Mit dem Aufkommen der Identität als neuer Perimeter wird ihre Rolle bei der Unterstützung der digitalen Transformation, der Cloud-Einführung und einer verteilten Belegschaft von den heutigen Unternehmen nicht übersehen. Laut a kürzlich erschienenen Bericht (Registrierung erforderlich) betrachten 64 % der IT-Stakeholder die effektive Verwaltung und Sicherung digitaler Identitäten entweder als oberste Priorität (16 %) ihres Sicherheitsprogramms oder unter den ersten drei (48 %). Trotzdem haben Unternehmen weiterhin mit Identitätsverletzungen zu kämpfen – 84 % der Sicherheits- und IT-Experten gaben an, dass ihr Unternehmen im vergangenen Jahr von einer solchen Verletzung betroffen war.
Unterstützung für identitätszentrierte Sicherheit erhalten ist von entscheidender Bedeutung, aber bei der Argumentation für Investitionen in die Cybersicherheit geht es nicht um den Handel mit FUD (Angst, Unsicherheit und Zweifel). Um die Identität weiter in strategische Diskussionen einzubeziehen, ist die Fähigkeit erforderlich, den Geschäftswert zu demonstrieren – um zeigen Sie, wie identitätsbasierte Sicherheit mit den Geschäftszielen übereinstimmt und diese unterstützt.
Fast alle Teilnehmer an der Umfrage (98 %) gaben an, dass die Zahl der Identitäten in ihrem Unternehmen zunimmt, wobei häufig genannte Ursachen die Cloud-Akzeptanz, mehr Mitarbeiter, die Technologie nutzen, zunehmende Beziehungen zu Drittanbietern und eine wachsende Zahl von Maschinenidentitäten genannt werden. In diesem Umfeld, viele von Unternehmen von heute stehen unter immensem Druck Gewährleistung eines nahtlosen und sicheren Zugriffs auf Daten und Ressourcen in einer zunehmend verteilten und komplexen Umgebung.
Diese Komplexität, kombiniert mit motivierten Angreifern und der steigenden Anzahl an Identitäten, die verwaltet werden müssen, macht Effektives Identitätsmanagement ist ein entscheidender Teil der Unternehmensförderung Operationen. Unter den Organisationen, die im vergangenen Jahr einen identitätsbezogenen Verstoß erlebten, waren Probleme wie gestohlene Anmeldeinformationen, Phishing und falsch verwaltete Berechtigungen die gemeinsamen Themen. Die direkten geschäftlichen Auswirkungen eines Verstoßes können erheblich sein – 42 % geben eine erhebliche Ablenkung vom Kerngeschäft an, 44 % geben Wiederherstellungskosten an und 35 % berichten von negativen Auswirkungen auf den Ruf des Unternehmens. Umsatzeinbußen (29 %) und Kundenabwanderung (16 %) wurden ebenfalls gemeldet.
Übersetzung von IT-Anforderungen in geschäftliche Anforderungen
Die Argumente für eine Fokussierung auf die Identität sind klar, aber wie beginnen wir damit, IT-Anforderungen in geschäftliche Anforderungen zu übersetzen? Schritt eins besteht darin, die Prioritäten des Unternehmens darauf auszurichten, wo identitätszentrierte Sicherheit eingesetzt werden kann. Geschäftsziele drehen sich in der Regel darum, Kosten zu senken, die Produktivität zu steigern und Risiken zu minimieren. Gespräche über identitätsbasierte Sicherheit müssen daher zeigen, wie dieser Ansatz einige oder alle diese Punkte voranbringen kann.
