Seiring berubahnya lanskap kerja modern, dengan tim-tim yang tersebar dan teknologi berbasis cloud yang berkembang pesat, mempertahankan kontrol akses merupakan tugas yang semakin sulit.
Proses untuk memperoleh dan memelihara sertifikasi kepatuhan TI adalah gambaran kecil yang sempurna dari tantangan ini: Pekerjaan yang terlibat dalam mengidentifikasi dan menetapkan aset sebagai “dalam cakupan” untuk setiap regulasi telah menjadi jauh lebih melelahkan dalam konteks modern pekerja terdistribusi dan adopsi SaaS yang cepat.
Meskipun proliferasi alat SaaS telah menjadi keuntungan bagi produktivitas pekerja, hal ini menimbulkan kompleksitas yang besar dalam hal Audit TI dan kepatuhan.
Jika Anda pernah ditugaskan untuk menyiapkan dan mengumpulkan bukti untuk SOC 2, HIPAA, atau PCI DSS, Anda tahu betapa menakutkannya proyek tersebut.
Menangani kepatuhan TI di era penyebaran SaaS
Komponen utama dari peraturan kepatuhan TI melibatkan penilaian dan pendefinisian sistem dan aplikasi mana yang “dalam cakupan”, yang berarti bahwa mereka menyimpan, memproses, atau mengirimkan data rahasia yang perlu dilindungi.
Organisasi perlu melakukan kegiatan rutin ulasan akses pengguna pada aplikasi dalam cakupan untuk menentukan siapa yang masih mempunyai akses, memverifikasi bahwa mereka memerlukan akses berkelanjutan, dan menghapus akses dari siapa saja yang tidak memerlukannya.
Tentu saja, tantangan dalam mempertahankan sertifikasi ini di dunia yang mengutamakan SaaS adalah Anda tidak dapat menentukan aplikasi mana yang tercakup dalam setiap regulasi jika Anda bahkan tidak mengetahui apa saja yang ada di luar sana.
Tim keamanan dan TI jarang memiliki gambaran lengkap tentang apa yang digunakan pekerja atau di mana mereka mungkin menyimpan data perusahaan yang sensitif, dan secara manual mengikuti perubahan saat pengguna mendaftar untuk aplikasi baru bisa menjadi pekerjaan penuh waktu tersendiri.
Sementara itu, meluasnya penggunaan SaaS bukan lagi masalah yang bisa diabaikan begitu saja oleh organisasi.
Serangan rantai pasokan baru-baru ini telah menggarisbawahi fakta bahwa permukaan serangan modern adalah permukaan serangan SaaSyang berarti organisasi yang mempersiapkan sertifikasi ini perlu memperhitungkan penyebaran SaaS dan TI bayangan organisasi mereka.
Rahasia untuk menyederhanakan tinjauan akses pengguna? Otomatisasi.
Penemuan SaaS merupakan hal yang sangat penting, tetapi ada aspek lain dari tinjauan akses pengguna yang dapat memerlukan sejumlah besar pekerjaan manual yang membosankan. Misalnya, setelah Anda mengidentifikasi bahwa suatu aplikasi sedang digunakan, Anda masih perlu melacak pengguna mana yang memiliki akun aktif dan mencari tahu siapa di organisasi Anda yang memiliki aplikasi tersebut untuk menghapus akses bagi mereka yang tidak membutuhkannya.
Berikut ini, kami akan menunjukkan kepada Anda cara agar Anda dapat lebih cepat siap diaudit dengan mengotomatiskan tinjauan akses pengguna dengan Nudge Security. Kami akan membantu Anda menemukan dan meninjau akses untuk aplikasi SaaS yang sudah Anda ketahui dan yang belum Anda ketahui, sekaligus meminimalkan upaya manual.
1. Temukan aset cloud dan SaaS perusahaan Anda, termasuk shadow IT.
Baik itu dalam bentuk akun AWS nakal dibuat oleh pengembang atau aplikasi berbagi berkas yang tidak berizin yang beberapa vendor atau klien bersikeras menggunakannya, data penting sering kali menemukan jalannya di luar aplikasi yang dikelola perusahaan dan disetujui TI. Anda dapat mencoba menanyai setiap departemen tentang aplikasi yang mereka gunakan, atau menyelidiki log obrolan dan laporan tagihan untuk mencari petunjuk, tetapi tidak satu pun dari metode tersebut yang berkelanjutan atau efektif. Organisasi Anda memerlukan rencana untuk menemukan aplikasi SaaS yang dikelola dan tidak dikelola secara berkala, sebelum Anda dapat mempertimbangkan apakah aplikasi tersebut termasuk dalam cakupan.
Nudge Security menggunakan metode penemuan SaaS yang dipatenkan untuk mengidentifikasi semua aset cloud dan SaaS yang digunakan di organisasi Anda, termasuk aplikasi yang tidak dikelola oleh TI dan keamanan perusahaan. Aplikasi dikategorikan menurut jenis dan informasi utama seperti pengguna pertama, semua pengguna, detail program keamanan, dan lainnya, semuanya akan tersedia di ujung jari Anda.
