Automatisieren oder sonst: Wie man den Permission Wildwuchs zum jetzigen Zeitpunkt und für alle bekämpft
Veröffentlicht: 2022-01-11
Was nach oben geht, muss unten ankommen. Oder so geht der Ausdruck.
Die Ausnahme von der Regel scheint die Bandbreite der Eintrittsrechte zu sein, die sich in Ihrem Unternehmen häufen.
Da wir weiter auf zunehmend digitale Arbeitsmittel umstellen, wird das Angebot an Apps, Berechtigungen und Berechtigungen immer größer.
Wir sehen diesen Wahnsinn deutlich in der beschleunigten Bewegung in die Cloud mit erhöhten Einführungsgebühren von SaaS-, IaaS- und anderen XaaS-Umgebungen. Dies bedeutet, dass Unternehmen viel mehr denn je auf die Identität angewiesen sind, da sie für den Zugriff auf ihre Anwendungen und Mittel von entscheidender Bedeutung ist.
Auf der Unternehmensseite müssen wir unsere Organisationen dazu befähigen, mehr und schneller als je zuvor zu tun, um weiterhin auf globaler Ebene wettbewerbsfähig zu sein. Die Realität in den meisten Unternehmen ist, dass die Verbraucher viel mehr Strom als je zuvor haben, um sie mit Anwendungen und Daten mit hoher Wahrscheinlichkeit zu verbinden.
Aber mit exzellenter elektrischer Leistung geht eine fantastische Verantwortung einher.
Das Ausführen von weitaus mehr Identitäten mit viel mehr Zugriff bedeutet zusätzliche Herausforderungen der Kompromittierung und einen größeren Bedrohungsbereich, der gesichert werden muss. Im Jahr 2021 wissen Unternehmen, dass sie mit diesen Identitäten umgehen müssen, aber die Komplexität des Szenarios ist längst über das Stadium hinaus, in dem es mit Legacy-Tools und manuellen Prozessen praktikabel bleibt.
Unser Hindernis ist die Tatsache, dass wir auch viel mehr Zugriff auf Geräte und Daten mit Benutzern außerhalb unseres Unternehmens teilen, wodurch wir unsere Ressourcen für eine wertvolle Zusammenarbeit verfügbar machen, obwohl wir eine Bedrohung durch eine ständig wachsende Gefahrenstufe einführen.
In einigen Fällen frage ich mich, ob jemand überhaupt verfolgt, ob Endbenutzer außerhalb des Hauses der Organisation den Zugriff auf diese Objekte lange Zeit behalten, nachdem sie einen seriösen Grund dafür haben?
Angesichts des hier aufgeführten Umfangs und der Komplexität, die verwaltet werden müssen, bleiben uns noch einige Punkte, über die Unternehmen nachdenken müssen, wenn sie auch in Zukunft sicher und konform bleiben wollen.
Alles automatisieren
Vor 2020 und bevor der Betrieb von zu Hause aus allgegenwärtig wurde, hatten sich mittelständische Anbieter Berichten zufolge derzeit auf gängige 137 SaaS-Anwendungen wie Salesforce und O365 beworben. Diese Vielfalt ist für Unternehmen mehr als doppelt so hoch und umfasst nicht die Auswahl von Infrastruktur- und anderen XaaS-Cloud-Unternehmen, die mehr als die Art und Weise, wie der Betrieb abgeschlossen ist, übernommen haben.
Den Überblick über alle Identitäten und Berechtigungen zu behalten, die mit diesen Anwendungen verbunden sind, ist eine Sysaphean-Aktivität neben dem Ideal von Instanzen. Und es ist geradezu unerreichbar, es manuell auszuführen.
Gleichzeitig nimmt der Umfang des Unternehmens zu, und das kompetente Schutzfachwissen, das erforderlich ist, um die Lehre weiter auf Kurs zu halten, ist ständig unterbesetzt. Selbst in Unternehmen, in denen sich heute Mitarbeiter um die Verwaltung der IAM-Stabilität kümmern, übersteigt die Größenordnung die Fähigkeit jedes Teams, seine Gruppe weiterhin zu schützen und konform zu halten.
Die großartige Information ist, dass jedes Unternehmen zu schätzen weiß, dass es automatisieren muss. Die Frage ist nicht ob, sondern wie weit können wir gehen?
Wir sehen dieses Hindernis immer wieder, wenn wir Meinungen einholen. Seit einiger Zeit sind Alternativen auf dem Markt, die Vorbereitungs- und Regulierungsstrategien ermöglichen. Aber diese Instrumente sind zwar eine Verbesserung, erfordern jedoch weiterhin umfangreiche menschliche Gespräche, um den Überblick über die persönlichen Fachleute zu erlangen und fast alle Berechtigungen auf ihrer Checkliste zu genehmigen.
