Letzten Monat haben wir über die Taktiken berichtet, die Twitter zum Schutz der Nutzerdaten einsetzt. Stephen Lee, Director of Platform Solutions bei Okta, sprach beim jüngsten PagerDuty Sicherheitstreffen auch über SaaS-Apps – die Überlegungen, die Unternehmen hinsichtlich ihrer Einführung und des Schutzes der darin enthaltenen Daten anstellen müssen.

Bereitstellung der richtigen Anwendungen

Der große Vorteil von SaaS-Produkten besteht darin, dass sie jedem Nutzer über das Internet zur Verfügung stehen. Die einfache Nutzung von Cloud-Apps wirft jedoch auch die Frage der Zugriffskontrolle auf: Wer erhält Zugriff auf welche Apps und auf welcher Ebene?

Bei Okta hilft die Automatisierung, eines der größten Probleme der Zugriffskontrolle zu lösen: die Bereitstellung. Wenn ein neuer Mitarbeiter an Bord kommt – egal, ob er im Betrieb, in der Technik, im Vertrieb oder in einer anderen Abteilung arbeitet – muss ihm Zugriff auf bestimmte Anwendungen gewährt werden. Automatisierung kann diesen Prozess erheblich vereinfachen.

Durch die Automatisierung der Zugriffskontrolle wird außerdem das Risiko verringert, dass ein Mitarbeiter später manuell Zugriff auf eine App anfordern muss. Dies trägt dazu bei, die Arbeitsbelastung der IT zu verringern und die Produktivität zu steigern.

Planen Sie die Nutzung mobiler Geräte

Ein wichtiger Trend, den SaaS vorantreibt, ist die zunehmende Mobilfreundlichkeit von Arbeitsplätzen. Mobilität ist großartig für Mitarbeiter, die arbeiten können, wo und wie sie wollen – auf eine Art und Weise, die vor zehn Jahren noch unmöglich gewesen wäre. Doch für IT-Sicherheitsteams stellt sie echtes Kopfzerbrechen dar.

Unternehmensdaten befinden sich nicht nur auf immer mehr Mobilgeräten, die leicht verloren gehen oder gestohlen werden können, sondern viele dieser Geräte sind auch privat. Was passiert, wenn ein Mitarbeiter kündigt oder entlassen wird – kann sein ehemaliger Arbeitgeber sicher sein, dass die Unternehmensdaten nicht verloren gehen?

Diese Überlegungen erfordern ein robustes System zur Verwaltung der Zugriffskontrolle, das es einfach macht, den Zugriff für jede einzelne Person zu gewähren oder zu entziehen.

Cloud für alles voraussehen

SaaS ermöglicht nicht nur Mobilität. Die Einführung von Cloud-Technologie in Unternehmen bietet weitere Vorteile, darunter Kosteneinsparungen, Zugriff auf neue Funktionen und Benutzerfreundlichkeit. Doch die massive Cloud-Verlagerung – neben der Nutzung mobiler Geräte einer von zwei großen Trends im Unternehmenstechnologiemarkt, auf die Stephen hingewiesen hat – bringt auch Sicherheitsherausforderungen mit sich.

Beispielsweise ist die Verwaltung von Authentifizierung und Autorisierung ziemlich schwierig, wenn Benutzer von verschiedenen Standorten und Geräten aus auf Apps zugreifen. Hinzu kommt die Interaktion zwischen Endbenutzer und den eigentlichen Anwendungen – wie gewährleisten Sie sichere Verbindungen in Netzwerken, die Sie nicht kontrollieren? Hinzu kommen Sicherheitsüberprüfungen, denen sich alle öffentlichen Unternehmen unterziehen müssen. Im Falle einer Überprüfung müssen Sie nachweisen, dass Sie Daten darüber generieren können, „wer worauf Zugriff hat“.

Stephen schlug vor, Sicherheit im Kontext von „Identitätslebenszyklen“ zu betrachten. Der erste Schritt bei der Entwicklung eines umfassenden Sicherheitsplans besteht darin, diese Lebenszyklen für interne und externe Benutzer unter Berücksichtigung der Zugriffskontrolle abzubilden. Der Lebenszyklusansatz ist besonders sinnvoll, wenn er mit dem Grundsatz „Secure by Default“ kombiniert wird, bei dem Sicherheitsprüfungen in den Produktentwicklungsprozess integriert sind.

Denken Sie an Ihre Benutzer

Ein weiterer Vorteil von Identitätslebenszyklen: Sie zwingen Unternehmen dazu, zu identifizieren, wessen Zugriff sie genau kontrollieren. Ob es sich dabei um die tatsächlichen Nutzer handelt, wie im Fall von Twitter, oder um Ingenieure und Betriebsmitarbeiter intern – „Lifecycling“ erfordert einen ganzheitlichen Blick auf die Sicherheit.

Bei Okta geht es um Genauigkeit: Können die Leute zuverlässig auf das zugreifen, was sie benötigen? Steven präsentierte die Sichtweise des Okta-Endbenutzers als „Kunden“ des Okta-Sicherheitsteams.

„Sie müssen auf das zugreifen können, was sie brauchen, aber nicht auf das, was sie nicht brauchen.“ Stephen Lee, Okta

In der Geschäftswelt ist es selten, an die Bedürfnisse anderer zu denken, vor allem in der IT, die die meiste Zeit mit der Gerätebereitstellung, Fehlerbehebungen, Systemarchitektur usw. verbringt. Doch Stephen zeigt den Weg zu einer besseren, kundenfreundlicheren Version der Unternehmens-IT.

Sehen Sie sich hier Stephens vollständige Präsentation an: