אירוע האבטחה האחרון בדיסני מדגים באופן דרמטי את החשיבות הקריטית של ניהול הרשאות מקצועי במסגרת שירותי IT מנוהלים. כאשר עובד לשעבר, מנהל תפריטים בכיר, הצליח לחדור למערכות החברה ולגרום לשיבושים משמעותיים, התברר כי הפרצה נבעה מכשל בסיסי בניהול מחזור החיים של הרשאות עובדים.
המקרה חושף פער משמעותי שקיים בארגונים רבים: בעוד שמשקיעים משאבים רבים בהגנה מפני איומי סייבר חיצוניים, לעיתים דווקא ניהול ההרשאות הפנימי – חלק בסיסי בשירותי IT מנוהלים – נותר פרוץ. בדיסני, ההרשאות של העובד לא הושבתו עם סיום העסקתו, מה שאפשר לו לבצע שינויים זדוניים במערכות התפריטים הדיגיטליים של החברה.
"האירוע ממחיש כיצד ניהול הרשאות לקוי יכול להוביל לנזקים משמעותיים", מסביר אלי כהן, מומחה אבטחת מידע ומנכ"ל y-tech. "כאשר ארגון מיישם שירותי IT מנוהלים מקצועיים, מערך ניהול ההרשאות כולל תהליכים אוטומטיים להקמה, עדכון וביטול הרשאות בזמן אמת, תוך סנכרון מלא עם מערכת משאבי האנוש."
הנזק שנגרם לדיסני חורג מעבר לשיבוש התפריטים: החל משינוי פונטים לג'יבריש, דרך הסרת אזהרות אלרגנים ועד להפניית קודי QR לתכנים פוליטיים. לחברה נדרשו שבועות ארוכים כדי לתקן את הנזקים, מה שמדגיש את העלות הגבוהה של כשלים בניהול הרשאות.
מומחי אבטחת מידע ממליצים על מספר צעדים קריטיים במסגרת שירותי IT מנוהלים:
– יישום מערכת IAM (Identity and Access Management) מתקדמת
– אוטומציה של תהליכי ניהול הרשאות
– סקירות תקופתיות של הרשאות קיימות
– אינטגרציה הדוקה בין מערכות HR ו-IT
– ניטור פעילות חריגה בזמן אמת
"בעידן הענן, כאשר העובדים מחוברים למערכות הארגוניות מכל מקום, ניהול הרשאות הפך למורכב יותר", מוסיף (ישראל ישראלי) יועץ IT בכיר. "שירותי IT מנוהלים מקצועיים מספקים את השכבה הקריטית של בקרה, ניטור ואבטחה שכל ארגון זקוק לה."
המקרה של דיסני מהווה תמרור אזהרה לכל ארגון: השקעה בשירותי IT מנוהלים, ובפרט בניהול הרשאות מקצועי, אינה מותרות – אלא הכרח אסטרטגי להגנה על נכסי החברה ופעילותה השוטפת.
