¿Cómo gestionan las empresas los recursos compartidos con terceros en plataformas en la nube?

2

A lo largo de los años, las personas de mi empresa han compartido recursos en plataformas en la nube con terceros. Estos pueden ser archivos en Google Drive, artículos sobre Confluence, repositorios en Github, canales flojos, realmente cualquier cosa en una plataforma en la nube que permita la colaboración. Los terceros incluyen ex empleados, clientes y ex clientes, socios y proveedores. Con el tiempo, esto se está convirtiendo en un riesgo de seguridad importante con datos como documentos que contienen secretos comerciales o datos personales compartidos con entidades externas, que ya no tienen una necesidad legítima de estos datos. Algunos de estos documentos todavía están siendo actualizados de vez en cuando por personas de la compañía que no saben quién más tiene derechos de acceso. ¿Es esta una situación común? ¿Cómo suelen gestionar las empresas los recursos de la nube? ¿Todo depende de cuán diligentes (o no tan diligentes) son los administradores de la cuenta?

Tome Google Drive como ejemplo. La plataforma le permite compartir archivos con personas fuera de una organización. A medida que los clientes, proveedores y empleados van y vienen, hemos acumulado una gran cantidad de archivos en estas plataformas que se comparten con personas que ya no necesitan acceder a ellos. El proceso de revisar todos nuestros archivos, y determinar quién necesita acceso y quién no, es muy doloroso y debe hacerse de manera regular. ¿Hay alguna manera mejor? ¿Cómo manejan esto otras compañías?

    
pregunta yoav.aviram 13.02.2018 - 12:45
fuente

2 respuestas

3

Cuando tiene una organización más grande con una infraestructura de TI diversa, entonces debe acostumbrarse al hecho de que Identity Management se convierte en un trabajo de tiempo completo. Necesita a alguien (o incluso a todo un departamento) que sea responsable de administrar las cuentas de usuario en todos los recursos de TI que tenga. Ellos (y solo ellos) son responsables de:

  • Crear cuentas para sistemas de TI
  • Asignación de permisos
  • Revocar permisos cuando cambian las funciones de las personas
  • Verifica regularmente si las cuentas todavía se usan activamente y las bloquea cuando no están
  • Verifica regularmente las cuentas con permisos críticos y evalúa si aún son necesarias
  • Mantener registros de todas estas actividades para que siempre pueda saber quién tuvo qué permisos durante qué período de tiempo (crítico en caso de una violación de datos)
  • Abofetear a las personas que colocan los datos de la empresa en servicios en la nube que no administran ellos

Cuando desee minimizar la sobrecarga de trabajo para esto, es posible que desee considerar la posibilidad de centralizar y consolidar su infraestructura de TI. En lugar de distribuir su infraestructura de TI en toda la red, es posible que desee considerar la posibilidad de alojar más de ella. Para cada producto mencionado en la pregunta, hay una solución que puede instalar en las instalaciones. Esto le da mucho más control sobre los datos de su empresa (¿ha leído realmente lo que permite que Google haga con los secretos de su empresa que carga a Google? ¿Conducir? ). También le brinda la posibilidad de centralizar la administración de cuentas en su empresa. Muchos productos admiten protocolos como Kerberos que les permiten usar cuentas de usuario desde un sistema centralizado. Cuando cada empleado y socio comercial tiene una sola cuenta para todo en su empresa, se vuelve mucho más fácil de administrar (para usted y para ellos también).

"revisar todos nuestros archivos y determinar quién necesita acceso y quién no" es algo que no debería tener que hacer. Los sistemas adecuados de permisos a escala empresarial deberían estar basados en roles. No obtiene acceso a /project_x/business_plan_V14.67.docx , obtiene el rol de "participante del proyecto" que le da acceso a /project_x/* .

    
respondido por el Philipp 26.02.2018 - 18:28
fuente
1

No he visto ninguna solución elegante para tu problema. He visto lo siguiente:

  1. Identifique el Punto de contacto responsable para cada entidad con acceso y bríndeles una lista de los usuarios de esa entidad cada trimestre o seis meses y pídales que validen el requisito continuo de los usuarios para tener acceso.

  2. Revoca automáticamente el acceso a los usuarios que no han accedido a ningún recurso en la cantidad de tiempo 'valor X' y vuelve a habilitarlo cuando lo solicite.

  3. Solicitar recursos humanos o Administración de proveedores contactarse con usted para revocar los permisos para contratistas o proveedores una vez que se terminen sus contratos o permitirle a Recursos humanos algún nivel de acceso de gestión a la plataforma.

¿Podría su empresa emitir un token de autenticación de dos factores (por ejemplo, Google Authenticator) que debe usarse para acceder a cualquier recurso y podría reactivar los tokens de forma centralizada para usuarios redundantes?

    
respondido por el AndyMac 13.02.2018 - 16:13
fuente

Lea otras preguntas en las etiquetas