Консалтинг и автоматизация в области управления
эффективностью банковского бизнеса

Журнал ВРМ World

Безопасна ли ваша среда Business Intelligence?

Многие компании не придают значения вопросам безопасности, игнорируя тот факт, что архитектурные компоненты Business Intelligence (BI) таят в себе "определенную опасность". Обеспечение безопасности BI-среды не менее важная задача, чем защита операционных приложений.

События прошедшего года показали насущность вопросов безопасности и неприкосновенности личности. Многие компании принимают меры по защите своих работников и корпоративной собственности, эта тенденция не обошла стороной и IT-отделы: задачи обеспечения защищенности систем и конфиденциальности информации приобрели первостепенное значение.

Первое, на что устремлен взор IT-специалиста при решении этой проблемы, это операционные приложения. Данные программы являются своеобразным основанием, на котором функционирует бизнес, и любая неисправность, сбой в этих системах будет иметь катастрофические последствия. К сожалению, многие компании отказываются распространить требования по обеспечению безопасности и на область Business Intelligence. Как правило, BI-среда содержит полную и точную информацию, которая охватывает все предприятие - такая информация является бесценным достоянием, сохранность которого имеет огромное значение. Так почему же столь ничтожное количество компаний придает этому вопросу должное внимание, едва ли сопоставимое с той тщательностью, с которой организации подходят к обеспечению защиты своих операционных приложений?

Необходимость безопасности систем оперативной обработки транзакций (On-Line Transaction Processing, OLTP) осознается большинством компаний. Особенность реализации этой задачи для OLTP-приложений заключается в том, что она хорошо поддается структуризации и является статичной (определенные приложения каждый раз одинаковым образом обращаются к определенным данным). Круг пользователей весьма ограничен - это работники с определенными бизнес-функциями, которые работают с приложениями и данными, которые касаются только их поля деятельности. Кроме того, физическая структура этих приложений также остается довольно постоянной. Инструментальные средства и базовая структура данных меняются нечасто.

Среда Business Intelligence и Хранилищ данных, наоборот, характеризуется значительной динамичностью вкупе с широкой и часто меняющейся пользовательской аудиторией, причем пользователи могут быть как внутренними, так внешними. В такой ситуации гораздо сложнее (а иногда и практически невозможно) распределить пользователей по подмножествам данных; особенно это касается BI-приложений высокого порядка, как, например, решения управления эффективностью корпорации (corporate performance management), где окончательная информация получается посредством изучения данных всего предприятия. Помимо этого, физическая структура этой среды часто является неясной: в нее устанавливается множество различных средств, а сами данные пребывают в постоянном движении (из Хранилища данных в витрины данных и на пользовательские машины). В результате, мероприятия по обеспечению безопасности корпоративной информации обходят стороной BI и Хранилища данных.

Для того, чтобы гарантировать защищенность BI-среды, компании должны в первую очередь выполнить задачи безопасности, возникающие на уровне отдельных компонентов BI-оболочки (см. рисунок 1).



Рис. 1. Безопасность и BI-оболочка

Каждый из основных компонентов BI-оболочки имеет "свою степень риска" и для обеспечения безопасности каждого компонента потребуется реализовать различные подходы (и различные технологии). Это крайне непростая задача, и, пожалуй, наибольшую сложность представляют "пробелы" между компонентами. Ведь BI-оболочка никогда не поставляется как одним поставщиком, так и в виде одной технологии, а бесшовная интеграция между компонентами невозможна. Более того, именно то, как компоненты работают друг с другом, и то, как информация проходит между ними, и образует "точки риска". Сама суть Business Intelligence подталкивает бизнес-пользователей к расширению доступа к данным и контроля над ними. Поэтому необходима жесткая политика по защите информации, которая должна помочь "залатать дыры", созданные многочисленными, полуинтегрированными технологическими компонентами, а также минимизировать огромный риск, присущий человеческому фактору.

