อัตโนมัติหรืออย่างอื่น: วิธีเอาชนะการแผ่ขยายการอนุญาตในขณะนั้นและสำหรับทั้งหมด
เผยแพร่แล้ว: 2022-01-11
สิ่งที่ขึ้นไปต้องมาถึงลง หรือการแสดงออกนั้นดำเนินไป
ข้อยกเว้นของกฎดูเหมือนจะเป็นช่วงของสิทธิ์ในการเข้าทำงานที่กองซ้อนอยู่ในบริษัทของคุณ
ในขณะที่เราดำเนินการถ่ายโอนไปสู่วิธีการทำงานแบบดิจิทัลที่เพิ่มขึ้น ช่วงของแอป การให้สิทธิ์ และการอนุญาตต่างๆ กำลังมุ่งไปที่การปรับปรุงให้ดีขึ้นเท่านั้น
เราเห็นความคลั่งไคล้นี้อย่างชัดเจนในการเคลื่อนไหวแบบเร่งความเร็วไปยังคลาวด์ด้วยค่าธรรมเนียมการนำไปใช้ที่เพิ่มขึ้นของ SaaS, IaaS และสภาพแวดล้อม XaaS อื่นๆ นี่หมายความว่าบริษัทต่างๆ ต้องพึ่งพาข้อมูลประจำตัวมากกว่าที่เคย เนื่องจากมีความสำคัญต่อการเข้าถึงแอปพลิเคชันและวิธีการต่างๆ
ในด้านองค์กร เราต้องส่งเสริมให้องค์กรของเราทำงานพิเศษและรวดเร็วยิ่งขึ้นกว่าเดิมก่อนที่จะซื้อ เพื่อให้สามารถแข่งขันในเวทีโลกต่อไปได้ ความจริงในองค์กรส่วนใหญ่ก็คือ ผู้บริโภคมีพลังงานไฟฟ้ามากขึ้นกว่าที่เคยเพื่อเข้าร่วมแอปพลิเคชันและข้อมูลที่มีโอกาสสูง
แต่ด้วยพลังงานไฟฟ้าที่ยอดเยี่ยมมาพร้อมความรับผิดชอบอันยอดเยี่ยม
การใช้ข้อมูลประจำตัวที่มากขึ้นด้วยการเข้าถึงที่มากขึ้นหมายถึงความท้าทายที่เพิ่มขึ้นของการประนีประนอมและพื้นที่การคุกคามที่กว้างขึ้นซึ่งจะต้องได้รับการรักษาความปลอดภัย ในปี พ.ศ. 2564 ธุรกิจต่างๆ ทราบดีว่าพวกเขาต้องจัดการกับข้อมูลประจำตัวเหล่านี้ แต่ความซับซ้อนของสถานการณ์นั้นผ่านพ้นขั้นตอนของการคงไว้ซึ่งเครื่องมือแบบเดิมและกระบวนการในคู่มือมาอย่างยาวนาน
การแนะนำอุปสรรคของเราคือความจริงที่เรายังแชร์การเข้าถึงอุปกรณ์และรายละเอียดต่างๆ กับผู้ใช้นอกธุรกิจของเรามากขึ้น ทำให้ทรัพย์สินของเราได้รับความร่วมมืออันมีค่า แม้ว่าจะแนะนำภัยคุกคามจากระดับอันตรายที่เพิ่มมากขึ้นเรื่อยๆ
ในบางกรณี ฉันตั้งคำถามว่ามีใครบ้างที่ติดตามว่าผู้ใช้ภายนอกองค์กรนั้นสามารถเข้าถึงทรัพย์สินเหล่านี้ได้ไม่นานหลังจากที่พวกเขามีเหตุอันควรเกิดขึ้นหรือไม่?
