Η επιχειρηματική ασφάλεια ξεκινά με την ταυτότητα

Με την ανάδειξη της ταυτότητας ως τη νέα περίμετρο, ο ρόλος της στην υποστήριξη του ψηφιακού μετασχηματισμού, της υιοθέτησης του cloud και του κατανεμημένου εργατικού δυναμικού δεν παραβλέπεται από τις σημερινές επιχειρήσεις. Σύμφωνα με α πρόσφατη έκθεση (απαιτείται εγγραφή), το 64% των ενδιαφερομένων στον τομέα της πληροφορικής θεωρεί ότι η αποτελεσματική διαχείριση και η διασφάλιση ψηφιακών ταυτοτήτων είναι είτε η κορυφαία προτεραιότητα (16%) του προγράμματος ασφαλείας τους είτε στην πρώτη τριάδα (48%). Παρόλα αυτά, οι επιχειρήσεις συνεχίζουν να παλεύουν με παραβιάσεις που σχετίζονται με την ταυτότητα — το 84% των επαγγελματιών ασφάλειας και πληροφορικής ανέφεραν ότι ο οργανισμός τους υπέστη τέτοια παραβίαση το περασμένο έτος.

Λήψη αγοράς για ασφάλεια με επίκεντρο την ταυτότητα είναι ζωτικής σημασίας, αλλά το να υποστηρίξουμε την επένδυση στην ασφάλεια στον κυβερνοχώρο δεν αφορά τη διακίνηση FUD (φόβος, αβεβαιότητα και αμφιβολία). Η προώθηση της ταυτότητας περαιτέρω στις στρατηγικές συζητήσεις απαιτεί την ικανότητα επίδειξης επιχειρηματικής αξίας — να παρουσιάστε πώς η ασφάλεια βάσει ταυτότητας ευθυγραμμίζεται και υποστηρίζει τους επιχειρηματικούς στόχους.

Σχεδόν όλοι οι συμμετέχοντες στην έρευνα (98%) δήλωσαν ότι ο αριθμός των ταυτοτήτων στον οργανισμό τους αυξανόταν, με κοινά αναφερόμενα αίτια όπως η υιοθέτηση του cloud, η χρήση περισσότερων εργαζομένων στην τεχνολογία, η αύξηση των σχέσεων με τρίτους και ο αυξανόμενος αριθμός ταυτοτήτων μηχανών. Σε αυτό το περιβάλλον, πολλά από Οι σημερινές επιχειρήσεις έχουν βρεθεί υπό τεράστια πίεση να εξασφαλίσει απρόσκοπτη και ασφαλή πρόσβαση σε δεδομένα και πόρους σε ένα περιβάλλον που γίνεται πιο κατανεμημένο και πολύπλοκο.

Αυτή η πολυπλοκότητα, σε συνδυασμό με τους παρακινημένους επιτιθέμενους και τον αυξανόμενο αριθμό ταυτοτήτων που πρέπει να διαχειρίζονται, κάνει Η αποτελεσματική διαχείριση ταυτότητας αποτελεί κρίσιμο μέρος της ευνοϊκής επιχειρηματικότητας επιχειρήσεις. Μεταξύ των οργανισμών που αντιμετώπισαν παραβίαση που σχετίζεται με την ταυτότητα το περασμένο έτος, τα κοινά θέματα ήταν ζητήματα όπως κλεμμένα διαπιστευτήρια, ηλεκτρονικό ψάρεμα και κακή διαχείριση προνομίων. Οι άμεσες επιχειρηματικές επιπτώσεις μιας παραβίασης μπορεί να είναι σημαντικές - με το 42% να αναφέρει σημαντική απόσπαση της προσοχής από την κύρια δραστηριότητα, το 44% να σημειώνει το κόστος ανάκτησης και το 35% να αναφέρει αρνητικό αντίκτυπο στη φήμη του οργανισμού. Αναφέρθηκαν επίσης απώλεια εσόδων (29%) και απώλεια πελατών (16%).

Μεταφράζοντας τις ανάγκες πληροφορικής σε επιχειρηματικές ανάγκες

Η υπόθεση της εστίασης στην ταυτότητα είναι ξεκάθαρη, αλλά πώς ξεκινάμε να μετατρέπουμε τις ανάγκες πληροφορικής σε επιχειρηματικές ανάγκες; Το πρώτο βήμα είναι η ευθυγράμμιση των προτεραιοτήτων του οργανισμού με τα σημεία που μπορεί να χωρέσει η ασφάλεια με επίκεντρο την ταυτότητα. Οι επιχειρηματικοί στόχοι τείνουν να περιστρέφονται γύρω από τη μείωση του κόστους, την αύξηση της παραγωγικότητας και την ελαχιστοποίηση του κινδύνου. Επομένως, οι συζητήσεις για την ασφάλεια που βασίζεται στην ταυτότητα πρέπει να καταδεικνύουν πώς αυτή η προσέγγιση μπορεί να προωθήσει ορισμένα ή όλα αυτά τα σημεία.

