安全领导人可以围绕身份将企业团结起来

安全领导人可以围绕身份将企业团结起来

安全方面的成功取决于与他人合作。在关键举措上获得他们的支持,以更好地保护重要事项。

你是怎么做到的?

最近,我与SailPoint总裁兼联合创始人凯文•坎宁安(Kevin Cunningham,Linkedin)谈了安全领导人如何与他人建立联系并获得支持的挑战。凯文有着令人印象深刻的背景,包括创建和营销Waveset,然后共同创建和领导Sailpoint,他明白让其他人参与你的使命的重要性。

我们开始讨论的时候接受了外围方法不起作用的事实。SaaS的采用仍在继续并在增加。虽然业务的扩张对我们来说是巨大的;这对攻击者也有好处。

这对身份产生了独特的压力。这是一条共同的路线——尤其是当我们的系统更多地处于我们不存在的边界之外时。它需要知道如何管理身份和更好地控制访问。

凯文解释了下面的细节。

从历史上看,组织的业务方面一直将安全程序视为一种障碍——为了满足更紧迫的业务需求和优先事项,充其量只能容忍(在最坏的情况下,可以忽略)这种障碍。公平地说,过于热心的安全程序会限制业务用户的生产力。但与此同时,一个过于宽松的计划也会给组织带来风险。关键是要找到一个平衡点——在将风险管理到组织可以接受的水平的同时,尽量减少对业务用户生产力的影响(甚至提高生产力)。

健全的身份管理计划为安全团队提供了实现这一平衡的机会。 实际情况是,安全性需要企业参与身份管理。 是那些从事业务的人在招聘和调动人员,与战略合作伙伴建立关系,进行兼并和收购等等。那些人比It人员更了解应该获得什么。但是,安全必须使参与这些进程成为有益的。业务人员几乎没有耐心或时间学习新技能,只是为了帮助安全团队。

安全组的关键是为业务提供明显的好处,同时加强管理风险所需的安全性。这些好处的例子包括获得应用程序访问权限和管理自己的密码的自助服务功能,以及简化审查访问权限的繁重任务(许多组织都需要定期这样做)。一个有效的身份管理程序为企业带来这些好处,同时允许进行幕后控制,将风险管理到组织可接受的水平。通过这种方式,身份的有效管理可以被视为一种业务促成因素,而不是一种障碍。

管理身份是一件表面上看起来很简单的事情,但一旦你把它隐藏起来,它就会变得极其复杂。在复杂的环境中,发现数百(如果不是数千)个应用程序并不罕见——每个应用程序都有自己的安全模型和许多不同类型的用户(员工、承包商、业务合作伙伴)具有非常特定的访问需求。而且这些用户是流动的:新的人随时都在加入,人们在换工作,人们离开一个组织,兼并和收购正在发生,商业伙伴关系正在建立和解散。有许许多多的运动部件需要连续管理。而且,在所有这些系统中,很少有相同的用户ID代表同一个人。因此,一些公司在有效的身份管理程序上苦苦挣扎也就不足为奇了。

根据我多年的经验,那些非常成功的人和那些年复一年继续奋斗的人之间最大的区别,可以分为三类:人、过程和技术。成功的身份管理项目通常由在公司有很高水平支持的强有力的个人领导。缺少这两个元素中的任何一个,以及整个企业中标识的分布性意味着一场艰难的战斗。

就流程而言,我见过一些人采取“铺路”的方法,即使用自动化工具自动化现有(和过时的)流程。 你最终会得到一个自动化的烂摊子。 成功的身份识别项目需要认真研究现有的流程,并检查是否需要进行变革以实现现代化或精简。最后,所选择的技术会对身份认证计划的结果产生重大影响。 必须了解底层架构(i、 e.解决方案是如何构建的?通过获取和编织多种解决方案,或以有目的的方式从头开始设计?) 确保解决方案架构良好是避免身份管理噩梦的关键。

首先也是最重要的一点是,安全领导和团队必须接受这样一个事实:不管是否有他们的参与,业务都将继续发展和采用新技术。向云和SaaS的迁移正在发生,BYOD在大多数组织中都是一个事实。因此,没有理由推倒这些举措。相反,安全团队应该找到方法来促进新技术的采用,使他们能够在这一过程中与业务合作。

集中式身份管理策略为安全团队提供了方便部署、采用和管理这些新技术的能力。有了这种伙伴关系,每个人都会赢。该公司拥有一套自动化功能,使他们能够方便地将用户带到这些新技术上,随着时间的推移对其进行管理,并为密码管理和访问请求提供强大的自助服务功能,这些都是该公司的一大收获。 同时,安全团队获得了对这些新技术的可见性、策略实施和控制。

关键是提前花时间向业务涉众解释价值主张。他们会喜欢这种坦率的谈话。

我们生活在一个开放和协作的时代,这对商业是有好处的。它允许公司扩张和成长——无论是有机的还是无组织的。越来越多的公司开始接受广泛的内部和业务伙伴信息共享。同时,从安全角度来看,物理网络周界已经消失。 人们正在使用自己的智能手机、笔记本电脑和平板电脑访问公司资产,而且越来越多的这些资产是基于云计算的,超出了公司防火墙的保护范围。通常,一个人的身份是将所有这些联系在一起的唯一共同因素,因此有效地管理身份至关重要。

与此同时,这些威胁从未如此严重或复杂。例如,谷歌(Google)最近报告称,他们每月遭遇4000起国家资助的网络攻击。黑网上充斥着被有组织犯罪分子窃取的待售身份。对于大多数公司来说,检测攻击的时间大约在150天左右。攻击者在网络中逗留的时间越长,他们移动和窃取信息的时间就越长。通常,攻击者通过泄露身份来实现这一点。

组织内的每个部门都应该关心他们是否在制造风险。这种关怀来自教育和安全文化,安全团队和行政领导共同创造了这种文化。

一切都从自我评估开始。作为一个安全领导,问问自己这些简单的问题:我的组织是否了解谁有权访问什么?考虑到他们与我的业务的关系(无论是员工、承包商还是客户?),我是否知道这是否合适?我是否有办法在企业级对访问实施控制和安全策略?我如何在组织中管理用户生命周期中的身份?

如果我是一个安全领导,但我不能充分回答这些问题,我需要把这个问题告诉执行领导,并承认,“我们无法量化我们的风险状况。”可见性是关键,这就是你想要开始的地方。一旦从应用程序(新的和旧的)、数据库、目录和其他企业资源集中收集了身份信息,就可以开始在其管理层中应用必要的控制和流程自动化。