Automatyzuj lub inaczej: jak pokonać rozrost uprawnień w danym momencie i na zawsze
Opublikowany: 2022-01-11
Co idzie w górę, musi przychodzić w dół. A przynajmniej tak idzie odciąganie.
Wyjątkiem od reguły wydaje się być zakres praw wstępu piętrzący się w Twojej korporacji.
W miarę przechodzenia na coraz bardziej cyfrowe sposoby wykonywania pracy, zakres aplikacji, uprawnień i pozwoleń będzie się tylko powiększał.
Widzimy to szaleństwo wyraźnie w przyspieszonym przejściu do chmury ze zwiększonymi opłatami za wdrożenie SaaS, IaaS i innych środowisk XaaS. Oznacza to, że firmy są znacznie bardziej niż kiedykolwiek uzależnione od tożsamości, jako ważnej dla uzyskania dostępu do ich aplikacji i środków.
Po stronie przedsiębiorstwa musimy umożliwić naszym organizacjom robienie dodatkowych i szybszych niż kiedykolwiek przed zakupem, aby zachować konkurencyjność na arenie globalnej. Rzeczywistość w większości korporacji jest taka, że konsumenci mają o wiele więcej energii elektrycznej niż kiedykolwiek, aby podłączyć się do aplikacji i danych o znacznej szansie.
Ale z doskonałą energią elektryczną wiąże się fantastyczna odpowiedzialność.
Uruchamianie znacznie większej liczby tożsamości z dużo większym dostępem oznacza dodatkowe wyzwania związane z kompromisem i szerszy obszar zagrożeń, który należy zabezpieczyć. W 2021 r. firmy wiedzą, że muszą radzić sobie z tymi tożsamościami, ale złożoność scenariusza już dawno minęła, aby można było nadal działać dzięki starszym narzędziom i procesom podręcznikowym.
Wprowadzeniem do naszej przeszkody jest prawda, że udostępniamy również znacznie większy dostęp do urządzeń i szczegółów użytkownikom spoza naszej firmy, narażając nasze zasoby na cenną współpracę, chociaż wprowadzamy zagrożenie ze strony stale rosnącego zagrożenia.
W niektórych przypadkach zastanawiam się, czy jakakolwiek osoba nawet śledzi, czy użytkownicy końcowi poza domem organizacja zachowują dostęp do tych nieruchomości długo po tym, jak mają ku temu jakiś wiarygodny powód?
Biorąc pod uwagę skalę i złożoność, którymi należy zarządzać w tym miejscu, nadal pozostaje nam kilka wniosków, o których firmy muszą pomyśleć, jeśli mogą zachować bezpieczeństwo i zgodność w przyszłości.
Zautomatyzuj wszystko
Przed 2020 r. i zanim działanie w domu stało się wszechobecne, średniej wielkości dostawcy podobno korzystali obecnie z popularnych 137 aplikacji SaaS, takich jak Salesforce i O365. Ta różnorodność jest ponad dwukrotnie większa w przypadku przedsiębiorstw i nie obejmuje wyboru infrastruktury i innych firm działających w chmurze XaaS, które przeszły ponad zakończoną metodę działania.
Zachowanie śledzenia wszystkich tożsamości i uprawnień powiązanych z tymi aplikacjami jest działaniem Sysaphean poniżej ideału instancji. A ręczne wykonanie jest wręcz nieosiągalne.
Jednocześnie skala przedsięwzięcia rośnie, kompetentna wiedza z zakresu ochrony niezbędna do dalszego prowadzenia nauczania na torach jest stale niedofinansowana. Nawet w przedsiębiorstwach, które zatrudniają dziś ludzi zajmujących się zarządzaniem stabilnością uprawnień, skala przewyższa zdolność każdego zespołu do dalszego zapewniania ochrony i zgodności grupy.
Świetną informacją jest to, że każda korporacja docenia konieczność automatyzacji. Problem nie polega na tym, czy, ale na ile możemy zajść?
Widzimy tę przeszkodę raz po raz z uzyskaniem opinii. Od pewnego czasu na rynku dostępne są alternatywy, które umożliwiają przygotowanie i regulację strategii. Jednak instrumenty te, chociaż są udoskonaleniem, nadal wymagają znacznej rozmowy międzyludzkiej w warunkach uzyskania ogólnego przeglądu specjalistów i zatwierdzenia prawie wszystkich uprawnień z ich listy kontrolnej.
