Automatizar o de lo contrario: cómo derrotar la expansión de permisos en el momento y para todos
Publicado: 2022-01-11
Lo que sube tiene que llegar abajo. O eso dice la expresión.
La excepción a la regla parece ser el rango de derechos de entrada que se acumulan en su corporación.
A medida que continuamos transfiriéndonos a medios cada vez más digitales para hacer el trabajo, la gama de aplicaciones, derechos y permisos solo se encamina a mejorar.
Vemos esta locura claramente en el movimiento acelerado hacia la nube con tarifas de adopción ampliadas de SaaS, IaaS y otros entornos XaaS. Esto significa que las empresas dependen mucho más que nunca de la identidad como la clave para acceder a sus aplicaciones y medios.
En el lado empresarial, debemos capacitar a nuestras organizaciones para que hagan más y con mayor velocidad que nunca antes de comprar para seguir siendo competitivos en un escenario global. La realidad en la mayoría de las empresas es que los consumidores tienen más energía que nunca para conectarse a aplicaciones y datos de alta probabilidad.
Pero con una excelente energía eléctrica viene una fantástica responsabilidad.
Ejecutar muchas más identidades con mucho más acceso significa desafíos adicionales de compromiso y un área de amenaza más amplia que debe protegerse. En 2021, las empresas saben que tienen que manejar estas identidades, pero la complejidad del escenario ya pasó la etapa de permanecer viable con herramientas heredadas y procesos manuales.
La introducción a nuestro obstáculo es el hecho de que también estamos compartiendo mucho más el acceso a los dispositivos y la información con usuarios fuera de nuestras empresas, exponiendo nuestros activos para una valiosa colaboración aunque introduciendo una amenaza de un nivel de peligro cada vez mayor.
En algunos casos, me pregunto si alguien incluso está rastreando si los usuarios fuera de la casa la organización mantienen el acceso a esta propiedad mucho tiempo después de que tengan alguna razón acreditada para hacerlo.
Dada la escala y la complejidad que se debe administrar que se enumeran aquí, todavía nos quedan algunos puntos importantes en los que las empresas deben pensar si es probable que se mantengan seguras y en cumplimiento en el futuro.
Automatiza cada cosa
Antes de 2020 y antes de que operar desde casa se convirtiera en algo omnipresente, los proveedores de tamaño mediano habían solicitado actualmente 137 aplicaciones SaaS comunes como Salesforce y O365. Ese número es más del doble para las empresas y no incluye la selección de infraestructura y otros servicios en la nube XaaS que han tomado más de la forma en que se completa el funcionamiento.
Preservar el seguimiento de todas las identidades y permisos vinculados con estas aplicaciones es una actividad de Sysaphean bajo el ideal de instancias. Y es francamente inalcanzable ejecutarlo manualmente.
Al mismo tiempo, la escala de la empresa está aumentando, la experiencia de protección competente necesaria para continuar manteniendo la enseñanza en las pistas constantemente carece de recursos. Incluso en las empresas que hoy en día tienen personas dedicadas a administrar la estabilidad de IAM, la escala supera la capacidad de cualquier equipo para continuar manteniendo a su grupo protegido y en cumplimiento.
La buena noticia es que todas las empresas aprecian que tienen que automatizar. La cuestión no es si, sino hasta qué punto podemos avanzar.
Vemos este obstáculo una y otra vez con opiniones obtenidas. Las alternativas han estado en el mercado desde hace algún tiempo que permiten preparar y regular las estrategias. Pero estas herramientas, si bien son una mejora, continúan requiriendo una conversación humana sustancial para adquirir la visión general de los profesionales personales y aprobar casi todos los derechos en su lista de verificación.
Nuestro objetivo debería ser automatizar casi todo lo que se pueda lograr y solo contar con un tomador de decisiones humano para las decisiones muy difíciles en las que no podemos diseñar pólizas comerciales para establecer correctamente quién debería tener acceso a qué. Automatizar las conclusiones de derechos simples realmente debería ser nuestro valor predeterminado, especialmente cuando tenemos los hechos necesarios para impulsar las alternativas de las personas que ya están en nuestros brazos.
ser continuo
Tendremos que alejarnos del "momento en el tiempo" que es un estado de ánimo "suficientemente bueno". Si no está trabajando en su plan de administración de identidad sobre una base constante, entonces lo está abriendo a brechas de seguridad y cumplimiento que se pueden prevenir.
Por ejemplo, si un miembro del personal deja el grupo pero no se elimina completamente de inmediato, entonces se abre una ventana para que roben o destruyan información valiosa. Del mismo modo, no descubrir identidades con privilegios superiores o alteraciones en las cuentas de administrador cuando ocurren en tiempo real puede conducir a problemas muy similares.
Lo que se necesita son barandillas que verifiquen repetidamente las violaciones de los procedimientos y puedan iniciar un flujo de trabajo automáticamente a tiempo para que las acciones sean eficientes. Las barandas pueden actuar como una advertencia de cambio de carril en los automóviles modernos. Le dan a su negocio un aviso de que algo malo podría ocurrir y le permiten decidir cómo y cuándo considerar la acción.
No todos los accesos son iguales
En la configuración de nube que se expande en cualquier momento, simplemente no puede controlar el acceso a todas las aplicaciones y datos de la manera exacta. Encontrará simplemente demasiada accesibilidad para administrar.
Lo crucial es el enfoque y los medios para priorizar.
Conozca cuáles son sus activos de mayor peligrosidad y regístrelos inicialmente. En el primero, nadie encerró la información pública en un archivador y lo mismo es cierto de los datos digitales. Al comprender las aplicaciones y el conocimiento de peligros vitales de la organización, puede priorizar y apuntar controles en esas regiones.
Tiempo para un alter
Ahora es el momento de comenzar una conversación sobre cómo controlar las cantidades cada vez mayores de entrada digital dentro de su empresa. Y realmente no olvide incluir cosas como los auditores y los reguladores como parte de la táctica para reestructurar los controles de su organización y los informes de cumplimiento.
El statu quo ya no es adecuado. Cuando los testimonios de entrada se convirtieron en parte de la lista de verificación de cumplimiento, las organizaciones terminaron manejando solo una variedad un tanto limitada de medios. Ahora hay presión para criticar casi todo, ya sea un activo de “alto valor” o no.
Más de un par de personas que manejan estas estrategias me han dicho que la única forma de completarlas a tiempo es simplemente tener las aprobaciones de los revisores con un "sello de goma" en toda la junta. Cuando la única forma de cumplir es derrotar la función del entrenamiento, entonces sabemos que algo tiene que transformarse.
Al invertir en soluciones que sean capaces de administrar la mayor parte de la carga de trabajo de sus usuarios, los revisores pueden orientar sus iniciativas a las tareas y opciones que más merecen su atención.
Más allá del plazo prolongado, las expectativas de los auditores tendrán que adaptarse para cumplir con las condiciones en el piso. Esto significa alejarse de los procedimientos manuales periódicos, las capturas de pantalla y las hojas de cálculo hacia un método automático más inteligente en el que los auditores puedan confiar.
Paul Trulove, Asesor, Autorizar