Automatizzare o altro: come sconfiggere la proliferazione dei permessi in qualsiasi momento e per tutti
Pubblicato: 2022-01-11
Ciò che sale deve arrivare in basso. O almeno così si esprime.
L'eccezione alla regola sembra essere la gamma di diritti di ingresso che si accumulano nella tua azienda.
Mentre continuiamo a passare a mezzi di lavoro sempre più digitali, la gamma di app, diritti e autorizzazioni è destinata solo a migliorare.
Vediamo chiaramente questa mania nel passaggio accelerato al cloud con tariffe di adozione amplificate di SaaS, IaaS e altri ambienti XaaS. Ciò significa che le aziende dipendono molto più che mai dall'identità come elemento importante per accedere alle proprie applicazioni e ai propri mezzi.
Sul lato aziendale, dobbiamo consentire alle nostre organizzazioni di fare di più e con maggiore velocità che mai prima dell'acquisto per continuare a essere competitive a livello globale. La realtà nella maggior parte delle aziende è che i consumatori hanno molta più energia elettrica che mai per unirsi ad applicazioni e dati a possibilità sostanziali.
Ma con un'eccellente energia elettrica derivano fantastiche responsabilità.
Gestire molte più identità con un accesso molto più ampio significa ulteriori sfide di compromissione e un'area di minaccia più ampia che deve essere protetta. Nel 2021, le aziende sanno di dover gestire queste identità, ma la complessità dello scenario ha superato da tempo la fase in cui rimane praticabile con strumenti legacy e processi manuali.
L'introduzione del nostro ostacolo è la verità che stiamo anche condividendo molto più accesso a dispositivi e dettagli con utenti al di fuori delle nostre attività, esponendo le nostre risorse a una preziosa collaborazione pur introducendo minacce da un livello di pericolo sempre crescente.
In alcuni casi mi chiedo se una persona stia anche monitorando se gli utenti finali fuori casa l'organizzazione mantiene l'accessibilità a queste proprietà molto tempo dopo che hanno una causa rispettabile per farlo?
Data la portata e la complessità da gestire elencate qui, ci rimangono ancora alcuni aspetti da tenere in considerazione a cui le aziende devono pensare se è probabile che rimangano sicure e conformi in futuro.
Automatizza ogni cosa
Prima del 2020 e prima che l'operazione da casa diventasse onnipresente, secondo quanto riferito, i fornitori di medie dimensioni stavano attualmente applicando 137 applicazioni SaaS comuni come Salesforce e O365. Tale varietà è più del doppio per le aziende e non include la selezione di infrastrutture e altre società cloud XaaS che hanno superato il modo in cui il modo in cui operano viene completato.
Tenere traccia di tutte le identità e autorizzazioni legate a queste applicazioni è un'attività di Sysaphean al di sotto dell'ideale delle istanze. Ed è assolutamente impossibile da eseguire manualmente.
Allo stesso tempo, la scala dell'impresa sta aumentando, le competenze di protezione competenti necessarie per continuare a mantenere l'insegnamento in pista sono costantemente sottodimensionate. Anche nelle aziende che oggi hanno persone dedicate alla gestione della stabilità IAM, la scalabilità supera la capacità di qualsiasi team di continuare a mantenere il proprio gruppo protetto e conforme.
La grande informazione è che ogni azienda apprezza di dover automatizzare. Il problema non è se, ma quanto in modo significativo possiamo andare?
Vediamo questo ostacolo più e più volte con ottenere opinioni. Da tempo sono disponibili sul mercato alternative che consentono di preparare e regolare le strategie. Ma questi strumenti, sebbene siano un miglioramento, continuano a richiedere una conversazione umana sostanziale in condizioni di acquisire la panoramica dei professionisti personali e approvare quasi tutti i diritti sulla loro lista di controllo.
Il nostro obiettivo dovrebbe essere quello di automatizzare quasi ogni piccola cosa realizzabile e fornire solo in un decisore umano le chiamate seriamente difficili in cui non siamo in grado di delineare le polizze assicurative aziendali per stabilire correttamente chi dovrebbe davvero avere accesso a cosa. L'automazione delle semplici conclusioni sui diritti dovrebbe davvero essere la nostra impostazione predefinita, specialmente quando abbiamo i fatti necessari per spingere le persone alternative già tra le nostre braccia.
Sii continuo
Avremo bisogno di staccarci dal "punto nel tempo" è lo stato d'animo "abbastanza buono". Se non stai lavorando al tuo piano di gestione dell'identità su una base costante, ti stai aprendo a lacune prevenibili in termini di sicurezza e conformità.
Ad esempio, se uno staff lascia il gruppo ma non viene completamente rimosso dal bordo prontamente, allora te ne vai, apri una finestra per rubare o distruggere dati preziosi. Allo stesso modo, non riuscire a scoprire identità con privilegi superiori o alterazioni agli account amministratore quando si verificano in tempo reale può portare a problemi molto simili.
Ciò che serve sono guardrail che controllino ripetutamente le violazioni delle procedure e possano avviare automaticamente un flusso di lavoro in tempo affinché le azioni siano efficienti. I guardrail possono agire come un avviso di uscita dalla corsia sulle auto moderne. Danno alla tua azienda un avviso che qualcosa di brutto potrebbe materializzarsi e ti permettono di decidere come e quando considerare l'azione.
Non tutti gli accessi sono simili
Nell'impostazione cloud in espansione in qualsiasi momento, non puoi semplicemente controllare l'accesso a tutte le app e ai dati nel modo esatto. Troverai semplicemente troppa accessibilità da gestire.
L'elemento cruciale è l'attenzione e i mezzi per stabilire le priorità.
Scopri in quali risorse si trovano i maggiori rischi e regolali inizialmente. In precedenza, nessuno in particolare ha rinchiuso i fatti del pubblico in generale in un armadietto e l'esatto è reale della conoscenza digitale. Comprendendo le applicazioni e le conoscenze sui rischi vitali dell'organizzazione, è possibile stabilire le priorità e mirare ai controlli su quelle regioni.
Tempo per un alter
Ora è il momento di iniziare una conversazione su come controllare la quantità sempre crescente di ingressi digitali all'interno della tua azienda. E davvero non trascurare di includere cose come i revisori dei conti e le autorità di regolamentazione come elemento della tattica per ristrutturare i controlli della tua organizzazione e il reporting di conformità.
Lo status quo non è più adeguato per un periodo più lungo. Quando le testimonianze di ingresso sono diventate un elemento della checklist di conformità, le organizzazioni hanno finito per gestire solo una varietà piuttosto limitata di mezzi. Ora c'è pressione per criticare quasi tutto, che si tratti di un bene "di alto valore" o meno.
Più di un paio di persone che gestiscono queste strategie mi hanno detto che l'unico modo per completarle in tempo è semplicemente avere le approvazioni del "timbro di gomma" dei revisori in tutto il consiglio. Quando l'unico modo per essere conformi è sconfiggere la funzione dell'allenamento, allora sappiamo che qualcosa deve trasformarsi.
Investendo in soluzioni in grado di gestire la maggior parte del carico di lavoro sul proprio individuo, i revisori possono indirizzare le proprie iniziative sui compiti e sulle scelte che più meritano la loro consapevolezza.
Più che la corsa prolungata, le aspettative dei revisori dei conti dovranno adattarsi per soddisfare le condizioni sul pavimento. Ciò significa allontanarsi dalle procedure manuali periodiche, dagli screenshot e dai fogli di calcolo nella direzione di un metodo automatico più intelligente in cui gli auditor possono avere fiducia.
Paul Trulove, Consulente, Autorizza