A segurança em uma pequena empresa geralmente não é violada por um hacker. Está corroído por um desligamento que ninguém terminou. Alguém sai, sua conta principal é desativada e onze outras ferramentas mantêm silenciosamente seu acesso ativo porque ninguém se lembra de que alguma vez estiveram nelas. Doze ferramentas significam doze modelos de permissão e doze locais para revogar acesso – e as contas que você esquece são sua postura de segurança real, não importa o que sua política diga.
O problema das permissões fragmentadas.
Cada ferramenta tem sua própria ideia de funções, seu próprio painel de administração, sua própria definição de quem pode ver e fazer o quê. Não existe um único lugar que saiba a resposta para “o que essa pessoa pode acessar em todo o nosso negócio?” Portanto, conceder o direito de acesso no primeiro dia são doze decisões separadas, e revogá-lo no último dia são doze ações separadas - e a décima segunda é aquela que ninguém faz.
Sua postura de segurança não é sua política. É a lista de contas que você esqueceu de fechar. Numa pilha de doze ferramentas, essa lista nunca está vazia.
Onde morde.
Desembarque. Um funcionário que sai e tem acesso ao vivo até mesmo a uma ferramenta esquecida – a plataforma de e-mail, o armazenamento de arquivos, o CRM – é uma exposição real, e quanto mais ferramentas você usa, maior será a cauda das contas esquecidas. Permissão excessiva. Como definir o acesso preciso em doze ferramentas é tedioso, as pessoas recebem uma concessão exagerada de “estar seguro”, que é o oposto de seguro. Invisibilidade. Nenhuma auditoria pode responder quem pode tocar no quê, então você não pode realmente conhecer sua própria exposição.
Um modelo, um interruptor.
Quando o negócio funciona em uma plataforma, o acesso é um modelo e o desligamento é uma ação. Conceda um papel e isso significará a mesma coisa em todos os lugares, porque existe um em todos os lugares. Revogue uma pessoa e ela estará fora de todo o negócio de uma vez – não há onze portas laterais esquecidas, porque não há portas laterais. Você pode responder “o que essa pessoa pode ver?” em uma tela, o que significa que você pode realmente controlar o acesso em vez de esperar ter lembrado de todos os doze painéis.
As permissões parecem um detalhe de back-office até o dia em que se tornam manchete. O número de lugares que você precisa conceder e revogar acesso é o número de lugares onde você pode errar – e uma plataforma transforma esse número em um. O offboarding limpo não deveria depender da memorização de todas as doze ferramentas. Deve ser um único interruptor.