Tome uma lição da música de sucesso do “The Clash” e faça: “Se eu for, haverá problemas, e se eu ficar, será o dobro”, seu mantra quando se trata de gerenciar o acesso dos funcionários. O aprendizado de máquina moderno e as análises baseadas no usuário podem transformar a maneira como você limita o acesso inteligente dos funcionários, especialmente quando se trata de remover o provisionamento de usuários.
O que acontece quando os funcionários têm acesso a dados, aplicativos ou serviços que não deveriam? Na melhor das hipóteses: eles podem conhecer os salários de todos os seus colegas e executivos da empresa. No pior cenário: atores mal-intencionados exploram esse acesso e extraem dados comerciais confidenciais, causando danos e milhões de dólares em danos irreparáveis à reputação da marca.
Em blogs anteriores, escrevi como a segurança começa com a proteção dos usuários e que, ao verificar o usuário, reduzimos bastante a superfície de ataque de “todos os seres humanos” para aqueles em quem você realmente confia (também conhecido como seus funcionários). Também escrevi que queremos garantir que todos os dispositivos estejam sendo usados de maneira segura. Em outras palavras, ao validar todos os dispositivos, reduzimos ainda mais a superfície de ataque, limitando os dispositivos que obtêm acesso de bilhões de computadores, telefones ou tablets a apenas alguns poucos em posse do usuário.
A verificação de usuários e dispositivos de validação representa as etapas um e dois no caminho para o Zero Trust. Porém, embora essa combinação melhore drasticamente a postura de segurança, são necessárias mais camadas para garantir que os riscos de acesso fraudulento não existam mais. Só porque uma pessoa é quem ela diz que é – e está usando um dispositivo confiável – não significa que ela deve ter amplos direitos de acesso além do necessário para realizar seu trabalho. Seja por acidente ou por intenção maliciosa, os usuários internos ainda podem abusar do acesso – ou compartilhar o acesso com pessoas que não deveriam.
Para impedir que isso aconteça, você precisa reduzir bastante o risco associado aos direitos de acesso que cada usuário possui. Fazemos isso limitando o acesso do usuário (mesmo para usuários verificados e dispositivos validados) apenas aos aplicativos e recursos necessários para o trabalho, e somente quando especificamente necessário. Esta é a etapa número três que completa a trindade de uma abordagem de segurança Zero Trust: “Verifique todos os usuários, valide seus dispositivos e limite seu acesso de maneira inteligente”.
“Um dia está bom, no outro está no escuro.” (O acúmulo de acesso cria enormes perigos.)
As empresas normalmente concedem acesso aos aplicativos e recursos necessários à medida que integram os funcionários. Quando um funcionário avança, subindo na hierarquia ou saindo pela porta, tendemos a esquecer essas doações originais. Todos somos culpados disso. Por exemplo, agora sou chefe de marketing da Idaptive, portanto não deveria ter acesso ao nosso código-fonte do produto da mesma maneira que fazia quando era gerente de produto. O acúmulo de acesso a dados, aplicativos e serviços cria sérios riscos. Em vez disso, devemos adaptar esse acesso exatamente ao que uma pessoa precisa para o trabalho que realiza hoje – e remover automaticamente esse acesso quando sair.
É mais fácil falar do que fazer para as equipes de TI (e às vezes RH) que historicamente precisavam provisionar e desprovisionar usuários manualmente – ou pelo menos escrever manualmente as regras para programas de controle de acesso baseados em funções. Alguém tinha que dizer à TI que o papel de um funcionário havia mudado e, então, a TI teria que descobrir como isso se relaciona com o acesso que eles deveriam ou não deveriam ter. Costumamos nos referir a esse processo como “gerenciamento do ciclo de vida“, e o provisionamento é apenas uma parte dessa gigantesca responsabilidade que as equipes corporativas têm a tarefa de gerenciar.
O papel do gerenciamento do ciclo de vida no modelo Zero Trust é extremamente importante porque determina quem possui quais direitos em quais sistemas e aplicativos. Você pode garantir que um usuário tenha acesso apenas ao que ele precisa fazer, criar relatórios confiáveis e auditar esses direitos a qualquer momento.
A equipe de TI sabe que é difícil gerenciar contas, porque:
- Os funcionários geralmente recebem mais acesso do que precisam.
- O acesso frequentemente os acompanha durante o período em que eles estão em uma organização.
- Eles acumulam mais e mais direitos ao longo do tempo – mesmo quando suas posições e funções mudam.
- Contas não utilizadas e contas de funcionários e outros usuários que não precisam mais delas também tendem a permanecer por mais tempo do que deveriam.
É necessária alguma forma de automação e desprovisionamento automático. A combinação de automação de autoatendimento, fluxo de trabalho e provisionamento pode garantir que os usuários recebam apenas o acesso necessário, os ajudem a serem produtivos rapidamente e removem automaticamente o acesso à medida que suas funções mudam ou quando deixam a empresa.
Mesmo que você não tenha experiência prática com o gerenciamento do ciclo de vida, não é difícil ver como esse acesso de provisionamento no estilo de planilha ou “cadeira giratória” pode se transformar em algo demorado e propenso a erros – levando a um acúmulo de acesso ao longo do tempo. E quando os funcionários têm acesso a coisas que não deveriam, os invasores sabem que basta uma tentativa de phishing para obter acesso interno e causar estragos nos sistemas comerciais.
“Você tem que me avisar.” (O provisionamento e o gerenciamento do ciclo de vida aprimoram a visibilidade e o controle.)
Se você está dizendo agora “deve haver uma maneira segura, mais eficiente e talvez até automatizada de fazer isso”, você está certo. A resposta está dentro de uma abordagem Zero Trust, desenvolvida com a tecnologia de identidade Next-Gen Access.
Com o Provisioning and Lifecycle Management, você pode permitir que os usuários solicitem acesso a aplicativos do catálogo de aplicativos de aplicativos pré-integrados, forneça a usuários específicos a capacidade de aprovar ou rejeitar essas solicitações de acesso e criar, atualizar e desativar contas automaticamente com base nas funções em seu diretório de usuário. O provisionamento permite que os usuários sejam produtivos no primeiro dia com acesso, autorização e configuração de cliente apropriados em seus dispositivos.
O Gerenciamento do ciclo de vida também deve importar facilmente identidades do seu sistema ou aplicativo de RH preferido, incluindo Workday, UltiPro, BambooHR ou SuccessFactors, e provisioná-las (normalmente) para o Active Directory. Isso permite que você unifique seus fluxos de trabalho de provisionamento e RH e tenha um sistema primário de registro orientado por RH para dados do usuário em todos os seus aplicativos.
Por exemplo, com a sincronização do Active Directory (AD) para Microsoft Office 365, você pode manter suas contas do AD e do Office 365 sincronizadas e provisionar e desprovisionar automaticamente contas de usuário, grupos e associações de grupos para simplificar o gerenciamento de licenças do Office 365.
O gerenciamento do ciclo de vida não só pode poupar muito tempo e frustração às equipes de TI, mas também pode salvar as empresas de violações de dados incapacitantes. Esse é o poder de limitar inteligentemente o acesso como parte de uma estrutura do Zero Trust.
Publicado por: Corey Williams – Vice President, Marketing
Link: https://www.idaptive.com/blog/artificial-intelligence-employee-access/
Palavras chaves: idaptive, MDM, SSO, zero trust privilege