Naszym celem powinno być zautomatyzowanie prawie wszystkich drobiazgów, jakie można osiągnąć, i zapewnienie ludzkiemu decydentowi tylko w przypadku poważnych problemów, w których nie jesteśmy w stanie określić polis ubezpieczeniowych biznesowych, aby właściwie ustalić, kto naprawdę powinien mieć dostęp do czego. Automatyzacja prostych wniosków dotyczących uprawnień powinna naprawdę być naszą domyślną zasadą — zwłaszcza gdy dysponujemy faktami niezbędnymi do popchnięcia alternatywy dla ludzi już w naszych ramionach.
Bądź ciągły
Będziemy musieli przerwać nieobecność „punktu w czasie” to „wystarczająco dobre” nastawienie umysłu. Jeśli nie pracujesz nad swoim planem zarządzania tożsamością na stałej podstawie, otwierasz się na luki w zakresie bezpieczeństwa i zgodności, którym można zapobiec.
Na przykład, jeśli personel opuści grupę, ale nie zostanie całkowicie szybko usunięty z pokładu, wtedy odejdziesz, otworzysz okno, w którym mogą ukraść lub zniszczyć cenne dane. Podobnie, nieodkrycie tożsamości lub zmian na kontach administratora w czasie rzeczywistym może prowadzić do bardzo podobnych problemów.
Pożądane są poręcze, które wielokrotnie sprawdzają naruszenia procedur i mogą automatycznie uruchamiać przepływ pracy w odpowiednim czasie, aby działania były efektywne. Guardrails mogą działać jak ostrzeżenie o opuszczeniu pasa ruchu w nowoczesnych samochodach. Informują Twoją firmę, że coś złego może się zmaterializować, i pozwalają Ci zdecydować, jak i kiedy rozważyć podjęcie działań.
Nie każdy dostęp jest podobny
W ciągle rozwijającym się ustawieniu chmury, po prostu nie możesz dokładnie kontrolować dostępu do wszystkich aplikacji i danych. Znajdziesz po prostu zbyt dużą dostępność do zarządzania.
Kluczowe jest skupienie się i środki do ustalenia priorytetów.
Dowiedz się, w jakich aktywach jest największe zagrożenie i ureguluj je na początku. We wcześniejszym przypadku nikt konkretnie nie zamykał ogólnych faktów publicznych w szafie na akta, a wiedza cyfrowa jest prawdziwa. Dzięki zrozumieniu najważniejszych zastosowań i wiedzy organizacji dotyczących zagrożeń, można ustalić priorytety i ukierunkować kontrole w tych regionach.
Czas na zmianę
Teraz nadszedł czas, aby rozpocząć rozmowę na temat kontrolowania stale rosnącej liczby cyfrowych wejść w Twojej firmie. I naprawdę nie zaniedbuj włączenia audytorów i organów regulacyjnych jako elementu taktyki restrukturyzacji kontroli organizacji i raportowania zgodności.
Status quo już od dłuższego czasu nie jest adekwatne. Kiedy referencje wejściowe stały się elementem listy kontrolnej zgodności, organizacje zaczęły zarządzać jedynie nieco ograniczoną różnorodnością środków. Teraz pojawia się presja, by krytykować prawie wszystko, bez względu na to, czy jest to zasób „o wysokiej wartości”, czy nie.
Dodatkowo kilka osób zajmujących się tymi strategiami poinstruowało mnie, że jedynym sposobem na ukończenie ich na czas jest po prostu uzyskanie aprobaty recenzentów na całym forum. Kiedy jedynym sposobem na bycie posłusznym jest pokonanie funkcji treningu, wtedy wiemy, że coś musi się zmienić.
Inwestując w rozwiązania, które są w stanie poradzić sobie z większą częścią obciążenia pracą ich jednostki, recenzenci mogą kierować swoje inicjatywy na zadania i wybory, które najbardziej zasługują na ich świadomość.
Bardziej niż przedłużający się bieg, oczekiwania audytorów będą musiały dostosować się do warunków panujących na podłodze. Oznacza to odejście od okresowych, ręcznych procedur, zrzutów ekranu i arkuszy kalkulacyjnych w kierunku inteligentniejszej, automatycznej metody, w którą mogą wierzyć audytorzy.
Paul Trulove, Doradca, Autoryzuj