Prihlásenie do informačného systému často vnímame ako technickú samozrejmosť. Zadáme meno, heslo a pokračujeme v práci. V skutočnosti však ide o jedno z najdôležitejších bezpečnostných rozhodnutí, ktoré organizácia robí. Zle nastavené prihlasovanie môže viesť k neoprávneným zásahom, spochybneniu rozhodnutí aj k vážnym bezpečnostným incidentom.
Jednotný metodický rámec prináša do tejto oblasti jasný a praktický pohľad. Dobre nastavené prihlásenie má byť primerané riziku, zdokumentované a kontrolovateľné. Nie zbytočne komplikované, ale ani podcenené.
Autentifikácia a autorizácia: dve rôzne otázky
V praxi sa tieto pojmy často zamieňajú, no ich význam je zásadne odlišný. Autentifikácia odpovedá na otázku, kto sa prihlasuje. Autorizácia zase určuje, čo môže používateľ po prihlásení robiť.
Ak zlyhá jedna z týchto častí, celý systém sa stáva rizikovým — bez…
