Die Sicherheit eines Kleinunternehmens wird normalerweise nicht durch einen Hacker verletzt. Es wurde durch ein Offboarding untergraben, das niemand abgeschlossen hat. Jemand verlässt das Konto, sein Hauptkonto wird deaktiviert und elf andere Tools halten ihren Zugriff stillschweigend aufrecht, weil sich niemand daran erinnert, dass sie jemals dort waren. Zwölf Tools bedeuten zwölf Berechtigungsmodelle und zwölf Orte zum Widerrufen des Zugriffs – und die Konten, die Sie vergessen, stellen Ihren tatsächlichen Sicherheitsstatus dar, unabhängig davon, was in Ihrer Richtlinie steht.
Das Problem der fragmentierten Berechtigungen.
Jedes Tool hat seine eigene Vorstellung von Rollen, sein eigenes Admin-Panel und seine eigene Definition, wer was sehen und tun kann. Es gibt keinen einzigen Ort, der die Antwort auf die Frage kennt: „Auf was kann diese Person in unserem gesamten Unternehmen zugreifen?“ Die Gewährung des Zugriffsrechts am ersten Tag erfordert also zwölf separate Entscheidungen, und der Widerruf am letzten Tag erfordert zwölf separate Aktionen – und die zwölfte ist die, die niemand tut.
Ihre Sicherheitslage ist nicht Ihre Richtlinie. Es handelt sich um die Liste der Konten, die Sie vergessen haben, zu schließen. In einem Stapel mit zwölf Werkzeugen ist diese Liste niemals leer.
Wo es beißt.
Offboarding. Ein ausgeschiedener Mitarbeiter mit Live-Zugriff auf auch nur ein vergessenes Tool – die E-Mail-Plattform, den Dateispeicher, das CRM – stellt eine echte Gefährdung dar, und je mehr Tools Sie verwenden, desto länger bleibt die Spur vergessener Konten. Übermäßige Berechtigungen. Da es mühsam ist, den genauen Zugriff in zwölf Tools festzulegen, wird den Menschen zu viel „auf Sicherheit“ gegeben, was das Gegenteil von „sicher“ ist. Unsichtbarkeit. Kein einzelnes Audit kann beantworten, wer was anfassen darf, daher können Sie Ihre eigene Gefährdung nicht wirklich kennen.
Ein Modell, ein Schalter.
Wenn das Unternehmen auf einer Plattform läuft, ist der Zugriff ein Modell und das Offboarding eine Aktion. Gewähren Sie eine Rolle und es bedeutet überall das Gleiche, weil es überall eine gibt. Wenn Sie eine Person widerrufen, ist sie sofort aus dem gesamten Geschäft ausgeschlossen – keine elf vergessenen Seitentüren, weil es keine Seitentüren gibt. Sie können antworten: „Was kann diese Person sehen?“ von einem Bildschirm aus, was bedeutet, dass Sie den Zugriff tatsächlich steuern können, anstatt zu hoffen, dass Sie sich alle zwölf Panels gemerkt haben.
Bis zu dem Tag, an dem sie in der Schlagzeile landen, wirken Berechtigungen wie ein Backoffice-Detail. Die Anzahl der Orte, an denen Sie Zugriff gewähren und widerrufen müssen, ist die Anzahl der Orte, an denen Sie Fehler machen können – und eine Plattform verwandelt diese Zahl in eins. Ein sauberes Offboarding sollte nicht davon abhängen, dass man sich alle zwölf Tools merken kann. Es sollte ein einzelner Schalter sein.