Projekt ruszył w poniedziałek. Zespół złożony z przedstawicieli marketingu, IT, działu zakupów, PR i komunikacji, którzy rozsiani są między Warszawą, Krakowem i Wrocławiem – zaczyna pracę nad uruchomieniem nowego produktu. Pierwsze pytanie pojawia się jeszcze przed pierwszym spotkaniem. Kto ma dostęp do konta na Adobe Stock? Kto zna hasło do Google Analytics? Jak specjalista z Krakowa ma się dostać do panelu CMS, skoro hasło zna tylko account manager z Warszawy?
W środowisku jednolokalizacyjnym te pytania rozwiązują się na korytarzu. W środowisku rozproszonym – przez e-mail, Slacka lub telefoniczne dyktowanie hasła. Każde z tych rozwiązań jest gorsze od braku rozwiązania, bo generuje niekontrolowane kopie poświadczeń rozsianych po skrzynkach, historii czatów i notatkach na urządzeniach prywatnych.
Środowisko projektowe angażujące wiele działów i lokalizacji to szczególny przypadek zarządzania dostępami. Nie dlatego, że jest wyjątkowo skomplikowane technologicznie, ale dlatego, że z natury łączy osoby o różnym podejściu do bezpieczeństwa, operujące w różnych warunkach, nad wspólnymi zasobami, którymi nikt wcześniej nie zaplanował centralnie zarządzać.
Dlaczego środowisko międzydziałowe jest szczególnie trudne do zarządzania
Różne działy, różne nawyki bezpieczeństwa
Dział IT ma procedury. Dział marketingu ma terminy. Te dwa światy zderzają się w środowisku projektowym i zazwyczaj wygrywa presja czasu. Specjalista SEM potrzebuje dostępu do konta reklamowego klienta natychmiast, nie po przejściu przez formalny wniosek dostępowy. Grafik potrzebuje loginu do banku zdjęć przed prezentacją za dwie godziny. Koordynator PR musi zaktualizować profil w mediach społecznościowych, zanim wiadomość się zdezaktualizuje.
W każdym z tych przypadków impuls jest ten sam, a najszybszym rozwiązaniem jest poproszenie kogoś o hasło przez komunikator. W każdym z tych przypadków efektem jest nowa, niekontrolowana kopia poświadczenia poza jakimkolwiek systemem zarządzania.
Rozproszone lokalizacje
W biurze jednolokalizacyjnym hasło można przekazać osobiście, bez śladu w systemach komunikacji. W środowisku rozproszonym każde przekazanie dostępu zostawia ślad – w historii e-maila, w archiwum Teams, w eksporcie Slacka. Ten ślad nie jest zarządzany, nie wygasa i nie znika po zakończeniu projektu.
Niezatwierdzone narzędzia komunikacji i nieformalne kanały udostępniania danych to jeden z głównych wektorów ryzyka w rozproszonych teamach (Venn) – szczególnie, gdy dział IT nie ma wglądu na to, jak dane przepływają między lokalizacjami.
Wspólne zasoby – jedno konto, wielu użytkowników
Projekty angażujące wiele działów operują na zasobach współdzielonych: bankach zdjęć z licencją firmową, narzędziach analitycznych z jednym kontem, platformach do zarządzania treścią, panelach mediów społecznościowych i systemach e-mail marketingu. Każde z tych narzędzi ma jedno konto. Co więcej, każde z tych kont musi być dostępne dla kilku lub kilkunastu osób jednocześnie.
Dane SQ Magazine pokazują, że przeciętny pracownik zarządza 87 służbowymi hasłami, a 76% firm wciąż opiera się na tradycyjnym uwierzytelnianiu hasłami bez dedykowanego menedżera haseł. W środowisku projektowym liczba aktywnych poświadczeń przypadających na jedną osobę jest zwykle wyższa niż średnia – i rośnie z każdym kolejnym narzędziem włączonym do projektu.
Jak powinien wyglądać cykl życia dostępów w projekcie
Menedżer haseł, jako centralny system zarządzania dostępami zmienia obraz efektywnej współpracy, która idzie w parze z bezpieczeństwem. Poznaj sześć kroków opisujących kompletny cykl życia dostępów w projekcie zespołu międzydziałowego z perspektywy perc.pass.
