La précipitation pour fournir aux employés distants un accès aux ressources de l'entreprise au début de la pandémie a été le point de basculement de l'accès à distance tel que nous le connaissons. Alors que les équipes informatiques luttent toujours pour maintenir le travail à distance via VPN, les responsables informatiques résistent à l'envie de repenser les opérations VPN et recherchent plutôt des approches modernes pour sécuriser l'accès aux ressources d'entreprise et cloud.
Je souhaite partager quelques points pour vous aider. les organisations créent une image plus précise des populations éloignées et des risques associés.
1. Considérez les informations auxquelles vous accédez, qui y accède, où elles se trouvent – dans cet ordre
Ce point concerne l’évolutivité. L'entreprise n'est pas le centre de l'univers. Les clients et partenaires commerciaux sont au centre de votre univers. Et les processus numériques qui permettent leur succès continu et leur fidélité reposent sur les informations stockées dans les systèmes de l'entreprise. Considérez donc les nombreuses personnes, systèmes et choses qui auront besoin d'accéder et de générer des informations d'entreprise, qu'il s'agisse d'un employé, d'un tiers ou d'un capteur; que ce soit à partir d'un immeuble de bureaux, d'un bureau à domicile ou d'un réverbère.
Les populations d'utilisateurs externes comprennent souvent la majorité de la base d'accès à distance, ainsi que l'attribution des revenus et le risque. La prise en compte de l'emplacement des informations peut aider à hiérarchiser les efforts de migration vers le cloud et à identifier des solutions flexibles basées sur le cloud qui peuvent sécuriser toutes les identités externes.
* 60% de toutes les violations de données d'entreprise remontent à des tiers «de confiance».
Regardez la vidéo, Comment sécuriser l'identité de tiers et l'accès à grande échelle.
2. Séparer la connectivité de la sécurité
Le meilleur conseil est de séparer la connectivité de la sécurité d'accès afin que vous puissiez vous concentrer sur l'authentification et l'autorisation. Séparer la connectivité de la sécurité vous aidera à développer les exigences de la solution dans le contexte de toutes les populations de travail à distance et fournira en fin de compte plus d'options.
3. Risque
La plupart des entreprises disposent de programmes de sécurité et de gouvernance de l'information bien documentés pour identifier les risques et les contrôles liés à l'accès des employés. Mais Gartner rapporte que seulement 53% des entreprises ont une stratégie pour atténuer le risque d'accès aux données lié à des tiers, et la plupart manquent de pratiques suffisantes de surveillance par des tiers pour détecter de nouveaux risques. Il n'est pas étonnant que les écosystèmes tiers soient classés parmi les principaux problèmes de gouvernance des données pour les responsables d'audit en 2020.
Envisagez de revoir les normes de sécurité de l'information et les cadres de gouvernance (par exemple, ISO 27001 NIST 800-53) COBIT ), notant que les exigences s'appliquent aussi bien aux tiers qu'aux employés. Par exemple, une branche des Nations Unies a récemment divulgué des constatations d'audit défavorables liées à des faiblesses d'identité externe:
- Cadre de gouvernance et de risque tiers (priorité élevée)
- Identité et accès des utilisateurs tiers gestion (priorité élevée)
- enregistrement des utilisateurs tiers et surveillance des activités (priorité élevée)
4. Exigences
Considérez les trois domaines ci-dessous dans le contexte de l'ensemble de vos populations externes pour vous aider à identifier vos besoins uniques:
- Sécurité : prenez en compte toutes les entités distantes de vos écosystèmes numériques actuels et attendus – personnes, systèmes et des choses. Les solutions avancées peuvent fournir à chacune de ces entités une identité, permettant des politiques de sécurité et d'accès communes pour déterminer, appliquer, surveiller et gérer l'accès. Pour l'authentification, prévoyez de traiter chaque connexion à distance comme provenant d'un étranger (confiance zéro) tout en étant en mesure d'exploiter les données et les signaux de plusieurs sources pour mettre à l'échelle la sécurité en réponse au risque perçu. L'authentification adaptative est une bonne technique pour y parvenir, à condition que la notation des risques prenne en compte le risque global de tous les comptes et droits associés aux informations d'identification fournies, en plus des signaux de risque standard (appareil, zone géographique, heure de la journée, etc.). [19659015] Évolutivité : Une solution permettant de gérer des millions d'identités tierces dans des milliers d'organisations doit être sécurisée, disponible, performante, rentable et s'intégrer à des systèmes inconnus. Les solutions B2B peuvent gérer l'accès entre tiers et évoluer sans ajouter de ressources internes, en traitant des cas d'utilisation beaucoup plus complexes que B2E et B2C. Portez une attention particulière à l'administration des utilisateurs: chaque touche ajoute des coûts. Les solutions avec processus numériques intégrés pour déléguer l'administration quotidienne des utilisateurs à des tiers, doter les utilisateurs finaux de capacités de libre-service et automatiser l'intégration et l'inscription réduiront vos coûts et augmenteront la maturité numérique.
- Interopérabilité et intégration: Les capacités d'intégration B2B avancées permettent la collaboration là où c'est nécessaire. Dans un monde B2B, les solutions devront se connecter à des environnements inconnus et sécuriser l'accès en utilisant la méthode qui répond le mieux aux exigences commerciales, techniques et de performance. En outre, les recherches en temps réel dans les magasins de données externes et les applications des fournisseurs sont courantes pour augmenter la notation des risques et les décisions d'accès. La messagerie et l'orchestration, le courtage et la diffusion d'événements, ainsi que la transformation de n'importe quel type sont souhaitables pour prendre en charge la collaboration multi-entreprises.
L'accès tiers est devenu un obstacle stratégique et opérationnel pour les entreprises, menaçant la croissance et les initiatives de rentabilité. Envisagez des solutions modernes qui peuvent sécuriser l'accès de tiers avec la même rigueur que l'accès des employés, tout en étant beaucoup plus automatisées et évolutives. Cela vous mettra sur la bonne voie pour sécuriser «la nouvelle façon de travailler».
Pour en savoir plus, lisez la présentation de la solution Identity and Access Management ou la Augmenter la résilience en collaboration Livre blanc sur les services financiers.
Source link