Nelle piccole imprese la sicurezza non viene di solito violata da un hacker. Viene erosa da un offboarding che nessuno ha portato a termine. Qualcuno se ne va, il suo account principale viene disattivato, e altri undici strumenti continuano silenziosamente a mantenere attivo il suo accesso perché nessuno si è ricordato che ne facesse parte. Dodici strumenti significano dodici modelli di permessi e dodici punti diversi in cui revocare gli accessi – e gli account che dimentichi rappresentano il tuo attuale livello di sicurezza, indipendentemente da ciò che dice la tua policy.
Il problema dei permessi frammentati.
Ogni strumento ha la propria idea di ruoli, il proprio pannello di amministrazione, la propria definizione di chi può vedere e fare cosa. Non esiste un unico luogo che conosca la risposta alla domanda "a cosa può accedere questa persona in tutta la nostra attività?" Quindi garantire il diritto di accesso il primo giorno richiede dodici decisioni separate, revocarlo l’ultimo giorno richiede dodici azioni separate – e la dodicesima è quella che nessuno fa.
La tua posizione di sicurezza non è la tua politica. È l'elenco degli account che hai dimenticato di chiudere. In uno stack di dodici strumenti, l'elenco non è mai vuoto.
Dove morde.
Fuoribordo. Un dipendente che se ne va con accesso in tempo reale anche a uno strumento dimenticato (la piattaforma di posta elettronica, l'archivio file, il CRM) è una vera esposizione e più strumenti utilizzi, più lunga è la coda degli account dimenticati. Permessi eccessivi. Poiché impostare un accesso preciso in dodici strumenti è noioso, alle persone viene concesso troppo “per essere al sicuro”, che è l’opposto di sicuro. Invisibilità. Nessun singolo audit può rispondere a chi può toccare cosa, quindi non puoi effettivamente conoscere la tua esposizione.
Un modello, un interruttore.
Quando l'azienda funziona su un'unica piattaforma, l'accesso è un modello e l'offboarding è un'azione. Concedi un ruolo e significa la stessa cosa ovunque, perché ce n'è uno ovunque. Revoca una persona e sarà immediatamente fuori dall'intera faccenda: niente undici porte secondarie dimenticate, perché non ci sono porte secondarie. Puoi rispondere “cosa può vedere questa persona?” da una schermata, il che significa che puoi effettivamente gestire l'accesso invece di sperare di ricordare tutti e dodici i pannelli.
I permessi sembrano un dettaglio amministrativo finché non diventano una notizia in prima pagina. Il numero di punti in cui devi concedere e revocare l'accesso è il numero di punti in cui puoi sbagliare — e un'unica piattaforma riduce quel numero a uno. Una disattivazione pulita non dovrebbe dipendere dal ricordarsi di tutti e dodici gli strumenti. Dovrebbe essere un solo interruttore.