Krok 1: Powołanie grupy projektowej: administrator tworzy grupę współdzieloną
W momencie startu projektu administrator lub project manager tworzy dedykowaną grupę współdzieloną w perc.pass i nadaje jej nazwę odpowiadającą konkretnemu projektowi. Do grupy trafiają wszystkie poświadczenia związane z projektem: konta narzędzi analitycznych, platformy kreatywne, systemy CMS, panele reklamowe.
Grupa jest przypisana do konkretnego projektu – nie do konkretnych osób. To istotna różnica, ponieważ zasoby należą do projektu, a dostęp do nich jest zarządzany przez przynależność do grupy, a nie przez ręczne i niekontrolowane przekazywanie haseł.
Krok 2: Przydzielenie ról i poziomów dostępu
Do grupy współdzielonej właściciel przypisuje użytkowników ze zdefiniowanymi uprawnieniami. Nie każda osoba w projekcie potrzebuje dostępu do każdego narzędzia i nie każda powinna mieć możliwość zmiany hasła.
Każdy widzi wyłącznie to, czego potrzebuje. Ten krok nie wymaga tworzenia osobnych grup dla każdej roli. Wystarczy jedna operacja przypisania podczas onboardingu każdej osoby do projektu.
Krok 3: Udostępnienie hasła
Grafik z Wrocławia potrzebuje dostępu do Adobe Stock, ale nie przynależy do organizacji. W perc.pass można wygenerować jednorazowy link ograniczony czasowo, aby bezpiecznie przekazać dane dostępowe. A dzięki dodatkowemu zabezpieczeniu go hasłem mamy gwarancję, że nie trafią w niepowołane ręce. Dostęp jest funkcjonalny, a hasło pozostaje pod kontrolą organizacji.
Krok 4: Aktualizacja hasła
Platforma e-mail marketingowa wymaga zmiany hasła po 90 dniach. PM aktualizuje hasło we współdzielonej grupie projektowej. Wszyscy przypisani do niej użytkownicy mają dostęp do aktualnych danych automatycznie – bez e-maila do całego zespołu, bez ryzyka, że ktoś przez tydzień będzie próbował zalogować się starym hasłem i zablokuje konto.
W środowisku rozproszonym ta operacja zastępuje kilka e-maili i potwierdzeń. Oszczędza czas operacyjny i eliminuje okno wypełnione chaosem między zmianą hasła a momentem, gdy wszyscy w zespole mają jego nieaktualną wersję
Krok 5: Zmiana składu zespołu
Specjalista SEM z Krakowa kończy swój udział w projekcie po trzech miesiącach. Administrator usuwa go z grupy projektowej jedną operacją. Dostęp do Google Ads, Google Analytics i wszystkich innych zasobów projektowych, do których był przypisany, wygasa natychmiast. Bez resetowania haseł, bez powiadamiania pozostałych członków zespołu, bez przerwy w dostępności narzędzi dla innych.
Nowy grafik dołącza do projektu w połowie kampanii. Administrator przypisuje go do grupy z uprawnieniami, które odpowiadają jego roli. Od tej chwili ma dostęp do wszystkich narzędzi kreatywnych. bez czekania na e-maila z hasłem, bez pytania kolegów, bez ryzyka, że dostęp dotrze do niego przez niekontrolowany kanał.
Krok 6: Zamknięcie projektu
Projekt zakończony. Grupa projektowa może zostać zarchiwizowana lub usunięta – w zależności od polityki organizacji. Historia operacji pozostaje zachowana: kto, kiedy i do jakich zasobów miał dostęp przez cały czas trwania projektu.
Dokumentacja ma wartość operacyjną w przypadku pytania o to, kto modyfikował dane w Google Analytics w konkretnym tygodniu oraz wartość regulacyjną w dłuższej perspektywie. Na przykład, kiedy organizacja jest poddawana audytowi lub musi wykazać rozliczalność w kontekście RODO czy NIS2.
Jeśli chcesz zarządzać dostępami w projekcie międzydziałowym łatwo i bezpiecznie – przetestuj perc.pass w bezpłatnym okresie trial.