Unser Ziel sollte es sein, so gut wie alles Mögliche zu automatisieren und nur einen menschlichen Entscheidungsträger für die wirklich groben Anrufe bereitzustellen, bei denen wir nicht in der Lage sind, Geschäftsversicherungen zu entwerfen, um genau festzulegen, wer wirklich Zugang zu was haben soll. Die Automatisierung einfacher Schlussfolgerungen zu Ansprüchen sollte wirklich unser Standard sein – insbesondere, wenn wir die Fakten haben, die notwendig sind, um Menschen bereits Alternativen in die Arme zu schieben.
Seien Sie kontinuierlich
Wir müssen uns von der Einstellung „Zeitpunkt ist gut genug“ lösen. Wenn Sie Ihren Identitätsmanagementplan nicht auf einer konstanten Grundlage ausarbeiten, setzen Sie sich vermeidbaren Sicherheits- und Compliance-Lücken aus.
Wenn zum Beispiel ein Mitarbeiter die Gruppe verlässt, aber nicht sofort gründlich aus dem Unternehmen ausgegliedert wird, öffnen Sie ihm ein Fenster, um wertvolle Daten zu stehlen oder zu zerstören. Ebenso kann das Versäumnis, überprivilegierte Identitäten oder Änderungen an Administratorkonten zu entdecken, wenn sie in Echtzeit auftreten, zu sehr ähnlichen Problemen führen.
Gewünscht sind Leitplanken, die immer wieder auf Verfahrensverstöße prüfen und einen Workflow automatisch rechtzeitig anstoßen können, damit die Maßnahmen effizient sind. Leitplanken können bei modernen Autos wie ein Spurhalteassistent wirken. Sie geben Ihrem Unternehmen einen Hinweis darauf, dass etwas Schlimmes passieren könnte, und erlauben Ihnen zu entscheiden, wie und wann Sie Maßnahmen in Betracht ziehen.
Nicht jeder Zugriff ist gleich
In der jederzeit erweiterbaren Cloud-Umgebung können Sie den Zugriff auf alle Apps und Daten einfach nicht genau steuern. Sie werden einfach zu viel Zugänglichkeit finden, um sie zu verwalten.
Entscheidend ist der Fokus und die Mittel zur Priorisierung.
Wissen Sie, wo Ihre Vermögenswerte am meisten gefährdet sind und regulieren Sie diese frühzeitig. Früher hat niemand öffentliche Fakten in einen Aktenschrank gesperrt, und die Wahrheit über digitales Wissen ist real. Durch das Verständnis der Anwendungen und des Wissens über lebenswichtige Gefahren der Organisation können Sie die Kontrollen in diesen Regionen priorisieren und darauf abzielen.
Zeit für eine Veränderung
Jetzt ist es an der Zeit, ein Gespräch darüber zu beginnen, wie Sie die ständig steigenden Mengen an digitalen Einträgen in Ihrem Unternehmen kontrollieren können. Und vernachlässigen Sie wirklich nicht, Dinge wie Wirtschaftsprüfer und Aufsichtsbehörden als Element der Taktik zur Umstrukturierung der Kontrollen und der Compliance-Berichterstattung Ihrer Organisation einzubeziehen.
Der Status quo ist nicht länger angemessen. Als Eingangszeugnisse zu einem Element der Compliance-Checkliste wurden, verwalteten Unternehmen nur noch eine begrenzte Auswahl an Mitteln. Jetzt gibt es den Druck, fast alles zu kritisieren, ob es sich um ein „hochwertiges“ Gut handelt oder nicht.
Außerdem haben mich ein paar Personen, die sich mit diesen Strategien befassen, darauf hingewiesen, dass der einzige Weg, sie rechtzeitig fertigzustellen, darin besteht, die Gutachter im gesamten Vorstand „abzusegnen“. Wenn der einzige Weg, konform zu sein, darin besteht, die Funktion des Trainings zu besiegen, dann wissen wir, dass sich etwas verändern muss.
Durch die Investition in Lösungen, die in der Lage sind, den größten Teil der Arbeitsbelastung selbst zu bewältigen, können Prüfer ihre Initiativen auf die Aufgaben und Entscheidungen ausrichten, die ihre Aufmerksamkeit am meisten verdienen.
Mehr noch als der lange Lauf müssen die Erwartungen der Prüfer an die Bedingungen auf dem Parkett angepasst werden. Das bedeutet, weg von den regelmäßigen, manuellen Verfahren, Screenshots und Tabellenkalkulationen hin zu einer intelligenteren, automatischen Methode, auf die Prüfer vertrauen können.
Paul Trulove, Berater, Autorisieren