Haker zwykle nie narusza bezpieczeństwa w małej firmie. Zostało zniszczone przez offboarding, którego nikt nie skończył. Ktoś odchodzi, jego główne konto zostaje wyłączone, a jedenaście innych narzędzi po cichu utrzymuje ich dostęp, ponieważ nikt nie pamięta, że kiedykolwiek na nich byli. Dwanaście narzędzi to dwanaście modeli uprawnień i dwanaście miejsc do cofnięcia dostępu — a konta, o których zapomniałeś, odzwierciedlają Twój rzeczywisty stan bezpieczeństwa, niezależnie od tego, co mówią Twoje zasady.
Problem fragmentarycznych uprawnień.
Każde narzędzie ma własną koncepcję ról, własny panel administracyjny, własną definicję tego, kto może widzieć i co robić. Nie ma jednego miejsca, które zna odpowiedź na pytanie „do czego ta osoba może uzyskać dostęp w całej naszej firmie?” Zatem przyznanie prawa dostępu pierwszego dnia to dwanaście oddzielnych decyzji, a cofnięcie go ostatniego dnia to dwanaście oddzielnych działań – a dwunastej to ta, której nikt nie podejmuje.
Twój poziom bezpieczeństwa nie jest Twoją polityką. To lista kont, które zapomniałeś zamknąć. W stosie dwunastu narzędzi lista ta nigdy nie jest pusta.
Gdzie gryzie.
Offboarding. Odchodzący pracownik z dostępem na żywo nawet do jednego zapomnianego narzędzia – platformy pocztowej, magazynu plików, CRM – to realna ekspozycja, a im więcej narzędzi uruchomisz, tym dłuższy będzie ogon zapomnianych kont. Nadmierne pozwolenie. Ponieważ ustawianie precyzyjnego dostępu w dwunastu narzędziach jest żmudne, ludziom przesadnie przypisuje się „być bezpiecznym”, co jest przeciwieństwem bezpieczeństwa. Niewidzialność. Żaden pojedynczy audyt nie jest w stanie odpowiedzieć na pytanie, kto może dotknąć czego, więc tak naprawdę nie można poznać własnego narażenia.
Jeden model, jeden przełącznik.
Kiedy firma działa na jednej platformie, dostęp to jeden model, a odejście to jedno działanie. Daj rolę, a będzie ona wszędzie oznaczać to samo, bo wszędzie jest jedna. Odwołaj osobę, a ona natychmiast wypadnie z całego interesu — nie ma jedenastu zapomnianych bocznych drzwi, bo bocznych drzwi nie ma. Możesz odpowiedzieć „co widzi ta osoba?” z jednego ekranu, co oznacza, że możesz faktycznie zarządzać dostępem, zamiast mieć nadzieję, że pamiętasz wszystkie dwanaście paneli.
Uprawnienia wydają się szczegółem na zapleczu, aż do dnia, w którym trafiają na pierwsze strony gazet. Liczba miejsc, w których musisz przyznać i cofnąć dostęp, to liczba miejsc, w których możesz popełnić błąd — a jedna platforma zamienia tę liczbę w jedną. Czyste odejście od pracy nie powinno polegać na zapamiętywaniu wszystkich dwunastu narzędzi. Powinien to być pojedynczy przełącznik.