เมื่อพิจารณาจากขนาดและความซับซ้อนที่จะจัดการในที่นี้ เรายังคงมีประเด็นสำคัญสองสามประการที่บริษัทต่างๆ จะต้องพิจารณาว่ามีแนวโน้มว่าจะปลอดภัยและปฏิบัติตามข้อกำหนดในอนาคตหรือไม่
ทำให้ทุกอย่างเป็นอัตโนมัติ
ก่อนปี 2020 และก่อนที่การดำเนินการจากที่บ้านจะกลายเป็นที่แพร่หลาย ปัจจุบันมีรายงานว่าผู้ให้บริการขนาดกลางใช้แอปพลิเคชัน SaaS ทั่วไป 137 รายการ เช่น Salesforce และ O365 ความหลากหลายดังกล่าวมีมากกว่าสองเท่าสำหรับองค์กร และไม่รวมถึงการเลือกโครงสร้างพื้นฐานและบริษัทคลาวด์ XaaS อื่น ๆ ที่ดำเนินการเกินกว่าวิธีการดำเนินงานที่ได้รับแล้วเสร็จ
การรักษาติดตามข้อมูลประจำตัวและการอนุญาตทั้งหมดที่เชื่อมโยงกับแอปพลิเคชันเหล่านี้เป็นกิจกรรมของ Sysaphean ที่อยู่ภายใต้อุดมคติของอินสแตนซ์ และไม่สามารถดำเนินการด้วยตนเองได้อย่างแท้จริง
ในขณะเดียวกัน ขนาดของการดำเนินการก็เพิ่มขึ้น ความเชี่ยวชาญด้านการคุ้มครองที่มีความสามารถซึ่งจำเป็นต่อการรักษาการสอนบนเส้นทางต่อไปนั้นขาดทรัพยากรอย่างต่อเนื่อง แม้แต่ในองค์กรที่มีบุคลากรที่ทุ่มเทให้กับการจัดการความเสถียรของ IAM ในปัจจุบัน มาตราส่วนนี้ก็ยังเหนือกว่าความสามารถของทีมใดๆ ที่จะรักษากลุ่มของตนให้ได้รับการปกป้องและปฏิบัติตามข้อกำหนดต่อไป
ข้อมูลที่ดีคือทุกบริษัทชื่นชมที่พวกเขาต้องทำให้เป็นระบบอัตโนมัติ ปัญหาไม่ได้อยู่ที่ว่าเราจะไปได้มากแค่ไหน?
เราเห็นอุปสรรคนี้ครั้งแล้วครั้งเล่าด้วยการรับความคิดเห็น ทางเลือกอื่นเข้ามาในตลาดมาระยะหนึ่งแล้ว ซึ่งช่วยเตรียมและควบคุมกลยุทธ์ได้ แต่เครื่องมือเหล่านี้ในขณะที่มีการปรับปรุง ยังคงต้องการการสนทนาของมนุษย์อย่างมากในเงื่อนไขของการได้มาซึ่งภาพรวมของผู้เชี่ยวชาญส่วนบุคคล และอนุมัติเกือบทุกสิทธิ์ในรายการตรวจสอบของพวกเขา
วัตถุประสงค์ของเราควรจะทำให้ทุกอย่างเป็นไปโดยอัตโนมัติทุกอย่างที่ทำได้และจัดหาเฉพาะในผู้มีอำนาจตัดสินใจของมนุษย์สำหรับการพูดคุยอย่างคร่าวๆซึ่งเราไม่สามารถร่างนโยบายการประกันภัยทางธุรกิจเพื่อกำหนดว่าใครควรเข้าสู่สิ่งใดอย่างถูกต้อง การดำเนินการสรุปการให้สิทธิ์แบบง่ายๆ โดยอัตโนมัติควรเป็นค่าเริ่มต้นของเรา — โดยเฉพาะอย่างยิ่งเมื่อเรามีข้อเท็จจริงที่จำเป็นในการผลักดันให้ผู้คนมีทางเลือกอื่นอยู่ในมือของเราแล้ว
ต่อเนื่อง
เราจะต้องขาดจาก “จุดเวลา” คือ “ดีพอ” ของกรอบความคิด หากคุณไม่ได้ดำเนินการตามแผนการจัดการข้อมูลประจำตัวของคุณอย่างต่อเนื่อง แสดงว่าคุณกำลังเปิดช่องว่างด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดที่สามารถป้องกันได้
ตัวอย่างเช่น หากเจ้าหน้าที่ออกจากกลุ่มแต่ไม่ได้ออกจากงานอย่างถี่ถ้วนในทันที คุณควรออกไปเปิดหน้าต่างให้พวกเขาขโมยหรือทำลายข้อมูลอันมีค่า ในทำนองเดียวกัน ความล้มเหลวในการค้นหาข้อมูลประจำตัวที่มีสิทธิ์เหนือกว่าหรือการเปลี่ยนแปลงบัญชีผู้ดูแลระบบเมื่อเกิดขึ้นตามเวลาจริงอาจนำไปสู่ปัญหาที่คล้ายคลึงกันมาก
