Med identitetens fremvekst som den nye perimeteren, blir ikke dens rolle i å støtte digital transformasjon, skyadopsjon og en distribuert arbeidsstyrke oversett av dagens bedrifter. I følge a siste rapport (registrering kreves), 64 % av IT-interessentene anser effektiv administrasjon og sikring av digitale identiteter som enten toppprioritet (16 %) av sikkerhetsprogrammet deres eller blant de tre beste (48 %). Til tross for dette, fortsetter bedrifter å slite med identitetsrelaterte brudd - 84 % av sikkerhets- og IT-proffene rapporterte at organisasjonen deres led et slikt brudd det siste året.
Få buy-in for identitetssentrert sikkerhet er viktig, men å argumentere for å investere i cybersikkerhet handler ikke om handel med FUD (frykt, usikkerhet og tvil). Å skyve identitet videre inn i strategiske diskusjoner krever evnen til å demonstrere forretningsverdi – til vise frem hvordan identitetsbasert sikkerhet stemmer overens med og støtter forretningsmål.
Nesten alle deltakerne i undersøkelsen (98 %) sa at antallet identiteter i organisasjonen deres økte, med ofte nevnte årsaker inkludert skyadopsjon, flere ansatte som bruker teknologi, økende tredjepartsrelasjoner og økende antall maskinidentiteter. I dette miljøet er mange av Dagens bedrifter har vært under et enormt press for å sikre sømløs og sikker tilgang til data og ressurser i et miljø som blir mer distribuert og komplekst.
Denne kompleksiteten, kombinert med motiverte angripere og det økende antallet identiteter som må administreres, gjør effektiv identitetshåndtering en kritisk del av å aktivere virksomheten operasjoner. Blant organisasjonene som opplevde et identitetsrelatert brudd det siste året, var de røde trådene problemer som stjålet legitimasjon, phishing og feiladministrerte privilegier. De direkte forretningsmessige konsekvensene av et brudd kan være betydelige – med 42 % som nevner en betydelig distraksjon fra kjernevirksomheten, 44 % bemerker utvinningskostnader og 35 % rapporterer en negativ innvirkning på organisasjonens omdømme. Omsetningstap (29%) og kundeavgang (16%) ble også rapportert.
Oversette IT-behov til forretningsbehov
Begrunnelsen for å fokusere på identitet er klar, men hvordan begynner vi å oversette IT-behov til forretningsbehov? Trinn én er å justere organisasjonens prioriteringer med hvor identitetssentrert sikkerhet kan passe inn. Forretningsmål har en tendens til å dreie seg om å redusere kostnader, øke produktiviteten og minimere risiko. Samtaler om identitetsbasert sikkerhet må derfor vise hvordan den tilnærmingen kan fremme noen eller alle disse punktene.
Fra et produktivitetssynspunkt forenkler for eksempel stram identitetsstyring brukerklargjøring og gjennomgang av tilgangsrettigheter. Det betyr at ansatte kan bli ombord raskere, og alle avgående ansatte vil få tilgangen sin tilbakekalt automatisk. Eliminering av manuell innsats reduserer sjansen for feil, inkludert brukere med overdrevne rettigheter som skaper en unødvendig risiko for eksponering. Jo mer strømlinjeformet og automatisert prosessene rundt identitetshåndtering er, jo mer effektiv er virksomheten – og jo sikrere.
Som nevnt tidligere inkluderer noen av drivkreftene for veksten i identiteter skyadopsjon og en økning i maskinidentiteter. Veksten av maskinidentiteter er delvis knyttet til Internet of Things (IoT) enheter og roboter. IoT og sky er ofte deler av digitale transformasjonsstrategier som lett kan bli hengt opp av bekymringer om tilgang og konsekvent håndheving av sikkerhetspolicyer. Denne virkeligheten gir en mulighet til å ramme diskusjoner om sikkerhet rundt hvordan virksomheten kan ta i bruk disse teknologiene trygt og uten å ofre samsvar og sikkerhetskrav.
Rammesikkerhetsdiskusjoner i bruddkontekst
Multifaktorautentisering (MFA) ble for eksempel sitert av mange IT- og sikkerhetseksperter som et tiltak som kunne ha forhindret eller minimert virkningen av bruddene de opplevde. MFA er avgjørende for å håndheve tilgangskontroll, spesielt for virksomheter med eksterne arbeidere eller de som bruker skyapplikasjoner og infrastruktur. Lik dem eller ikke, passord er allestedsnærværende. Men de er også et attraktivt (og relativt enkelt) mål for trusselaktører som ønsker å få tilgang til ressurser og få et dypere fotfeste i miljøet ditt. Sammen med andre identitetssentrerte beste praksiser som forbedrer sikkerheten, gir MFA enda et lag med forsvar som kan styrke en organisasjons sikkerhet.
I tillegg til MFA, bemerket IT- og sikkerhetseksperter ofte at mer rettidig gjennomgang av privilegert tilgang og kontinuerlig oppdagelse av alle brukertilgangsrettigheter ville ha forhindret eller redusert effekten av et brudd. Mens mange av disse fortsatt er under arbeid, ser det totalt sett ut til at organisasjoner begynner å få meldingen.
På spørsmål om i løpet av det siste året deres organisasjons identitetsprogram ble inkludert som et investeringsområde som en del av noen av disse strategiske initiativene – null tillit, skyadopsjon, digital transformasjon, cyberforsikringsinvesteringer og leverandøradministrasjon – valgte nesten alle minst en. 42 prosent sa at det var investert i identitet som en del av innsatsen for null-tillit. XNUMX prosent sa at det var inkludert som en del av skyinitiativer, og XNUMX prosent sa at det var en del av digital transformasjon.
Å komme i gang med identitetsbasert sikkerhet trenger ikke være overveldende. Det krever imidlertid en forståelse av miljøet og forretningsprioriteringer. Av med fokus på hvordan en identitetssentrisk tilnærming til sikkerhet kan støtte forretningsmålene, kan IT-fagfolk få det lederskapet de trenger for å implementere teknologien og prosessene som vil heve inngangsbarrieren for trusselaktører.
