中小企業のセキュリティは通常、ハッカーによって侵害されることはありません。誰も終わっていないオフボードによって侵食されています。誰かが去り、メインアカウントが無効になり、他の 11 のツールは、そのツールにいたことを誰も覚えていないため、静かにアクセスを維持します。 12 のツールとは、12 の権限モデルとアクセスを取り消すための 12 の場所を意味します。 — そして、ポリシーにどのような内容が記載されているかに関係なく、忘れたアカウントこそが実際のセキュリティ体制となります。
断片化されたアクセス許可の問題。
すべてのツールには独自の役割の考え方、独自の管理パネル、誰が何を表示して実行できるかについての独自の定義があります。 「この人は当社のビジネス全体で何にアクセスできるのか?」という答えを知っている単一の場所はありません。したがって、初日に適切なアクセスを許可することは 12 の個別の決定であり、最終日にそれを取り消すことは 12 の個別のアクションです。そして 12 番目のアクションは誰も実行しないものです。
セキュリティ体制はポリシーではありません。それはあなたが閉鎖し忘れたアカウントのリストです。 12 個のツールのスタックでは、そのリストが空になることはありません。
噛むところ。
オフボーディング。 退職した従業員が、電子メール プラットフォーム、ファイル ストア、CRM などの忘れられたツールの 1 つでもライブ アクセスを持っていると、重大な危険にさらされます。実行するツールが増えるほど、忘れられたアカウントの尾が長くなります。 過剰許可。 12 個のツールに正確なアクセス権を設定するのは面倒なため、人々は安全の逆である「安全であること」を過剰に許可してしまいます。 不可視性。 誰が何を触ることができるのかを単一の監査で答えられるものはないため、実際に自分自身の危険にさらされているのかを知ることはできません。
1 つのモデル、1 つのスイッチ。
ビジネスが 1 つのプラットフォームで実行されている場合、アクセスは 1 つのモデルであり、オフボーディングは 1 つのアクションです。役割を付与すると、どこにでも役割が存在するため、それはどこでも同じことを意味します。誰かを取り消すと、その人はすぐにビジネス全体から退場になります。サイドドアが存在しないため、11 のサイドドアを忘れることはありません。 「この人には何が見えますか?」と答えることができます。つまり、12 個のパネルすべてを覚えていることを期待するのではなく、実際にアクセスを管理できることになります。
アクセス許可は、それが見出しになる日までバックオフィスの詳細のように感じられます。アクセスを許可したり取り消したりしなければならない場所の数は、間違える可能性のある場所の数です。そして、1 つのプラットフォームでその数が 1 つに変わります。クリーンなオフボーディングは、12 のツールをすべて覚えておくことに依存すべきではありません。スイッチは 1 つである必要があります。