Από την άποψη της παραγωγικότητας, για παράδειγμα, η αυστηρή διακυβέρνηση ταυτότητας απλοποιεί την παροχή των χρηστών και την αναθεώρηση των δικαιωμάτων πρόσβασης. Αυτό σημαίνει ότι οι εργαζόμενοι μπορούν να επιβιβαστούν γρηγορότερα και σε οποιονδήποτε αποχωρούν υπάλληλο θα ανακληθεί αυτόματα η πρόσβασή τους. Η εξάλειψη των μη αυτόματων προσπαθειών μειώνει την πιθανότητα σφάλματος, συμπεριλαμβανομένων των χρηστών με υπερβολικά προνόμια που δημιουργούν έναν περιττό κίνδυνο έκθεσης. Όσο πιο εξορθολογισμένες και αυτοματοποιημένες είναι οι διαδικασίες γύρω από τη διαχείριση ταυτότητας, τόσο πιο αποτελεσματική είναι η επιχείρηση — και τόσο πιο ασφαλής.

Όπως αναφέρθηκε προηγουμένως, μερικές από τις κινητήριες δυνάμεις για την ανάπτυξη των ταυτοτήτων περιλαμβάνουν την υιοθέτηση του cloud και την άνοδο στις ταυτότητες μηχανών. Η ανάπτυξη των ταυτοτήτων μηχανών συνδέεται εν μέρει με τις συσκευές και τα bots Internet of Things (IoT). Το IoT και το cloud αποτελούν συχνά μέρη των στρατηγικών ψηφιακού μετασχηματισμού που μπορούν εύκολα να κολλήσουν από ανησυχίες σχετικά με την πρόσβαση και τη συνεπή επιβολή των πολιτικών ασφαλείας. Αυτή η πραγματικότητα παρουσιάζει μια ευκαιρία να πλαισιωθούν συζητήσεις σχετικά με την ασφάλεια γύρω από το πώς η επιχείρηση μπορεί να υιοθετήσει αυτές τις τεχνολογίες με ασφάλεια και χωρίς να θυσιάζει τις απαιτήσεις συμμόρφωσης και ασφάλειας.

Πλαίσιο συζητήσεων για την ασφάλεια σε πλαίσιο παραβίασης

Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA), για παράδειγμα, αναφέρθηκε από πολλούς επαγγελματίες πληροφορικής και ασφάλειας ως μέτρο που θα μπορούσε να είχε αποτρέψει ή ελαχιστοποιήσει τον αντίκτυπο των παραβιάσεων που αντιμετώπισαν. Το MFA είναι ζωτικής σημασίας για την επιβολή του ελέγχου πρόσβασης, ιδιαίτερα για επιχειρήσεις με απομακρυσμένους εργαζόμενους ή εκείνες που χρησιμοποιούν εφαρμογές και υποδομές cloud. Είτε τους αρέσει είτε όχι, οι κωδικοί πρόσβασης είναι πανταχού παρόντες. Αλλά είναι επίσης ένας ελκυστικός (και σχετικά εύκολος) στόχος για τους παράγοντες απειλών που θέλουν να αποκτήσουν πρόσβαση σε πόρους και να αποκτήσουν βαθύτερη βάση στο περιβάλλον σας. Μαζί με άλλες βέλτιστες πρακτικές με επίκεντρο την ταυτότητα που βελτιώνουν τη στάση ασφαλείας, το MFA παρέχει ένα άλλο επίπεδο άμυνας που μπορεί να ενισχύσει την ασφάλεια ενός οργανισμού.

Εκτός από το MFA, οι επαγγελματίες πληροφορικής και ασφάλειας σημείωσαν συνήθως ότι οι πιο έγκαιρες αναθεωρήσεις της προνομιακής πρόσβασης και η συνεχής ανακάλυψη όλων των δικαιωμάτων πρόσβασης των χρηστών θα είχαν αποτρέψει ή μειώσει την επίδραση μιας παραβίασης. Ενώ πολλά από αυτά παραμένουν έργα σε εξέλιξη, συνολικά, φαίνεται ότι οι οργανισμοί αρχίζουν να λαμβάνουν το μήνυμα.

Όταν ρωτήθηκαν εάν κατά τη διάρκεια του περασμένου έτους το πρόγραμμα ταυτότητας του οργανισμού τους συμπεριλήφθηκε ως τομέας επένδυσης ως μέρος οποιασδήποτε από αυτές τις στρατηγικές πρωτοβουλίες - μηδενική εμπιστοσύνη, υιοθέτηση cloud, ψηφιακός μετασχηματισμός, επενδύσεις στον κυβερνοχώρο και διαχείριση προμηθευτών - σχεδόν όλοι επέλεξαν τουλάχιστον ένας. Το 42 τοις εκατό είπε ότι η ταυτότητα είχε επενδυθεί ως μέρος των προσπαθειών μηδενικής εμπιστοσύνης. Το XNUMX% είπε ότι συμπεριλήφθηκε ως μέρος των πρωτοβουλιών cloud και το XNUMX% είπε ότι ήταν μέρος του ψηφιακού μετασχηματισμού.

Το να ξεκινήσετε με την ασφάλεια που βασίζεται στην ταυτότητα δεν χρειάζεται να είναι συντριπτικό. Ωστόσο, απαιτεί ένα κατανόηση του περιβάλλοντος και των προτεραιοτήτων της επιχείρησής σας. Με Τον εστιάζοντας στον τρόπο με τον οποίο μια προσέγγιση με επίκεντρο την ταυτότητα της ασφάλειας μπορεί να υποστηρίξει επιχειρηματικούς στόχους, οι επαγγελματίες πληροφορικής μπορούν να αποκτήσουν την ηγεσία που χρειάζονται για την εφαρμογή της τεχνολογίας και των διαδικασιών που θα υψώσουν το εμπόδιο εισόδου για τους παράγοντες απειλών.