25 Березня, 2024
2 Квітня, 2024
12 min read
Захищаємо успіх бізнесу: Кращі практики управління доступами працівників до бізнес-програм компанії
У світі сучасного бізнесу довготривалий успіх вашої компанії, а також ваш особистий успіх як бізнес-лідера значною мірою залежить від здатності захистити конфіденційну інформацію. Корпоративні дані є вашою конкурентною перевагою, а їх витік може призвести до великих втрат (клієнтів, грошей або й того й іншого). Саме тому надзвичайно важливо впроваджувати заходи безпеки для контролю доступів співробітників до корпоративних даних. Навіть якщо ви впроваджуєте надійну політику паролів, багатофакторну автентифікацію та регулярне оновлення програмного забезпечення, але не контролюєте, хто має доступ до ваших програмних інструментів (тобто до ваших даних), ви наражаєтесь на вище перелічені ризики.
Що таке Tool Stack?
Набір усіх програмних інструментів та сервісів, які компанія використовує для своїх бізнес-операцій, називається “Tool Stack” (іноді “Tech Stack” або просто “стек”). До нього входить усе програмне забезпечення, починаючи з операційних програмних додатків, таких як: Slack, Figma або CRM, та завершуючи хмарними сервісами, зокрема: Amazon AWS, Microsoft Azure або Google Cloud Platform.
Нижче коротко розглянемо найкращі практики, яких варто, а ми в Stackoon.ai віримо, що критично необхідно, дотримуватись, щоб захистити ваші дані та запобігти їх потенційним витокам. В основі цих підходів лежить моніторинг доступу працівників до корпоративних даних протягом усього періоду їхнього залучення в діяльність компанії.
Практики управління доступом, яких варто дотримуватись
Як правило, протягом роботи у компанії, працівники поступово отримують доступ до все більшої кількості програм. Деякі працівники можуть переходити з одного відділу в інший, при цьому їхні ролі та обов’язки змінюються, і вони отримують доступ до додаткових інструментів і даних.
Щоб дані потрапляли лише в правильні руки, важливо якомога раніше почати впроваджувати наступні практики:
- Політики контролю доступу – запровадьте набір правил та інструкцій, які визначатимуть до яких інструментів мають доступ ваші групи користувачів та який в них рівень доступу. Ці документи мають охоплювати список ваших співробітників, розділених за відділами та ролями, а також ваших партнерів, клієнтів та підрядників.
- Перегляд прав доступу – періодично переглядайте права доступу користувачів, щоб переконатися, що вони відповідають їхнім поточним ролям і обов’язкам.
- Моніторинг активності користувачів – регулярно переглядайте активність користувачів для всіх критично важливих програмних інструментів, щоб виявити будь-який незвичний або несанкціонований тип доступу або запровадьте автоматичні сповіщення про підозрілі дії.
- Чекліст з офбордингу користувачів – створіть чіткий офбординг-процес, який забезпечить деактивацію всіх облікових записів і безпечну обробку даних будь-якого співробітника, який залишає організацію.
- [Професійна порада]: Автоматизуйте надання та відкликання доступів – впроваджуйте автоматизовані системи, які гарантують отримання усіх необхідних доступів у день прийому спеціаліста на роботу, оперативне коригування доступів при зміні посади, а також вчасне відкликання доступу при звільненні з компанії.
З точки зору безпеки даних, імовірність того, що у колишнього працівника залишиться доступ до даних компанії є однією з найбільших вразливостей.
Критична точка: як правильно провести офбординг співробітників
Однією з найбільших вразливостей з точки зору безпеки даних є імовірність того, що у колишнього працівника залишиться доступ до даних компанії. Це несе загрозу крадіжки даних, їх несанкціонованого поширення або навіть зловмисних дій спрямованих на порушення операційної діяльності організації. Ця загроза актуальна не лише безпосередньо в момент звільнення, але й тривалий період після того як працівник покинув компанію, якщо доступ не повністю вилучений. Ось чому ми вважаємо, що швидке та уважне скасування доступу є важливою частиною захисту ваших даних, і має бути першочерговим завданням.
Процедура відкликання доступу
Наявність процедури позбавлення користувачів доступу має критичне значення. Зазвичай помилки виникають через погану комунікацію між HR та ІТ, що призводить до нечіткого розподілу обов’язків. У компанії має бути чітко визначена відповідальна за процес офбордингу особа. Зазвичай це HR-спеціаліст, але ним також може бути керівник відділу або тімлід. Крім того, має бути чекліст з офбордингу, який містить анулювання доступу до облікових записів, хмарних сховищ та будь-яких інших інструментів і сервісів, до яких працівник мав доступ під час роботи.
Виконання процедури відкликання доступу
Власник процесу офбордингу повинен призначити виконавця (або виконавців) в межах таск-менеджмент системи компанії, який виконає всі кроки чекліста з офбордингу. Значна частина цього процесу передбачає визначення того, до яких інструментів і сервісів працівник мав доступ під час своєї роботи в компанії. Після цього виконавець повинен зайти в кожен інструмент і видалити обліковий запис цього працівника. Це робиться для того, щоб переконатися, що людина більше не має доступу до інструментів і даних, а також для оптимізації витрат компанії на ліцензії на програмне забезпечення.
Автоматизація управління доступом
Ми живемо у 2024 році, і здавалось би, треба просто знайти інструмент і автоматизувати процес управління доступами. Проте є нюанс: а саме інфрастурктура та рівент зусиль необхідний для впровадження та використання таких інструментів. Типовий корпоративний набір програм сьогодні складається з сервісу управління ідентифікацією та доступом IAM (наприклад, SSO від Okta або Ping Identity),
Читайте також:
Крім того, ви можете встановити платформу управління SaaS програмами корпоративного рівня (наприклад, BetterCloud або Torii). Щоб це спрацювало, спочатку вам потрібно переключити всі ваші програми на тарифні плани для великих корпорацій, адже зазвичай лише у них є підтримка підключення до IAM SSO. Зазвичай це збільшить ваші витрати на програмне забезпечення в три або навіть чотири рази, адже ці тарифні значно дорожчі від базових.
Наступний крок – замінити всі інструменти, які не підтримують SSO, на ті, що підтримують. Потім – придбати IAM та інтегрувати його з усіма вашими програмами, що може зайняти від кількох тижнів до кількох місяців. Крім того, налаштування SMP також не буде швидким. І навіть після всього цього ви можете натрапити на інструменти, які не повністю автоматизовані з точки зору управління доступом через обмеження існуючих технологій.
У компанії має бути чітко визначена особа, яка відповідає за процес офбордингу.
Революція штучного інтелекту
На щастя, розвиток штучного інтелекту дозволив нам вирішити проблему доступу до даних за допомогою інструменту нового покоління, який автоматизує управління доступами працівників для усіх існуючих веб програм. Він не потребує додаткової інфраструктури, такої як SSO, IAM або переходу на корпоративні тарифні плани. Як співзасновник, я можу бути упередженим, але я щиро вірю, що Stackoon – це найпростіше рішення для будь-якої компанії малого та середнього розміру, яка хоче захистити свої дані та оптимізувати ІТ-процеси. В інших випадках, ідеться про витрати купи грошей і часу на налаштування програмної екосистеми корпоративного рівня або ж про витрачання часу на виснажливі ручні офбординг задачі, з ризиками упустити доступ до критично важливих програм і даних.