Der Kern der Sicherheitsstrategie Ihres Unternehmens basiert auf einer riesigen Anzahl individueller Berechtigungen für lokale und cloudbasierte Ressourcen. Angesichts der Zunahme von Cyberangriffen, Bedenken hinsichtlich Insider-Bedrohungen und der wachsenden Notwendigkeit, mehrere Compliance-Anforderungen zu erfüllen, die sich auf die Datensicherheit verschiedener Datentypen konzentrieren, scheint es, als sollten Berechtigungen für die meisten IT-Organisationen ein Hauptaugenmerk sein.
Und doch ist es einfach nicht der Fall. Die IT installiert auf jeden Fall mehrschichtige Sicherheitslösungen, etabliert neue Richtlinien und Prozesse und denkt über IT-Sicherheit sowohl im Hinblick auf Compliance als auch Governance nach. Aber irgendwie kümmert sich die IT nicht darum, ob die Grundlage für all diese Sicherheit – die zugeteilten Berechtigungen – überhaupt richtig ist.
Warum verwaltet die IT nicht die Berechtigungen – eine richtige Verwaltung der Berechtigungen, wie z. B. regelmäßige obligatorische Überprüfungen jeder Zuweisung, Absprache mit Abteilungsleitern oder Geschäftseigentümern, um sowohl die Berechtigungen als auch die Konten, denen sie zugewiesen sind, zu validieren und sogar zu bestätigen, dass bestimmte Zuweisungen für den Geschäftsbetrieb notwendig sind. Es passiert heutzutage nicht sehr oft.
Es gibt drei grundlegende Gründe, warum IT-Organisationen nicht kontinuierlich Berechtigungen verwalten. Kommt Ihnen irgendetwas davon bekannt vor?
- IT denkt „Berechtigungen sind statisch“ – Berechtigungen ändern sich nicht, oder? Das hängt von der Grundlage für den Auftrag ab. Drehen Sie die Uhr fünf oder zehn Jahre zurück, und die IT dachte sehr an „Technologie zuerst“, d. h. die IT entschied, welcher Zugriff notwendig war, und übernahm die Zuweisung. Aber die heutige IT erkennt langsam, aber sicher, dass IT das Unternehmen fragen muss, welche Berechtigungen benötigt werden und die notwendigen Änderungen vornehmen muss. Es ist möglich, dass die SharePoint-Berechtigungen, die vor 10 Jahren für eine frühere Version von SharePoint vergeben wurden, heute ausreichen, aber darum geht es doch nicht, oder? IT nimmt an, die Berechtigungen haben sich im Laufe der Zeit nicht geändert, anstatt zu bestätigen, dass dies wahr ist.
- Es ist (buchstäblich) das Letzte, was Sie tun wollen – Überprüfen, Validieren, Modifizieren und Zuweisen von Berechtigungen klingt wie eine Menge monotone und langweilige Arbeit. Ohne eine Lösung zur Verwaltung von Zugriffsrechten sprechen wir von Wochen, die manuell für die Erfassung jedes Auftrags aufgewendet wird. Und selbst nach der manuellen Arbeit, würden die meisten von uns zustimmen, wurden eine Tonne von Berechtigungen wahrscheinlich immer noch nicht gefunden.
- Es scheint nicht wichtig zu sein – Sie werden die Verwendung des Wortes „scheinen“ bemerken. Solange Berechtigungen zu 100% korrekt sind, sind sie nicht wichtig (da sie die Arbeit erledigen und die Organisation sichern). Aber wenn man bedenkt, dass sich die Anforderungen von Unternehmen im Laufe der Zeit verändert haben, ebenso wie die verwendeten Anwendungen, die Sicherheitsbedenken und die Compliance-Mandate, ist es viel wahrscheinlicher, dass Berechtigungen tatsächlich nicht korrekt sind und daher von größter Bedeutung sind. Denn wenn die Berechtigungen nicht stimmen, stimmt das auch nicht mit Ihren Annahmen über das Risiko des Unternehmens, seine Sicherheitshaltung und die Einhaltung von Vorschriften. Und, um fair zu sein, wenn Sie überhaupt nicht auf Berechtigungen schauen (was die Prämisse dieser Artikel ist), können Sie unmöglich wissen, ob sie richtig sind oder nicht.
Warum werden die Berechtigungen in Ihrem Unternehmen nicht verwaltet?
Es kann einer oder mehrere der oben genannten Gründe sein, oder vielleicht ist es einfach eine zu überwältigende Aufgabe zu übernehmen, so dass es für einen bestimmten Punkt in der Zukunft verschoben wird. Um ehrlich zu sein, kann die Aufgabe eine Drittanbieter Lösung zur Verwaltung der Zugriffsrechte erfordern, um sie präzise und zeitnah erledigen zu können.
Unabhängig von den Gründen ist es notwendig, Berechtigungen als tägliche Aufgabe der IT zu verwalten. Andernfalls basiert die Arbeit der IT im Bereich Sicherheit und Compliance auf einer unsicheren Grundlage. Es ist also an der Zeit, dies zu einer obersten Priorität zu machen und nach Möglichkeiten zu suchen, gute Berechtigungsverwaltungspraktiken in jeden Aspekt der IT zu integrieren.
Weitere Einzelheiten dazu, wie sich die falsche Verwaltung von Berechtigungen auf die Fähigkeit des Unternehmens auswirkt, Cyberangriffe abzuwehren, und was dagegen zu tun ist, finden Sie im Whitepaper Mismanaged Rights: A Cyberattacker’s Greatest Ally.