיל סיכון. אבל הכיוון ברור: פחות אמון אוטומטי, יותר בדיקה רציפה.
אימות רב-שלבי כבר לא נחשב תוספת
אם בעבר MFA נתפס כהמלצה, היום הוא בסיס. לא בגלל טרנד, אלא בגלל המציאות. מתקפות רבות אינן מתחילות בפריצה מתוחכמת, אלא בסיסמה שנגנבה, נוחשה או דלפה. כשהגישה למייל, לענן ולמערכות עסקיות נשענת על סיסמה בלבד, נקודת הכשל ברורה מאוד.
החידוש הוא לא בעצם השימוש ב-MFA, אלא בדרך שבה ארגונים מיישמים אותו. יותר ויותר סביבות עבודה עוברות מאימות קבוע לכולם בכל כניסה, למדיניות חכמה יותר. במילים אחרות, אם עובד נכנס מהמחשב המוכר שלו במשרד, ייתכן שלא יידרש לאתגר נוסף בכל פעם. אם אותה התחברות מגיעה ממכשיר לא מזוהה או ממיקום חריג, רמת האימות תעלה מיד.
כאן יש גם שיקול תפעולי. אבטחה שאינה מתחשבת בחוויית המשתמש יוצרת התנגדות, עומס פניות לתמיכה ועקיפות מסוכנות. לכן ניהול זהויות נכון לא רק מחזק הגנה, אלא גם בונה תהליך שהעובדים באמת מסוגלים לעבוד איתו.
זהויות של עובדים, ספקים ומערכות – הכול צריך להיכנס לאותה תמונה
אחת הטעויות הנפוצות היא לחשוב שניהול זהויות מתייחס רק לעובדי הארגון. בפועל, ברוב הסביבות יש גם משתמשים חיצוניים, יועצים, טכנאים, ספקי תוכנה, חשבונות שירות ואינטגרציות בין מערכות. כל אחד מהם מייצר זהות, ולכל זהות כזאת יכולה להיות גישה למידע או למשאבים קריטיים.
לכן אחת ממגמות ניהול זהויות ארגוני הבולטות היא הרחבת המבט. לא עוד טיפול רק במשתמשי קצה, אלא ניהול מחזור חיים מלא של כל זהות בארגון. מי פתח את החשבון, למה הוא נדרש, לכמה זמן, באילו הרשאות, ומי בודק שהוא עדיין מוצדק.
הנקודה הזאת קריטית במיוחד בארגונים שצמחו מהר. פעמים רבות מגלים שם חשבונות שירות ישנים, משתמשי ספקים שלא בוטלו, והרשאות שניתנו זמנית אבל נשארו קבועות. אלה בדיוק המקומות שגורמים לבעיות קשות, לעיתים הרבה לפני שמישהו מבחין בכך.
אוטומציה של מחזור חיי המשתמש
אחד השינויים המשמעותיים ביותר הוא המעבר מניהול ידני לאוטומציה. במקום לפתוח משתמש חדש בכל מערכת בנפרד, יותר ארגונים מחברים בין קליטת עובד, תפקידו הארגוני ומערך ההרשאות שלו. כשהוא מצטרף, משתנה תפקידו או עוזב – ההרשאות מתעדכנות בהתאם.
זה נשמע כמו שיפור נוחות, אבל הערך שלו עמוק יותר. אוטומציה מקטינה טעויות אנוש, מקצרת זמני הקמה, ומצמצמת את הסיכוי שלעובד לשעבר תישאר גישה פעילה. בארגון שאין לו מחלקת IT גדולה, זה הבדל משמעותי מאוד. הוא מאפשר שליטה טובה יותר גם בלי להעמיס תהליכים ידניים על הצוות.
מצד שני, אוטומציה לא פותרת הכול מעצמה. אם מבנה התפקידים הארגוני לא ברור, או אם אין סדר בהרשאות הקיימות, אוטומציה עלולה פשוט להאיץ בלגן קיים. לכן לפני שמחברים תהליך, צריך להגדיר היגיון הרשאות סביר.
