Automatize ou então: Como derrotar a expansão de permissões no momento e para todos
Publicados: 2022-01-11
O que sobe tem que descer. Ou então a expressão vai.
A exceção à regra parece ser a gama de direitos de entrada que se acumulam em sua corporação.
À medida que continuamos a transferir para meios cada vez mais digitais de fazer trabalho, a variedade de aplicativos, direitos e permissões só tende a melhorar.
Vemos essa mania claramente no movimento acelerado para a nuvem com taxas de adoção ampliadas de SaaS, IaaS e outros ambientes XaaS. Isso significa que as empresas estão muito mais dependentes do que nunca da identidade como importante para acessar seus aplicativos e meios.
No lado corporativo, temos que capacitar nossas organizações a fazer mais e com maior velocidade do que nunca antes da compra para continuarem competitivas em um cenário global. A realidade na maioria das empresas é que os consumidores têm muito mais energia elétrica do que nunca para se conectar a aplicativos e dados de grande chance.
Mas com excelente energia elétrica vem uma responsabilidade fantástica.
Executar muito mais identidades com muito mais acesso significa desafios extras de comprometimento e uma área de ameaça mais ampla que precisa ser protegida. Em 2021, as empresas sabem que precisam lidar com essas identidades, mas a complexidade do cenário já passou do estágio de permanecer viável com ferramentas legadas e processos manuais.
Apresentando ao nosso obstáculo é o fato de que também estamos compartilhando muito mais acesso a dispositivos e detalhes com usuários fora de nossos negócios, expondo nossos ativos para uma colaboração preciosa, embora introduzindo ameaças de um nível de perigo cada vez maior.
Em alguns casos, questiono se alguma pessoa está mesmo rastreando se os usuários finais fora da casa da organização mantêm o acesso a essas propriedades por muito tempo depois de terem alguma causa respeitável para fazê-lo?
Dada a escala e a complexidade a serem gerenciadas listadas aqui, ainda nos restam alguns pontos que as empresas precisam pensar se provavelmente permanecerão seguras e em conformidade daqui para frente.
Automatize cada coisa
Antes de 2020 e antes que a operação em casa crescesse e se tornasse onipresente, os provedores de médio porte estavam se aplicando a 137 aplicativos SaaS comuns, como Salesforce e O365. Essa variedade é mais do que o dobro para as empresas e não inclui a seleção de infraestrutura e outras empresas de nuvem XaaS que tomaram mais de como a maneira de operar é concluída.
Preservar o controle de todas as identidades e permissões vinculadas a esses aplicativos é uma atividade do Sysaphean abaixo do ideal de instâncias. E é absolutamente inatingível executar manualmente.
Ao mesmo tempo, a escala do empreendimento está aumentando, a perícia de proteção competente necessária para continuar a manter o ensino nos trilhos é constantemente sub-recursos. Mesmo em empresas que hoje têm pessoas dedicadas ao gerenciamento da estabilidade do IAM, a escala supera a capacidade de qualquer equipe de continuar a manter seu grupo protegido e em conformidade.
A grande informação é que cada corporação aprecia que eles precisam automatizar. A questão não é se, mas quão significativamente podemos ir?
Vemos esse obstáculo uma vez e outra com opiniões obtidas. Existem alternativas no mercado há algum tempo que permitem elaborar e regular estratégias. Mas esses instrumentos, enquanto uma melhoria, continuam a exigir uma conversa humana substancial em condições de adquirir a visão geral dos profissionais pessoais e aprovar quase todos os direitos em sua lista de verificação.
Nosso objetivo deve ser automatizar cada pequena coisa possível e fornecer apenas um tomador de decisão humano para as chamadas duras seriamente em que somos incapazes de traçar apólices de seguro de negócios para determinar corretamente quem deve ter acesso ao quê. Automatizar conclusões simples de direitos deveria realmente ser nosso padrão – especialmente quando temos os fatos necessários para levar as pessoas a alternativas já em nossos braços.
Seja contínuo
Devemos romper com o "ponto no tempo" é "bom o suficiente" estado de espírito. Se você não estiver trabalhando em seu plano de gerenciamento de identidades em uma base constante, estará se abrindo para lacunas evitáveis de segurança e conformidade.
Por exemplo, se uma equipe deixar o grupo, mas não for totalmente desvinculada imediatamente, você abrirá uma janela para que ela roube ou destrua dados preciosos. Da mesma forma, não descobrir identidades com privilégios acima ou alterações em contas de administrador quando ocorrem em tempo real pode levar a problemas muito semelhantes.
O que se deseja são proteções que verificam repetidamente violações de procedimentos e podem iniciar um fluxo de trabalho automaticamente a tempo para que as ações sejam eficientes. Os guardrails podem funcionar como um aviso de saída de pista em carros modernos. Eles avisam sua empresa de que algo ruim pode se materializar e permitem que você decida como e quando considerar a ação.
Nem todo acesso é igual
Na configuração de nuvem em expansão a qualquer momento, você simplesmente não pode controlar o acesso a todos os aplicativos e dados da maneira exata. Você vai encontrar simplesmente muita acessibilidade para gerenciar.
O crucial é o foco e os meios para priorizar.
Saiba em que estão seus ativos de maior risco e regule-os inicialmente. No primeiro, ninguém trancou os fatos públicos em um armário de arquivo e a verdade é real do conhecimento digital. Ao compreender as aplicações e o conhecimento de riscos vitais da organização, você pode priorizar e direcionar os controles para essas regiões.
Hora de mudar
Agora é a hora de iniciar uma conversa sobre como controlar as quantidades cada vez maiores de entrada digital em sua empresa. E realmente não deixe de incluir coisas como auditores e reguladores como elemento da tática para reestruturar os controles e relatórios de conformidade de sua organização.
O status quo não é adequado por mais tempo. Quando os depoimentos de entrada se tornaram parte da lista de verificação de conformidade, as organizações acabaram administrando apenas uma variedade limitada de meios. Agora há pressão para criticar quase tudo, seja um ativo de “alto valor” ou não.
Além de algumas pessoas que lidam com essas estratégias, me disseram que a única maneira de completá-las no prazo é simplesmente ter as aprovações “carimbo de borracha” dos revisores em todo o conselho. Quando a única maneira de ser compatível é derrotar a função do treinamento, então sabemos que alguma coisa tem que se transformar.
Ao investir em soluções capazes de gerenciar a maior parte da carga de trabalho individual, os revisores podem direcionar suas iniciativas para as tarefas e escolhas que mais merecem sua conscientização.
Mais do que o prazo prolongado, as expectativas dos auditores terão que se adaptar para atender às condições do pregão. Isso significa deixar de lado os procedimentos periódicos e manuais, capturas de tela e planilhas em direção a um método mais inteligente e automático no qual os auditores podem confiar.
Paul Trulove, Conselheiro, Autorize