Otomatiskan atau yang lain: Cara mengalahkan gepeng izin pada saat dan untuk semua
Diterbitkan: 2022-01-11
Apa yang naik harus turun. Atau begitulah ungkapannya.
Pengecualian terhadap aturan tersebut tampaknya adalah rentang hak masuk yang menumpuk di perusahaan Anda.
Saat kami terus beralih ke cara yang semakin digital dalam melakukan pekerjaan, berbagai aplikasi, hak, dan izin hanya akan meningkat.
Kami melihat kegilaan ini dengan jelas dalam gerakan yang dipercepat ke cloud dengan biaya adopsi yang ditingkatkan dari SaaS, IaaS, dan lingkungan XaaS lainnya. Ini menandakan bahwa perusahaan jauh lebih bergantung dari sebelumnya pada identitas sebagai hal yang penting untuk mengakses aplikasi dan sarana mereka.
Di sisi perusahaan, kami harus memberdayakan organisasi kami untuk melakukan ekstra dan dengan kecepatan lebih besar dari sebelumnya dalam pembelian untuk terus menjadi kompetitif di panggung global. Kenyataannya di sebagian besar perusahaan adalah bahwa konsumen memiliki lebih banyak daya listrik daripada sebelumnya untuk bergabung dengan aplikasi dan data peluang besar.
Tetapi dengan tenaga listrik yang sangat baik datang tanggung jawab yang fantastis.
Menjalankan lebih banyak identitas dengan lebih banyak akses berarti tantangan ekstra dari kompromi dan area ancaman yang lebih luas yang harus diamankan. Pada tahun 2021, bisnis tahu bahwa mereka harus menangani identitas ini, tetapi kompleksitas skenario sudah lama melewati tahap tetap bisa diterapkan dengan alat warisan dan proses buku pegangan.
Memperkenalkan kendala kami adalah kenyataan bahwa kami juga berbagi lebih banyak akses ke perangkat dan detail dengan pengguna di luar bisnis kami, mengekspos aset kami untuk kolaborasi berharga meskipun memperkenalkan ancaman dari lantai bahaya yang terus tumbuh.
Dalam beberapa kasus saya mempertanyakan apakah ada orang yang bahkan melacak jika pengguna akhir di luar rumah organisasi tetap aksesibilitas ke properti ini lama setelah mereka memiliki alasan yang dapat dipercaya untuk melakukannya?
Mengingat skala dan kompleksitas yang harus dikelola yang tercantum di sini, kami masih memiliki beberapa kesimpulan yang harus dipikirkan perusahaan jika mereka cenderung tetap aman dan patuh di masa mendatang.
Otomatiskan setiap hal
Sebelum tahun 2020 dan sebelum operasi dari rumah berkembang menjadi di mana-mana, penyedia menengah saat ini dilaporkan telah menerapkan 137 aplikasi SaaS umum seperti Salesforce dan O365. Variasi itu lebih dari dua kali lipat untuk perusahaan dan tidak termasuk pemilihan infrastruktur dan perusahaan cloud XaaS lainnya yang telah mengambil alih sebagai cara operasi menerima selesai.
Mempertahankan melacak semua identitas dan izin yang terkait dengan aplikasi ini adalah aktivitas Sysaphean di bawah ideal instance. Dan itu benar-benar tidak dapat dicapai untuk dieksekusi secara manual.
Pada saat yang sama, skala usaha meningkat, keahlian perlindungan yang kompeten yang diperlukan untuk terus menjaga pengajaran di jalurnya selalu kekurangan sumber daya. Bahkan di perusahaan yang saat ini memiliki orang-orang yang berdedikasi untuk mengelola stabilitas IAM, skalanya melebihi kemampuan tim mana pun untuk terus menjaga agar grup mereka tetap terlindungi dan patuh.
Informasi yang bagus adalah bahwa setiap perusahaan menghargai bahwa mereka harus mengotomatisasi. Masalahnya bukan jika, tapi seberapa signifikan kita bisa pergi?
Kami melihat kendala ini berkali-kali dengan mendapatkan pendapat. Alternatif telah di pasar untuk beberapa waktu sekarang yang memungkinkan mempersiapkan dan mengatur strategi. Tetapi instrumen-instrumen ini, meskipun merupakan peningkatan, terus membutuhkan percakapan manusia yang substansial dalam kondisi memperoleh gambaran profesional pribadi dan menyetujui hampir setiap hak dalam daftar periksa mereka.
