Letzten Monat haben wir über die Taktiken gesprochen, die Twitter anwendet, um die Daten seiner Benutzer zu schützen. Stephen Lee, Director of Platform Solutions bei Okta, sprach beim jüngsten PagerDuty Sicherheitstreffen auch über SaaS-Apps – die Überlegungen, die Unternehmen hinsichtlich ihrer Einführung und des Schutzes der darin enthaltenen Daten anstellen müssen.

Bereitstellung der richtigen Anwendungen

Der große Vorteil von SaaS-Produkten besteht darin, dass sie jedem Benutzer über das Internet zur Verfügung stehen. Die Benutzerfreundlichkeit von Cloud-Apps wirft jedoch auch das Problem der Zugriffskontrolle auf: Wer erhält Zugriff auf welche Apps und auf welcher Ebene?

Bei Okta hilft die Automatisierung dabei, eines der größten Probleme der Zugriffskontrolle zu lösen: die Bereitstellung. Wenn ein neuer Mitarbeiter an Bord kommt – egal, ob er im Betrieb, in der Entwicklung, im Vertrieb oder in einer anderen Abteilung arbeitet – muss ihm der Zugriff auf bestimmte Anwendungen gewährt werden, und die Automatisierung kann diesen Prozess erheblich vereinfachen.

Durch die Automatisierung der Zugriffskontrolle wird auch das Risiko verringert, dass ein Mitarbeiter später manuell Zugriff auf eine App anfordern muss. Dies trägt zur Reduzierung der Arbeitsbelastung der IT bei und steigert die Produktivität.

Planen Sie die Nutzung mobiler Geräte

Ein wichtiger Trend, den SaaS vorantreibt, ist die zunehmende Mobilfreundlichkeit von Arbeitsplätzen. Mobilität ist großartig für Mitarbeiter, die arbeiten können, wo und wie sie wollen, und zwar auf eine Art und Weise, die noch vor 10 Jahren undenkbar gewesen wäre. Für IT-Sicherheitsteams bereitet sie jedoch echtes Kopfzerbrechen.

Unternehmensdaten befinden sich nicht nur auf einer immer größeren Zahl mobiler Geräte, die leicht verloren gehen oder gestohlen werden können, sondern viele dieser Geräte sind auch privat. Was passiert, wenn eine Mitarbeiterin kündigt oder entlassen wird – kann ihr ehemaliger Arbeitgeber sicher sein, dass die Unternehmensdaten nicht mit ihr verloren gehen?

Diese Überlegungen erfordern ein robustes System zur Verwaltung der Zugriffskontrolle, mit dem sich der Zugriff für jede einzelne Person problemlos gewähren oder widerrufen lässt.

Nutzen Sie die Cloud für alles

Bei SaaS geht es nicht nur darum, Mobilität zu ermöglichen. Die Einführung von Cloud-Technologie in Unternehmen bietet noch weitere Vorteile, darunter Kosteneinsparungen, Zugriff auf neue Funktionen und Benutzerfreundlichkeit. Doch die massive Cloud-Verlagerung – einer von zwei großen Trends, die Stephen im Unternehmenstechnologiemarkt anführte, der andere ist die Einführung mobiler Geräte – bringt nicht ohne Sicherheitsherausforderungen mit sich.

So ist es beispielsweise ziemlich schwierig, Authentifizierung und Autorisierung zu verwalten, wenn Benutzer von mehreren Standorten auf mehreren verschiedenen Geräten auf Apps zugreifen. Außerdem gibt es die Interaktion zwischen dem Endbenutzer und den eigentlichen Anwendungen – wie stellen Sie sichere Verbindungen in Netzwerken sicher, die Sie nicht kontrollieren? Dann sind da noch die Sicherheitsüberprüfungen, denen alle öffentlichen Unternehmen unterzogen werden. Wenn Sie geprüft werden, müssen Sie nachweisen, dass Sie Daten darüber generieren können, „wer Zugriff auf was hat“.

Stephen schlug vor, über Sicherheit im Kontext von „Identitätslebenszyklen“ nachzudenken. Der erste Schritt bei der Entwicklung eines umfassenden Sicherheitsplans besteht darin, diese Lebenszyklen für interne und externe Benutzer abzubilden und dabei an die Zugriffskontrolle zu denken. Der Lebenszyklusansatz ist besonders sinnvoll, wenn er in Verbindung mit einem „Secure by Default“-Ethos verwendet wird, bei dem Sicherheitsprüfungen in den Produktentwicklungsprozess integriert sind.

Denken Sie an Ihre Benutzer

Ein weiterer Vorteil von Identitätslebenszyklen: Sie zwingen Unternehmen dazu, zu identifizieren, wessen Zugriff sie genau kontrollieren. Ob es nun tatsächliche Benutzer sind, wie im Fall von Twitter, oder Ingenieure und Betriebsmitarbeiter intern, „Lebenszyklen“ erfordern einen ganzheitlichen Blick auf die Sicherheit.

Bei Okta geht es um Genauigkeit: Können die Leute zuverlässig auf das zugreifen, was sie benötigen? Steven präsentierte eine Sichtweise des Okta-Endbenutzers als „Kunden“ des Okta-Sicherheitsteams.

„Sie müssen auf das zugreifen können, was sie brauchen, aber sie sollten nicht auf das zugreifen können, was sie nicht brauchen.“ Stephen Lee, Okta

In der Geschäftswelt ist es selten, an die Bedürfnisse anderer zu denken, vor allem in der IT, wo die meiste Zeit mit Gerätebereitstellung, Fehlerbehebungen, Systemarchitektur usw. verbracht wird. Doch Stephen zeigt den Weg zu einer besseren, kundenfreundlicheren Version der Unternehmens-IT.

Sehen Sie sich hier Stephens vollständige Präsentation an: