Una vez trabajé en una compañía donde mi nombre de usuario de red era "Ginebra". No tenía nada que ver conmigo, ya que heredé el inicio de sesión de una mujer que no había trabajado allí durante dos años. Si está involucrado con la seguridad cibernética empresarial, esa historia probablemente lo estremezca un poco. La gestión de la identidad es un factor clave para mantener un sistema seguro, pero también depende de que los empleados sigan los procedimientos, lo que introduce el potencial ineludible de error humano.
Las personas, incluso aquellas que se especializan en TI, pueden volverse complacientes con el tiempo. En una gran organización, es prácticamente imposible verificar manualmente todas las identidades de los usuarios todos los días, garantizar que solo los usuarios correctos tengan acceso y mantener el sistema. Agregar la tarea de registrarse con los empleados para asegurarse de que están cambiando sus contraseñas no es una posibilidad. Sin embargo, aprovechar la tecnología como un método para ayudar a evaluar los riesgos y solucionar problemas con su proceso de gestión de identidad es una buena manera de comenzar a cambiar sus prácticas.
Realizar una auditoría de gestión de identidad en toda la empresa
Identity Management es una piedra angular de la buena seguridad de la red. Sus empleados son una gran parte de esa red, y su comportamiento determinará si se mantiene seguro. Si bien su personal de TI puede administrar el acceso, solo hay mucho que pueden controlar. Una cosa que no pueden es el comportamiento humano.
El primer componente de la gestión de su seguridad es comprender dónde se encuentran sus mayores riesgos y, por lo general, ese riesgo está en su personal. 20% de empleados corporativos dijeron que venderían su contraseña de red por menos de $ 1000. Encontrar a esos empleados riesgosos es algo que se puede lograr haciendo una auditoría de toda la empresa a través de la Evaluación remota de riesgos (RRA).
Al usar el centro de llamadas para integrar RRA a la perfección en su proceso de trabajo, puede programar entrevistas cortas y automatizadas con los empleados. Estas entrevistas pueden cubrir los procedimientos estándar de gestión de identidad. Harán preguntas a los empleados sobre sus propias prácticas de gestión de identidad, utilizando tecnología patentada para analizar la voz humana en busca de riesgos. Los empleados que miden un alto riesgo para la gestión de la identidad pueden ser señalados, y una discusión más profunda de este hecho puede tener lugar con ellos. Luego, las áreas del negocio con la mayor concentración de archivos marcados pueden obtener la mayor atención primero.
Este mapa de riesgo de calor le permitirá obtener una revisión rápida de su seguridad a un nivel básico de personal. El uso de este tipo de tecnología acelera el proceso de búsqueda de errores humanos para que pueda corregirlo. Como el error humano es la causa más común de robo de identidad y credenciales, este proceso puede usarse para detener parte del problema, pero no se detiene allí. Otra parte crucial de reducir el riesgo de su sistema es encontrar problemas a nivel del sistema.
Arreglando un Sistema de Gestión de Identidad Malo
Hay algunas cosas estándar que debe hacer para una revisión de la administración de identidad. Empezar por el principio. Revise los registros de los empleados que han dejado la empresa y asegúrese de que sus credenciales ya no funcionen. A continuación, mire a los empleados que podrían tener más acceso del que deberían y reduzca ese acceso de manera adecuada. El acceso de nivel de administrador solo debe estar disponible para el personal clave.
Una vez que tenga el acceso general bajo control, verifique su sistema para estos problemas:
- ¿Existen puertas traseras que los empleados puedan usar para acceder a los programas? Busque estas puertas y ciérrelas. Si un programa se vincula a otro programa, se le debe solicitar una contraseña al empleado antes de ingresar al nuevo programa.
- ¿Existe un sistema de contraseña maestra? Tener muchas contraseñas le permite diversificar el riesgo de acceso, pero también aumenta el riesgo de contraseñas perdidas o deficientes. Tener un sistema maestro, donde una contraseña cubre varios programas, puede ayudar a reducir este problema, pero también se debe considerar la sensibilidad de los datos. Si tiene dos sistemas con datos idénticos, usar la misma contraseña para ambos puede no ser un problema.
- ¿Qué tiene acceso a su red? En estos días, no se trata solo de (entornos urbanos), liderados por sus Ayuntamientos, que son responsables de validar e integrar las herramientas en su propio contexto aportando sus necesidades y retos. accede a su red pero también cómo Ellos acceden a ella. ¿Pueden los empleados acceder a su red a través de computadoras personales, teléfonos inteligentes o tabletas? Eso es algo que quizás desee reconsiderar si tiene datos confidenciales.
- ¿Tiene configuradas las solicitudes automatizadas de cambio de contraseña? Cuanto más sensible sea la contraseña, más a menudo se debe cambiar la contraseña. Asegúrese de que el sistema solicite a los empleados que cambien su contraseña periódicamente y restrinja su acceso hasta que lo hagan.
- ¿Su criterio de contraseña es lo suficientemente fuerte? Parece absurdo, pero la contraseña más popular del mundo sigue siendo "contraseña". Si bien parte de la culpa de eso recae en el individuo, algunos también deberían estar en el administrador de identidad que permitió elegir la "contraseña". La longitud ideal de una contraseña es de 12 a 14 caracteres e incluye letras, números y caracteres especiales.
- ¿Audita regularmente su sistema de gestión de identidad? El tiempo genera complacencia. Después de un corto período de apego a los protocolos de seguridad, muchas personas comenzarán a dejar de lado esos estándares. Para evitar esto, considere hacer revisiones de cumplimiento anuales, donde use RRA para ayudarlo a verificar las prácticas y ofrecer capacitación y actualizaciones del sistema en áreas problemáticas.
La gestión de identidad no es una cosa única. Es un proceso continuo que requerirá una administración consistente. El uso de procesos como auditorías de gestión de identidad, cambios automáticos de contraseña y verificaciones de acceso a la red puede simplificar una tarea complicada mientras mantiene su red segura.
La implementación de RRA como primer paso lo ayudará a comprender mejor su propia organización y los riesgos que pueden no identificarse mediante otros métodos. Clearspeed ofrece esta tecnología para una amplia gama de usos empresariales y puede implementar un programa RRA de manera rápida, remota y en cualquier idioma con alta precisión. Para más información, póngase en contacto con nosotros.
Fuente de imagen | Desinstalar usuario Tomas Kvistholt