Automatiser ou autrement : comment vaincre la prolifération des autorisations à la fois et pour tous
Publié: 2022-01-11
Ce qui monte doit arriver en bas. Ou alors l'expression va.
L'exception à la règle semble être l'éventail des droits d'entrée qui s'accumulent dans votre société.
Alors que nous continuons à passer à des moyens de travail de plus en plus numériques, la gamme d'applications, de droits et d'autorisations ne fait que s'améliorer.
Nous voyons clairement cet engouement dans le mouvement accéléré vers le cloud avec des frais d'adoption amplifiés des environnements SaaS, IaaS et autres environnements XaaS. Cela signifie que les entreprises dépendent plus que jamais de l'identité comme élément important pour accéder à leurs applications et moyens.
Du côté de l'entreprise, nous devons donner à nos organisations les moyens d'en faire plus et plus rapidement que jamais avant l'achat pour rester compétitifs sur la scène mondiale. La réalité dans la plupart des entreprises est que les consommateurs disposent de plus d'électricité que jamais pour se connecter à des applications et des données à fort potentiel.
Mais avec une excellente puissance électrique vient une responsabilité fantastique.
Exécuter beaucoup plus d'identités avec beaucoup plus d'accès signifie des défis supplémentaires de compromis et une zone de menace plus large qui doit être sécurisée. En 2021, les entreprises savent qu'elles doivent gérer ces identités, mais la complexité du scénario a depuis longtemps dépassé le stade de rester réalisable avec des outils hérités et des processus manuels.
L'introduction de notre obstacle est le fait que nous partageons également beaucoup plus d'accès aux appareils et aux détails avec des utilisateurs extérieurs à nos entreprises, exposant nos atouts pour une collaboration précieuse tout en introduisant la menace d'un seuil de danger sans cesse croissant.
Dans certains cas, je me demande si quelqu'un surveille même si les utilisateurs finaux à l'extérieur de la maison, l'organisation garde l'accès à ces biens longtemps après qu'ils aient une raison valable de le faire ?
Compte tenu de l'ampleur et de la complexité à gérer répertoriées ici, il nous reste encore quelques points à retenir auxquels les entreprises doivent réfléchir si elles sont susceptibles de rester sécurisées et conformes à l'avenir.
Automatisez tout
Avant 2020 et avant que le fonctionnement à domicile ne devienne omniprésent, les fournisseurs de taille moyenne auraient actuellement postulé sur 137 applications SaaS courantes telles que Salesforce et O365. Ce nombre est plus que double pour les entreprises et n'inclut pas le choix d'infrastructures et d'autres entreprises de cloud XaaS qui ont pris plus de temps que le mode de fonctionnement est terminé.
Garder une trace de toutes les identités et autorisations liées à ces applications est une activité Sysaphean sous l'idéal des instances. Et il est carrément impossible de l'exécuter manuellement.
Dans le même temps, l'ampleur de l'entreprise augmente, l'expertise compétente en matière de protection nécessaire pour continuer à maintenir l'enseignement sur les rails manque constamment de ressources. Même dans les entreprises qui ont aujourd'hui des personnes dédiées à la gestion de la stabilité IAM, l'échelle dépasse la capacité de toute équipe à continuer à assurer la protection et la conformité de son groupe.
La bonne nouvelle est que chaque entreprise apprécie qu'elle doive automatiser. La question n'est pas de savoir si, mais jusqu'où pouvons-nous aller?
Nous voyons cet obstacle maintes et maintes fois avec obtenir des avis. Des alternatives existent depuis un certain temps déjà sur le marché qui permettent de préparer et de réguler des stratégies. Mais ces instruments, bien qu'ils soient une amélioration, continuent d'exiger une conversation humaine importante dans les conditions d'acquisition de la vue d'ensemble des professionnels personnels et d'approuver à peu près tous les droits sur leur liste de contrôle.
Notre objectif devrait être d'automatiser à peu près tout ce qui est possible et de ne fournir à un décideur humain que les appels très difficiles dans lesquels nous ne sommes pas en mesure de définir des polices d'assurance professionnelles pour établir correctement qui devrait vraiment avoir accès à quoi. L'automatisation des conclusions simples sur les droits devrait vraiment être notre défaut, surtout lorsque nous avons déjà les faits nécessaires pour proposer des alternatives aux gens.
Soyez continu
Nous devrons rompre avec l'état d'esprit "le moment" est "assez bon". Si vous ne travaillez pas votre plan de gestion des identités sur une base constante, vous vous exposez à des lacunes évitables en matière de sécurité et de conformité.
Par exemple, si un membre du personnel quitte le groupe mais n'est pas complètement déconnecté rapidement, vous lui ouvrez une fenêtre pour voler ou détruire des données précieuses. De même, ne pas découvrir les identités au-dessus des privilèges ou les modifications apportées aux comptes d'administrateur lorsqu'elles se produisent en temps réel peut conduire à des problèmes très similaires.
Ce qu'il faut, ce sont des garde-corps qui vérifient à plusieurs reprises les violations des procédures et peuvent lancer automatiquement un flux de travail à temps pour que les actions soient efficaces. Les garde-corps peuvent agir comme un avertissement de sortie de voie sur les voitures modernes. Ils préviennent votre entreprise que quelque chose de mauvais pourrait se matérialiser et vous permettent de décider comment et quand envisager une action.
Tous les accès ne sont pas identiques
Dans le cadre du cloud en expansion à tout moment, vous ne pouvez tout simplement pas contrôler l'accès à toutes les applications et données de la manière exacte. Vous trouverez tout simplement trop d'accessibilité à gérer.
L'essentiel est la concentration et les moyens d'établir des priorités.
Sachez où se trouvent vos actifs les plus dangereux et réglez-les d'abord. Auparavant, personne n'enfermait les faits grand public dans un classeur et l'exact est réel de l'information numérique. En comprenant les applications et les connaissances de l'organisation sur les risques vitaux, vous pouvez hiérarchiser et cibler les contrôles sur ces régions.
Le temps d'un changement
Il est maintenant temps d'entamer une conversation sur la façon de contrôler les quantités toujours croissantes d'entrées numériques au sein de votre entreprise. Et n'oubliez pas d'inclure des éléments tels que les auditeurs et les régulateurs dans le cadre de la stratégie de restructuration des contrôles et des rapports de conformité de votre organisation.
Le statu quo n'est plus suffisant pour longtemps. Lorsque les témoignages d'entrée sont devenus un élément de la liste de contrôle de la conformité, les entreprises ont fini par ne gérer qu'un nombre assez limité de moyens. Maintenant, il y a une pression pour critiquer presque tout, qu'il s'agisse d'un actif de « haute valeur » ou non.
Plus de quelques personnes qui s'occupent de ces plans m'ont dit que la seule façon de les terminer à temps est simplement d'avoir les approbations des examinateurs « tampon » dans l'ensemble du conseil d'administration. Lorsque la seule façon d'être conforme est de vaincre la fonction de la formation, alors nous savons que quelque chose doit se transformer.
En investissant dans des solutions capables de gérer la grande majorité de la charge de travail de leur individu, les examinateurs peuvent cibler leurs initiatives sur les tâches et les choix qui méritent le plus leur prise de conscience.
Plus qu'une course prolongée, les attentes des auditeurs devront s'adapter pour répondre aux conditions sur le terrain. Cela signifie passer des procédures manuelles périodiques, des captures d'écran et des feuilles de calcul à une méthode automatique plus intelligente dans laquelle les auditeurs peuvent avoir confiance.
Paul Trulove, conseiller, Autoriser