Сами данные

Данные в Хранилище, витринах и операционных складах данных создают условия для осуществления всей BI-деятельности и, как правило, включают гигантские объемы детальных, транзакционных данных. Поскольку они часто отображают длительный отрезок времени, относящейся к истории существования компании, как, например, финансовая информация, обеспечение защищенности таких данных чрезвычайно важно. При рассмотрении задач безопасности данных следует задаться следующими вопросами:

  • Кто располагает доступом к Хранилищу, витрине данных, кубам и так далее?
  • Каковы рамки их доступа: одна предметная область, множество предметных областей или все области?
  • Каким типом доступа они обладают, например, только чтение или возможность модификации?

Топология данных в BI-среде влияет на возможности доступа к данным и обеспечение безопасности. Во многих компаниях результаты запросов часто загружаются на индивидуальные машины с целью дальнейшей детализации и использования. Эти данные оказываются в витринах данных, настольных базах данных или крупноформатных электронных таблицах и быстро оказываются вне пределов инфраструктуры безопасности IT-отдела, хотя по-прежнему сохраняют свою конфиденциальную сущность. При рассмотрении топологии данных с точки зрения безопасности необходимо изучить следующие вопросы:

  • Насколько распределенной является архитектура данных, поддерживающая BI.
  • Имеется ли дополнительное распределение данных и, если да, то каковы связанные с ним риски.
  • Что делают пользователи с загружаемыми данными.
  • Передают ли пользователи данные внешним партнерам.

Процесс сбора данных

Обычно процесс сбора и подготовки данных для BI-среды очень сложный и "непрочный". Огромное число источников данных и значительное разнообразие данных приводят к многоступенчатым процессам, в которых данных интерактивно собираются и преобразуются для загрузки в Хранилище данных. Данные, подвергающиеся как процессу сбора, так и преобразования, также образуются "точки риска".

  • Кто располагает доступом к средствам извлечения данных из операционных систем?
  • Где находятся данные, пребывающие в процессе сбора, перед тем как оказаться в Хранилище данных, и кто имеется доступ к этой области?
  • Какова логика преобразования, безопасность которой реализуется в средствах извлечения, преобразования и загрузки (ETL)?
  • Если никакие средства не используются, то, какова защита ETL-процессов, написанных пользователем, от несанкционированных модификаций?

Пользовательские средства запроса/репортинга и BI-приложения

BI-средства и аналитические приложения - это в первую очередь механизмы, предназначенные для доступа к данным в Хранилище данных. Такие средства часто приобретались в большом количестве с целью широкого и глубокого развертывания BI по всему предприятию. Эти инструменты представляют особую ценность только для конечного числа пользователей, и их нахождение в "не тех руках" представляет серьезную опасность.

  • Кто располагает разрешением на использование средств запроса и репортинга?
  • Назначен ли каждому пользователю личный ID?

Появление и развитие BI-приложений для электронной коммерции по схеме "бизнес-бизнес" (business-to-business) и "поставщик-покупатели" (business-to-consumer) усилили насущность вопросов безопасности.

  • Насколько свободно ваши клиенты и поставщики обмениваются предоставленной им информацией в рамках своих предприятий?
  • Предоставляют ли они ее своим внешним акционерам?
  • Не может ли эта информация попасть в руки ваших конкурентов?

Политика информационной безопасности

Корпоративная политика информационной безопасности часто не затрагивает информации, которая хранится, анализируется и поставляется посредством BI-приложений. Поскольку BI усиливает доступность к информации, часто передавая ее в непосредственное распоряжение бизнес-пользователей, информация быстро оказывается вне пределов инфраструктуры безопасности IT-отдела. Поэтому при формировании корпоративной политики информационной безопасности необходимо рассмотреть следующие вопросы.

  • Учитывает ли корпоративная политика безопасности специфику IT.
  • Имеются ли области значительного риска, которые могут быть устранены посредством такой политики.
  • Затрагивает ли правительственные постановления информацию, которая хранится, анализируется и представляется BI-среде.
  • Не нарушают ли текущие или планируемые BI-мероприятия эти постановления.