פחות הרשאות קבועות, יותר גישה לפי צורך
עוד מגמה חזקה היא מעבר למודל של Least Privilege – כל משתמש מקבל רק את מה שנחוץ לו, לא יותר. זה עיקרון ותיק, אבל רק בשנים האחרונות יותר ארגונים מצליחים ליישם אותו באופן מעשי, בזכות כלים מרכזיים לניהול זהויות והרשאות.
המשמעות היא שעובד במחלקת שירות לא צריך גישה למידע פיננסי מלא, ומנהל סניף לא חייב הרשאות על כל המערכות הארגוניות. במקרים רגישים יותר, גם אדמיניסטרטורים לא מחזיקים גישת-על קבועה, אלא מקבלים הרשאה זמנית לביצוע משימה ואז מאבדים אותה אוטומטית.
זו נקודה שכדאי לנהל בה איזון. אם מקטינים הרשאות בצורה אגרסיבית מדי בלי להבין את העבודה בפועל, נוצרים עיכובים ותלות מיותרת ב-IT. אם משאירים הרשאות רחבות מדי, נוחות העבודה באה על חשבון סיכון. ארגון בריא מחפש את האמצע המדויק, לא פתרון גורף.
ניהול זהויות ארגוני כחלק מתמונת הסייבר הכוללת
ניהול זהויות לא עומד לבד. הוא יושב על התפר שבין תחנות הקצה, הדואר הארגוני, אבטחת הענן, גיבוי, ניטור וגישה מרחוק. לכן יותר מנהלים מבינים היום שלא נכון לטפל בזה כפרויקט נקודתי, אלא כחלק מתשתית אבטחה ותפעול רחבה יותר.
למשל, אם למשתמש יש זהות מוגנת היטב אבל המחשב שממנו הוא עובד אינו מנוהל, נשאר פער. אם יש MFA אבל אין תהליך מסודר להסרת הרשאות מעובדים שעזבו, נשאר פער. ואם יש ניהול זהויות טוב אבל בלי תיעוד, התראות ובקרה שוטפת, הארגון עדיין עלול לגלות בעיה רק אחרי אירוע.
זו גם הסיבה שעסקים רבים מעדיפים לעבוד עם שותף IT שמסתכל על התמונה מקצה לקצה. לא רק על משתמש וסיסמה, אלא על כל שרשרת הגישה למידע הארגוני.
מה כדאי לבדוק כבר עכשיו בארגון
לא כל ארגון צריך להקים מערך IAM מורכב מהיום למחר. אבל כמעט כל ארגון יכול לשאול כמה שאלות פשוטות: האם יש רשימה מעודכנת של כל המערכות והמשתמשים, האם כל החשבונות הקריטיים מוגנים באימות רב-שלבי, האם תהליך עזיבת עובד מבטל גישה בכל המערכות, והאם יש הבדל ברור בין הרשאות של עובד רגיל, מנהל, ספק ואדמין.
אם התשובות חלקיות, זה לא חריג. בהרבה ארגונים הצמיחה קדמה לסדר. דווקא בגלל זה, שיפור בניהול זהויות יכול לייצר תוצאה מהירה יחסית – פחות סיכון, פחות תקלות, יותר שליטה. עבור עסקים שאין להם זמן להשבתות או לטעויות גישה, זה מהלך מאוד פרקטי.
ב-Tuzali אנחנו רואים שוב ושוב שניהול זהויות מוצלח לא מתחיל בכלי, אלא בהבנה עסקית של מי צריך גישה למה, ומה יקרה אם אותה גישה תישאר פתוחה בזמן הלא נכון.
מגמות ניהול זהויות ארגוני ימשיכו להתפתח, אבל הכיוון כבר ברור: יותר בקרה, יותר אוטומציה, פחות הרשאות מיותרות, ויותר חיבור בין אבטחה לתפעול יומיומי. ארגונים שיטפלו בזה בזמן לא רק יצמצמו סיכון – הם יעבדו בצורה מסודרת, מהירה ובטוחה יותר.