Unter dem Gesichtspunkt der Produktivität vereinfacht beispielsweise eine strenge Identitätsverwaltung die Bereitstellung von Benutzern und die Überprüfung von Zugriffsrechten. Das bedeutet, dass Mitarbeiter schneller eingearbeitet werden können, und allen ausscheidenden Mitarbeitern wird der Zugriff automatisch entzogen. Die Eliminierung manueller Anstrengungen reduziert die Wahrscheinlichkeit von Fehlern, einschließlich Benutzern mit übermäßigen Berechtigungen, die ein unnötiges Risiko der Offenlegung schaffen. Je schlanker und automatisierter die Prozesse rund um das Identitätsmanagement sind, desto effizienter ist das Geschäft – und desto sicherer.
Wie bereits erwähnt, gehören zu den treibenden Kräften für das Wachstum von Identitäten die Cloud-Akzeptanz und ein Anstieg der Maschinenidentitäten. Das Wachstum von Maschinenidentitäten ist teilweise mit Geräten und Bots des Internets der Dinge (IoT) verbunden. IoT und Cloud sind oft Bestandteile digitaler Transformationsstrategien, die leicht durch Bedenken hinsichtlich des Zugriffs und der konsequenten Durchsetzung von Sicherheitsrichtlinien aufgehalten werden können. Diese Realität bietet eine Gelegenheit, Diskussionen über Sicherheit darüber zu führen, wie das Unternehmen diese Technologien sicher und ohne Beeinträchtigung von Compliance- und Sicherheitsanforderungen übernehmen kann.
Frame-Sicherheitsdiskussionen im Breach-Kontext
Multifaktor-Authentifizierung (MFA) beispielsweise wurde von vielen IT- und Sicherheitsexperten als eine Maßnahme genannt, die die Auswirkungen der von ihnen erlebten Sicherheitsverletzungen hätte verhindern oder minimieren können. MFA ist für die Durchsetzung der Zugriffskontrolle von entscheidender Bedeutung, insbesondere für Unternehmen mit Remote-Mitarbeitern oder solchen, die Cloud-Anwendungen und -Infrastrukturen verwenden. Wie sie oder nicht, Passwörter sind allgegenwärtig. Aber sie sind auch ein attraktives (und relativ einfaches) Ziel für Bedrohungsakteure, die auf Ressourcen zugreifen und tiefer in Ihrer Umgebung Fuß fassen möchten. Zusammen mit anderen identitätsorientierten Best Practices, die den Sicherheitsstatus verbessern, bietet MFA eine weitere Verteidigungsebene, die die Sicherheit eines Unternehmens stärken kann.
Zusätzlich zu MFA stellten IT- und Sicherheitsexperten allgemein fest, dass eine rechtzeitigere Überprüfung des privilegierten Zugriffs und eine kontinuierliche Ermittlung aller Benutzerzugriffsrechte die Auswirkungen eines Verstoßes verhindert oder verringert hätten. Während viele davon noch in Arbeit sind, scheinen Unternehmen insgesamt die Botschaft zu verstehen.
Auf die Frage, ob das Identitätsprogramm ihrer Organisation im vergangenen Jahr als Teil einer dieser strategischen Initiativen – Zero Trust, Cloud-Einführung, digitale Transformation, Cyber-Versicherungsinvestitionen und Anbietermanagement – als Investitionsbereich aufgenommen wurde, wählten fast alle mindestens eines. Einundfünfzig Prozent gaben an, in die Identität im Rahmen von Zero-Trust-Bemühungen investiert worden zu sein. 42 % gaben an, dass es Teil von Cloud-Initiativen war, und XNUMX % sagten, es sei Teil der digitalen Transformation.
Der Einstieg in die identitätsbasierte Sicherheit muss nicht überwältigend sein. Es erfordert jedoch eine Verständnis für Ihr Umfeld und Ihre geschäftlichen Prioritäten. Durch Durch den Fokus darauf, wie ein identitätszentrierter Sicherheitsansatz die Geschäftsziele unterstützen kann, können IT-Experten die Führungsrolle übernehmen, die sie benötigen, um die Technologie und Prozesse zu implementieren, die die Eintrittsbarriere für Bedrohungsakteure erhöhen.