Saat pengguna mendaftar untuk aplikasi baru, aplikasi tersebut akan otomatis muncul di dasbor, dan Anda bisa mendapatkan peringatan saat aplikasi baru diperkenalkan.
2. Tentukan aset mana yang termasuk dalam cakupan.
Buku pedoman Nudge Security untuk mengotomatiskan tinjauan akses SOC 2, misalnya, dimulai dengan menentukan aset cloud dan SaaS mana yang termasuk dalam cakupan organisasi Anda. Buku pedoman ini menggunakan kategorisasi aplikasi cerdas untuk memberi Anda langkah awal dalam mengidentifikasi aplikasi yang kemungkinan besar termasuk dalam cakupan dengan memandu Anda melalui kategori berprioritas tinggi, seperti aplikasi infrastruktur, aplikasi devops, alat pengembang, dan aplikasi keamanan.
Nudge Security melacak aplikasi yang telah Anda identifikasi sebagai aplikasi yang masuk dalam cakupan, membantu Anda menyederhanakan tinjauan akses di masa mendatang. Anda dapat dengan mudah memperbarui cakupan yang telah Anda tetapkan saat pengguna menambahkan aplikasi baru dari waktu ke waktu.
3. Tinjau siapa saja yang memerlukan akses ke setiap aplikasi.
Untuk setiap aplikasi yang telah Anda klasifikasikan sebagai dalam cakupan, Nudge Security memandu Anda melalui tinjauan pengguna di organisasi Anda yang memiliki akun aktif. Anda kemudian dapat mengotomatiskan dorongan melalui Slack atau email untuk meminta pengguna mengonfirmasi akun mana yang masih diperlukan dan mengumpulkan respons mereka.
Bahasa Indonesia:4. Hapus akses dengan mudah dengan meminta bantuan kontak teknis.
Bila Anda menemukan tim di organisasi Anda menggunakan aplikasi yang tidak dikelola oleh siapa pun di TI atau keamanan perusahaan, bagaimana Anda menghapus akses bagi pengguna yang tidak lagi menggunakannya? Seseorang dalam tim tersebut kemungkinan adalah administrator, tetapi tanpa sistem yang efisien, melacak pengguna admin tersebut dapat memerlukan banyak kerja keras. Kalikan itu dengan setiap aplikasi di daftar Anda dan Anda akan memiliki banyak pekerjaan yang harus dilakukan.
Nudge Security memberi Anda dua opsi untuk menghapus akses bagi pengguna yang tidak lagi membutuhkannya. Jika Anda memiliki proses yang sudah ada untuk mengelola akses yang sesuai untuk Anda, Anda dapat mengunduh daftar pengguna dan aplikasi dan menanganinya sendiri.
Jika tidak, Anda dapat menggunakan dorongan untuk meminta pemilik setiap aplikasi dalam organisasi Anda untuk menghapus akses, dengan petunjuk dan tautan untuk memverifikasi bahwa mereka telah menyelesaikan tugas.
5. Menghasilkan laporan siap audit.
Setelah Anda menerima konfirmasi bahwa akun yang Anda tandai telah dihapus, Anda dapat secara resmi menyelesaikan tinjauan akses dan melihat ringkasannya, yang akan disimpan sebagai referensi Anda. Anda juga akan mendapatkan opsi untuk mengunduh laporan yang dapat dicetak yang merangkum aplikasi yang disertakan dalam tinjauan akses dan pengguna yang aksesnya telah Anda verifikasi atau hapus.
Anda dapat membagikan laporan ini dengan auditor Anda untuk menunjukkan bahwa Anda memiliki proses yang dapat diulang untuk mempertahankan sertifikasi kepatuhan Anda.
Bahasa Indonesia:
Sederhanakan kepatuhan TI dan banyak lagi dengan Nudge Security
Singkatnya, buku pedoman peninjauan akses pengguna otomatis Nudge Security dapat membantu Anda:
- Tangkap dan klasifikasikan semua aset dalam cakupan Anda, dimulai dengan penemuan lengkap dan kategorisasi aplikasi pintar untuk mempercepat proses Anda.
- Mengidentifikasi pengguna yang terkait dengan setiap aplikasi dengan mudah dan mendorong mereka untuk memverifikasi apakah mereka memerlukan akses berkelanjutan.
- Libatkan pemilik teknis aplikasi di dalam dan di luar TI untuk menghapus akun yang tidak lagi diperlukan.
- Buat laporan yang siap untuk auditor mengenai tinjauan akses pengguna Anda untuk menunjukkan proses yang dapat diulang.
Dengan Nudge Security, Anda juga dapat mengotomatiskan offboarding TIBahasa Indonesia: temukan akun genAIdan mempercepat ulasan keamanan vendor.
Mulai uji coba gratis dan mulai mengotomatiskan tugas tata kelola TI yang membosankan hari ini.
Disponsori dan ditulis oleh Dorongan Keamanan..
