Te midden van ‘The Great Resignation’ is de schade van werknemers (of contractanten) die een organisatie verlaten misschien wel een van de grootste risico’s waarmee IT-teams tegenwoordig worden geconfronteerd. De realiteit is dat in de drukke zakelijke computeromgeving het in- en uitstappen van gebruikers een dagelijkse realiteit is.
Wanneer het aantal werknemers in het gebied van vijf cijfers ligt – en er moet ook rekening worden gehouden met hele netwerken van aannemers – is het gemakkelijk om uit het oog te verliezen wie er letterlijk komt en gaat. Vaak zijn er “offboarding”-stappen die vergeten worden – het uitschakelen of verwijderen van de gebruiker uit Active Directory of IAM is niet voldoende omdat de gebruiker lokale inloggegevens kan hebben op sommige SaaS-platforms of andere gevoelige systemen.
Technisch gezien zijn er manieren om offboarding te automatiseren met behulp van protocollen zoals SCIM en JIT-mapping; het vereist echter een hoge mate van volwassenheid in een IT-omgeving en het personeel om het te implementeren.
Voor organisaties die geen SCIM of JIT implementeren, kunnen externe medewerkers nog steeds lokale inloggegevens hebben op sommige van hun regelmatig gebruikte SaaS-platforms of andere gevoelige systemen. Door de toegang van deze gebruikers te behouden, worden organisaties blootgesteld aan ongeautoriseerde toegang tot gegevens.
Als het gaat om het verwijderen van oude gebruikers van systemen – deprovisioning – zijn er een paar best practices die in gedachten moeten worden gehouden en gevolgd.
Praktische tips voor uitschrijven
Houd een inventaris bij — Het is essentieel dat IT-teams te allen tijde een up-to-date register bijhouden van alle gebruikers met toegang tot bedrijfssystemen. Er moet een communicatiekanaal met personeelszaken worden opgezet om op de hoogte te blijven van gebeurtenissen die van invloed zijn op de gebruikersinventaris, zoals ontslag van werknemers. Om effectief te zijn vanuit het oogpunt van beveiliging, moeten deze systemen in staat zijn om zowel interne als externe gebruikers te controleren. Het leverancierslandschap kan voortdurend veranderen.
Wees altijd op uw hoede — Naast het bijhouden van de beoogde systeemgebruikers, moeten IT-teams de mogelijkheid hebben om gebruikers te ontdekken die verantwoordelijk zijn voor de volledige breedte van systemen waartoe ze toegang hebben – zowel die in legacy-omgevingen, zoals on-premises systemen, als in de snelgroeiende cloud omgeving.
Strenge toegangscontrole — Het is absoluut noodzakelijk dat IT-teams onboarding- en offboarding-protocollen ontwikkelen die de volledige omvang van geprivilegieerde computertoegang voor werknemers omvatten. Als een werknemer toegang heeft tot 3 interne systemen en 30 in de cloud gehoste systemen, dan zal het duidelijk beperken van de toegang tot die on-premises een gapend informatielek achterlaten waartoe ze toegang behouden.
Het uitschrijvingsproces automatiseren
Het nauwgezette karterings- en beveiligingswerk dat dit proces van een beveiligingsteam vereist, is enorm. EEN SaaS-beveiligingshoudingsbeheer oplossing, zoals Adaptief schildkan dit proces stroomlijnen — een eenvoudige zoekopdracht in de gebruikersinventaris van Adaptive Shield kan de gebruikershouding van de uitgeschreven gebruikersaccounts in de gehele SaaS-stack onthullen.
Als het gaat om het uitschrijven van deze accounts, bieden orkestratietools beveiligingsteams een gemakkelijke manier om de mogelijkheden van Adaptive Shield te integreren in een geautomatiseerde deprovisioning-workflow. Dit vereenvoudigt het proces enorm, vermindert de hoeveelheid tijd die nodig is om gebruikers volledig uit te schrijven en zorgt ervoor dat er geen accounts actief blijven.
 |
| Screenshot geleverd door Torq |
In de bovenstaande afbeelding ziet u een mogelijke workflow waarin:
- De initiële IAM-deprovisioning kan worden gebruikt als de haak om Adaptive Shield te informeren dat er een deprovisioning-gebeurtenis heeft plaatsgevonden.
- Adaptive Shield kan het geïntegreerde SaaS-landschap van de organisatie doorzoeken op records voor die gebruiker,
- Wanneer Adaptive Shield een actief account detecteert, activeert het een workflow in de automatiseringstool die het account identificeert en deactiveert.
- Als het account niet direct kan worden gedeactiveerd, stuurt het een bericht via Slack naar een beheerder met het verzoek om de deactivering te bevestigen.
- De automatiseringstool voert vervolgens de beveiligingscontrole in Adaptive Shield opnieuw uit om de deactivering van het account te verifiëren.
Deze workflow is slechts één voorbeeld van hoe de integratie van Adaptive Shield met een orkestratietool het deprovisioningproces stroomlijnt door middel van automatisering; niet alleen om de last van handmatige controle en het deactiveren van accounts te verlichten, maar ook om continu inzicht en controle te bieden, waardoor de SaaS-beveiligingshouding van de organisatie wordt vergroot.
Leer meer over hoe u deprovisioning voor uw organisatie kunt automatiseren.