สิ่งที่ต้องการคือรั้วกั้นที่คอยตรวจสอบการละเมิดขั้นตอนซ้ำแล้วซ้ำเล่า และสามารถเริ่มเวิร์กโฟลว์ได้โดยอัตโนมัติทันเวลาเพื่อให้การดำเนินการมีประสิทธิภาพ Guardrails สามารถทำหน้าที่เหมือนการเตือนการออกจากเลนในรถยนต์สมัยใหม่ พวกเขาช่วยเตือนธุรกิจของคุณว่าสิ่งเลวร้ายอาจเกิดขึ้นและอนุญาตให้คุณตัดสินใจว่าจะพิจารณาดำเนินการอย่างไรและเมื่อใด
การเข้าถึงไม่เหมือนกันทั้งหมด
ในการตั้งค่าระบบคลาวด์ที่ขยายเวลาได้ทุกเมื่อ คุณไม่สามารถควบคุมการเข้าถึงแอพและข้อมูลทั้งหมดได้อย่างแม่นยำ คุณจะพบว่ามีการเข้าถึงที่มากเกินกว่าจะจัดการได้
สิ่งสำคัญคือการมุ่งเน้นและวิธีการจัดลำดับความสำคัญ
รู้ว่าสินทรัพย์ที่เป็นอันตรายที่สุดของคุณอยู่ที่ใดและควบคุมมันตั้งแต่แรก ในก่อนหน้านี้ ไม่มีใครล็อกข้อเท็จจริงสาธารณะทั่วไปไว้ในตู้เก็บเอกสาร และความรู้ที่แท้จริงก็คือความรู้ดิจิทัล เมื่อเข้าใจการใช้งานและความรู้เกี่ยวกับอันตรายที่สำคัญขององค์กร คุณจะสามารถจัดลำดับความสำคัญและมุ่งเป้าไปที่การควบคุมในภูมิภาคเหล่านั้นได้
เวลาสำหรับการเปลี่ยนแปลง
ตอนนี้เป็นเวลาที่จะเริ่มการสนทนาเกี่ยวกับวิธีการควบคุมจำนวนรายการดิจิทัลที่เพิ่มมากขึ้นภายในบริษัทของคุณ และอย่าละเลยที่จะรวมสิ่งต่างๆ เช่น ผู้ตรวจสอบบัญชีและหน่วยงานกำกับดูแลเป็นองค์ประกอบของกลยุทธ์ในการปรับโครงสร้างการควบคุมขององค์กรและการรายงานการปฏิบัติตาม
สภาพที่เป็นอยู่ไม่เพียงพออีกต่อไป เมื่อคำรับรองการเข้าร่วมกลายเป็นองค์ประกอบของรายการตรวจสอบการปฏิบัติตามข้อกำหนด องค์กรต่างๆ ก็จบลงด้วยการจัดการวิธีการที่หลากหลายค่อนข้างจำกัด ขณะนี้มีความกดดันที่จะวิจารณ์เกือบทุกอย่าง ไม่ว่าจะเป็นสินทรัพย์ที่ "มีมูลค่าสูง" หรือไม่ก็ตาม
มากกว่าสองคนที่จัดการกลยุทธ์เหล่านี้ได้แนะนำฉันว่าวิธีเดียวที่จะทำให้เสร็จทันเวลาคือเพียงให้ผู้ตรวจสอบ "ประทับตรายาง" อนุมัติทั่วทั้งกระดาน เมื่อวิธีเดียวที่จะปฏิบัติตามได้คือการเอาชนะหน้าที่ของการฝึกอบรม เรารู้ว่ามีบางสิ่งต้องเปลี่ยนแปลง
การลงทุนในโซลูชันที่สามารถจัดการปริมาณงานส่วนใหญ่ในแต่ละคนได้ ผู้ตรวจทานสามารถกำหนดเป้าหมายความคิดริเริ่มเกี่ยวกับงานและทางเลือกที่สมควรได้รับมากที่สุดสำหรับการรับรู้
มากกว่าการดำเนินการที่ยืดเยื้อ ความคาดหวังจากผู้ตรวจสอบบัญชีจะต้องปรับตัวให้เข้ากับเงื่อนไขที่วางไว้ นี่หมายถึงการย้ายออกจากขั้นตอนที่ต้องทำด้วยตนเอง ภาพหน้าจอ และสเปรดชีตเป็นระยะๆ ไปในทิศทางของวิธีการอัตโนมัติที่ชาญฉลาดยิ่งขึ้นซึ่งผู้ตรวจสอบสามารถเชื่อมั่นได้
Paul Trulove ที่ปรึกษา Authorize