Tujuan kami adalah untuk mengotomatisasi hampir semua hal kecil yang dapat dicapai dan hanya menyediakan pembuat pilihan manusia untuk panggilan yang sangat kasar di mana kami tidak dapat menguraikan polis asuransi bisnis untuk menetapkan dengan benar siapa yang benar-benar harus memiliki akses ke apa. Mengotomatiskan kesimpulan hak sederhana harus benar-benar menjadi default kami — terutama ketika kami memiliki fakta yang diperlukan untuk mendorong alternatif orang yang sudah ada di tangan kami.
Terus-menerus
Kita perlu istirahat dari "titik waktu" adalah kerangka berpikir yang "cukup baik". Jika Anda tidak menjalankan rencana manajemen identitas Anda secara konstan, maka Anda membuka diri Anda terhadap kesenjangan keamanan dan kepatuhan yang dapat dicegah.
Sebagai ilustrasi, jika seorang staf meninggalkan grup tetapi tidak segera diturunkan, maka Anda membuka jendela bagi mereka untuk mencuri atau menghancurkan data berharga. Demikian pula, gagal menemukan identitas atau perubahan hak istimewa di atas pada akun admin ketika terjadi secara real-time dapat menyebabkan masalah yang sangat mirip.
Apa yang diinginkan adalah pagar pembatas yang berulang kali memeriksa pelanggaran prosedur, dan dapat memulai alur kerja secara otomatis tepat waktu agar tindakan menjadi efisien. Pagar pembatas dapat bertindak seperti peringatan keberangkatan jalur pada mobil modern. Mereka memberi tahu bisnis Anda bahwa sesuatu yang buruk mungkin terjadi dan memungkinkan Anda memutuskan bagaimana dan kapan harus mempertimbangkan tindakan.
Tidak semua akses serupa
Dalam pengaturan cloud yang berkembang setiap saat, Anda tidak dapat mengontrol akses ke semua aplikasi dan data dengan cara yang tepat. Anda akan menemukan terlalu banyak aksesibilitas untuk dikelola.
Yang penting adalah fokus dan sarana untuk memprioritaskan.
Ketahui di mana aset Anda dengan bahaya terbesar dan atur terlebih dahulu. Di masa lalu, tidak ada seorang pun yang mengunci fakta publik di lemari arsip dan tepatnya adalah pengetahuan digital yang sebenarnya. Dengan memahami aplikasi dan pengetahuan bahaya vital organisasi, Anda dapat memprioritaskan dan mengarahkan kontrol pada wilayah tersebut.
Saatnya untuk mengubah
Sekaranglah waktunya untuk memulai percakapan tentang cara mengontrol jumlah entri digital yang terus meningkat di dalam perusahaan Anda. Dan jangan lupa untuk memasukkan hal-hal seperti auditor dan regulator sebagai elemen taktik untuk merestrukturisasi kontrol organisasi Anda dan pelaporan kepatuhan.
Status quo tidak cukup untuk waktu yang lama. Ketika testimonial masuk menjadi bagian dari daftar periksa kepatuhan, organisasi akhirnya hanya mengelola berbagai cara yang agak terbatas. Sekarang ada tekanan untuk mengkritik hampir semua hal, apakah itu aset "bernilai tinggi" atau tidak.
Selain beberapa orang yang menangani strategi ini telah memberi tahu saya bahwa satu-satunya cara untuk menyelesaikannya tepat waktu adalah dengan meminta persetujuan "stempel" pengulas di seluruh papan. Ketika satu-satunya cara untuk patuh adalah dengan mengalahkan fungsi pelatihan, maka kita tahu bahwa ada sesuatu yang harus diubah.
Dengan berinvestasi dalam solusi yang mampu mengelola sebagian besar beban kerja individu mereka, peninjau dapat menargetkan inisiatif mereka pada tugas dan pilihan yang paling pantas mereka sadari.
Lebih dari jangka panjang, ekspektasi dari auditor harus beradaptasi untuk memenuhi kondisi di lapangan. Ini berarti mengalihkan dari prosedur manual, berkala, tangkapan layar, dan spreadsheet ke arah metode otomatis yang lebih cerdas yang dapat dipercaya oleh auditor.
Paul Trulove, Penasihat, Otorisasi