Axiomatics – Autorització dinàmica


Controlar l’accés a les aplicacions i les dades emmagatzemades d’una organització és fonamental ja que les dades esdevenen més importants i valuoses com a recurs. Tot i que existeixen moltes solucions per protegir dades, sovint es basen només en rols i contrasenyes d’usuari per permetre l’accés. Niklas Jakobsson, director general d’Axiomatics, explica per què l’autorització dinàmica, que situa les sol·licituds d’accés en un context, és fonamental per assegurar l’accessibilitat i la usabilitat de les dades.

Expliqueu-nos sobre l’axiomàtica i com vau participar amb la tecnologia d’autorització.

Axiomatics es va fundar el 2006 i avui és líder en la possibilitat de transformar digital i ciberseguretat amb autorització dinàmica. Les nostres oficines estan a Estocolm i Chicago, però la nostra base de clients és realment global, incloses les empreses i governs Fortune 500.

Personalment, he estat involucrat en la tecnologia de programari des de fa més de 15 anys en diverses funcions, incloses més recentment com a gestor de país per a CA. Fa uns anys i mig em vaig portar a l’Axiomatics com a conseller delegat.

Hi ha molts tipus diferents de productes d’autorització al mercat. El que és únic de l’Axiomàtica?

El que ens fa únics és que estem al costat de l’autorització de la protecció de dades. La nostra solució atorga (o nega) accés als usuaris a aplicacions o dades específiques fent preguntes – qui, què, on, com i similars – per autoritzar no només la persona, sinó el context de la sol·licitud d’accés. La nostra tecnologia utilitza informació com ara l’ordinador que s’utilitza per accedir a les dades, la ubicació de l’usuari, l’hora del dia i similars per entendre si la sol·licitud s’ajusta a la política d’accés que una empresa o organització ha establert..

Essencialment hem desenvolupat un mètode ràpid i dinàmic d’escriure polítiques de manera progressiva mitjançant qui, què, quan i on paràmetres. Aquest llenguatge de política s’anomena eXtensible Access Control Markup Language (XACML), ara és publicat i mantingut per OASIS que es compromet a “avançar els estàndards oberts per a la societat de la informació”.

Parli’ns de l’ABAC: de què es tracta i per què és diferent

El control d’accés regular es basa en quin paper té un usuari i en les seves credencials bàsiques. El paper és el que determina què podeu fer i veure en un portal determinat. Per contra, el control d’accés basat en atributs (ABAC) utilitza paràmetres contextuals com ara el nom, la ubicació, el temps, el projecte, els actius, la puntuació de crèdit, tant si l’empresa ha fet negocis amb vosaltres, com altres. El model en sí és clau aquí i aquest és el repte per als clients. Cal que els permisos siguin massa complexos, però alhora, creeu un context suficient, a través de diversos atributs i valors, per poder controlar de forma efectiva qui té accés a què i quan.

Quines són algunes de les verticals que es tracten i els reptes que plantegen?

Treballem a través de diverses verticals. Al món bancari i financer, teniu marcs normatius complexos sobre què es poden compartir dades de clients amb tercers i sovint l’accés a aquesta informació ha de restringir-se a determinades persones en determinats moments. Per exemple, és possible que no vulgueu que un empleat del banc, que normalment té accés a diversos comptes mentre treballa, tingui accés a aquesta mateixa informació quan inicieu la vostra sessió de vacances a Hawaii. Ens assegurem que les persones només accedeixen a les dades en el moment adequat en el context adequat.

Un altre exemple és un empleat federal que pot canviar unitats temporalment dins d’una agència. Això vol dir que han canviat les dades que eren rellevants per a ell. Amb la nostra tecnologia, quan canvieu, els vostres permisos canvien. L’assistència sanitària també és una vertical important, donada la quantitat massiva de dades que cal accedir per tractar pacients, realitzar proves i més. Per exemple, les reclamacions d’inversió de les agències d’assegurances necessiten accés a dades rellevants específiques sobre demanda.

Quin impacte creu que tindrà el Reglament general de protecció de dades (GDPR)?

GDPR és un primer instrument per a moltes coses. Molts proveïdors estan intentant agafar una peça d’aquest mercat i crec que veureu diferents venedors fent un tomb sobre això. Al final del dia, GDPR es tracta de protegir i manejar les dades personals de manera responsable i retornar el poder a les persones per gestionar les seves dades. El que proporcionem és la possibilitat que algú d’instruir l’accés a aquestes dades en temps real de manera que si una font externa vol accedir a les vostres dades, continueu controlant si la reben..

Quins són els riscos associats a la dispersió extensiva de les dades entre gran nombre de plataformes i usuaris?

Tot i que existeixen moltes opcions de seguretat, mai no podreu evitar els incompliments de contrasenyes. El que han de fer les empreses és mirar l’accés que tenen els usuaris als llacs de dades, big data, que és el veritable oest salvatge del desenvolupament d’aplicacions. Teniu llacs massius de dades fàcilment accessibles per a molts usuaris i, sens dubte, començarem a veure moltes infraccions a aquests llocs de dades durant els pròxims anys. No n’hi ha prou amb col·locar-hi una “tanca de seguretat” i suposar que les vostres dades estiguin segures. Més aviat, s’han de posar en pràctica polítiques intel·ligents de manera que, per exemple, una API no només pugui fer controls d’accés de curtcircuit.

Quins són els reptes i tendències més significatius que veieu en aquest sector?

El repte número 1 és la consciència. No és fàcil veure les coses des d’una perspectiva externa i comprendre quines són les seves vulnerabilitats. Encara que ho entengueu, protegir les dades normalment requereix un equilibri entre usabilitat i accessibilitat. Tanmateix, si enteneu les amenaces, podeu posar controls (des de la biomètrica fins a l’autorització dinàmica) que protegeixen les vostres dades, però permeten a les persones adequades un nivell d’usabilitat acceptable..

Pel que fa a les tendències, n’hi ha alguns que en podem parlar. Una és que tot va a la digital, ja siguin empreses modernes o empreses més antigues, i això significa que es comparteixen i accedeixen més dades per part de més parts. A més, veieu que cada cop són més les empreses que s’estan traslladant a una arquitectura de microserveis i al desenvolupament d’aplicacions descentralitzat. És allà on som com a proveïdor extern que crea una autorització d’accés a dades més ràpida i segura.

També veiem que des de la perspectiva d’un client o usuari, les coses canvien ràpidament. A causa de l’escàndol de Cambridge Analytica, el valor de Facebook va caure durant la nit i continua caient. Incidents com aquest suposaran que la gent vulgui o desitgi supervisar les seves dades, inclòs qui hi accedeixi. Si bé, òbviament, GDPR ja estava previst que es pogués implementar abans que esclatés l’escàndol, però realment estava impulsant la tendència del consumidor de major interès i necessitat de major privacitat de les dades.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map