Dado que las aplicaciones SaaS constituyen ahora la gran mayoría de la tecnología utilizada por los empleados en la mayoría de las organizaciones, las tareas relacionadas con el gobierno de la identidad deben realizarse en una gran cantidad de aplicaciones SaaS individuales. Esto presenta un gran desafío para los equipos de TI centralizados que, en última instancia, son responsables de administrar y proteger el acceso a las aplicaciones, pero que no pueden convertirse en expertos en los matices de las configuraciones de seguridad nativas y los controles de acceso para cientos (o miles) de aplicaciones. E incluso si pudieran, el gran volumen de tareas los enterraría fácilmente.
Los equipos de TI modernos necesitan una forma de orquestar y controlar el gobierno de identidad de SaaS involucrando a los propietarios de aplicaciones en el negocio que están más familiarizados con cómo se usa la herramienta y quién necesita qué tipo de acceso.
Empujar la seguridad es un Solución de seguridad y gobernanza SaaS que pueden ayudarle a hacer precisamente eso, con flujos de trabajo automatizados para ahorrar tiempo y hacer que el proceso sea manejable a escala. Siga leyendo para saber cómo funciona.
1 . Descubra todas las aplicaciones SaaS utilizadas por cualquier persona de la organización
Como dice el viejo refrán, no se puede proteger lo que no se puede ver, por lo que el primer paso para Gobernanza de identidad SaaS es obtener un inventario completo de qué tecnología se utiliza realmente y quién la utiliza.
Nudge Security descubre y clasifica todas las aplicaciones SaaS jamás introducidas por cualquier miembro de la organización y proporciona un perfil de seguridad de proveedor para cada aplicación para brindar a los equipos de seguridad y TI el contexto que necesitan para examinar nuevos proveedores de SaaS. Y después de haber revisado una aplicación, pueden asignar un estado como “Aprobada”, “Aceptable” o “Inaceptable” para indicar si se debe permitir su uso. Para cualquier aplicación que se considere “inaceptable”, se pueden activar empujones automáticos en respuesta a nuevas cuentas para redirigir al usuario hacia una aplicación similar aprobada o solicitar contexto sobre por qué necesita usar esa aplicación en particular.
2. Comparta un directorio de aplicaciones aprobadas con los empleados.
En un mundo ideal, los equipos de TI quieren capacitar a los empleados para que adopten tecnologías que mejoren la productividad y mantengan la seguridad y el cumplimiento de la empresa. Desafortunadamente, los empleados a menudo no tienen forma de saber qué herramientas se ajustan tanto a los requisitos de la empresa como a los suyos propios.
Nudge Security facilita la creación y el intercambio de un directorio de aplicaciones con los empleados, para que todos en la organización puedan ver una lista completa de las aplicaciones aprobadas que cumplen con los estándares de seguridad y cumplimiento adecuados. Los empleados pueden examinar la lista por categoría y enviar solicitudes de acceso que se dirigen directamente al propietario técnico de cada aplicación, independientemente de si esa persona pertenece o no al departamento de TI central. Esto elimina la necesidad de que TI sea el “reenviador de eventos” entre los usuarios y los propietarios de aplicaciones, manteniendo al mismo tiempo la visibilidad y la gobernanza centralizada.
3. Mantenga actualizados a los propietarios de aplicaciones
¿Alguna vez sintió que estaba en la peor búsqueda del tesoro del mundo al localizar a las personas adecuadas en su organización para obtener contexto sobre una aplicación SaaS o una cuenta de usuario? No estás solo. Este conocimiento a menudo está aislado y cambia con frecuencia. Nudge Security utiliza varios métodos para deducir el probable “contacto técnico” (como el primer usuario) para cada aplicación SaaS descubierta en su entorno y le brinda la posibilidad de automatizar nudges para confirmar la propiedad de la aplicación periódicamente.
Con este proceso de descubrimiento de contactos técnicos, Nudge Security automatiza los correos electrónicos o mensajes de Slack a contactos técnicos supuestos con un simple empujón que les pide que validen que son el contacto técnico correcto o que actualicen esta información. No más cadenas de correos electrónicos e hilos de Slack para resolverlo. Con Nudge Security, puede automatizar el proceso de mantener esta información actualizada a medida que cambian las responsabilidades administrativas.
4. Automatizar las revisiones de acceso de los usuarios
Para las empresas sujetas a cualquiera de una serie de estándares de cumplimiento como SOC 2, HIPAA, PCI DSS y otros, generalmente se requiere realizar pruebas periódicas. revisiones de acceso de usuarios de sistemas dentro del alcance para garantizar que sólo aquellos que necesitan acceso realmente lo tengan. Y, para cualquiera que haya tenido el placer de realizar revisiones de acceso de usuarios, sabrá que generalmente implica una variedad de hojas de cálculo con información inconsistente e incompleta y mucho esfuerzo manual para rastrear quién está usando qué.
En lugar de este rompecabezas de hojas de cálculo, con Nudge Security puedes automatizar el proceso. En primer lugar, puede agrupar sus activos dentro del alcance y automatizar los empujones a los usuarios de la aplicación para verificar si todavía necesitan acceso. Luego, Nudge Security recopila las respuestas por usted y envía la lista consolidada de cuentas que se eliminarán a los propietarios de la aplicación. Finalmente, recopila respuestas de los propietarios de las aplicaciones para confirmar que han completado las eliminaciones y documenta todas las acciones tomadas en un informe .pdf que puede compartir con los auditores.
5. Identificar y limpiar cuentas no utilizadas
Cumplir con los requisitos de cumplimiento es una buena razón para revisar periódicamente quién necesita acceso a qué, pero el ahorro de costos es otra. La investigación de Gartner muestra que el 25% de SaaS está infrautilizado o sobre implementado. No importa cuál sea el tamaño de su organización, eso puede acumularse rápidamente.
Nudge Security monitorea el estado de las cuentas SaaS y en la nube en toda su organización, para que pueda encontrar y eliminar fácilmente cuentas SaaS inactivas y abandonadas. Y tendrá información actualizada a su alcance en algunos gráficos muy atractivos, para que pueda monitorear los estados de las cuentas SaaS justo al lado de las tendencias de adopción de SaaS.
Si bien siempre puedes descubrir cuentas no utilizadas, una aplicación a la vez desde la página de descripción general de cada aplicación, el manual de Nudge Security para eliminar cuentas no utilizadas te permite auditar varias aplicaciones a la vez para que puedas reducir la expansión de SaaS a escala.
6. Garantizar una salida completa
Aquí hay un pequeño y sucio secreto: la mayoría de los empleados se han registrado en aplicaciones fuera del ámbito de TI, o incluso de sus gerentes de departamento. Con Nudge Security, puedes ver cada cuenta alguna vez registrada por alguien que utilice un correo electrónico asociado con su organización. Esto incluye registros de dominios, cuentas de redes sociales, cuentas de desarrolladores y otros activos que a menudo se pasan por alto. También puede ver si esas aplicaciones están conectadas a otras aplicaciones a través de concesiones de OAuth, para minimizar la posibilidad de que algo se rompa cuando un empleado abandona la organización.
Y, mejor aún, con Nudge Security, puedes automatizar pasos clave de Salida de TI como suspender cuentas, restablecer contraseñas, revocar subvenciones de OAuth y más. Y comenzará con un inventario completo de cada cuenta creada para el empleado saliente, de modo que pueda asegurarse de que se revoque todo el acceso.
Prueba Nudge Security gratis
Nuestra misión en Nudge Security es ayudar a los profesionales de seguridad y TI de todo el mundo a recuperar el control sobre la seguridad y la gobernanza de SaaS y, al mismo tiempo, minimizar el trabajo manual para ellos mismos y la fricción para los usuarios finales. Empezar un prueba gratuita de 14 días Ahora para ver qué puede hacer por usted.