Qual è il ciclo di vita dell'account utente?

Qual è il ciclo di vita dell'account utente?

Il “ciclo di vita dell’account utente” definisce i processi di gestione per ciascun account utente. Questi processi possono essere suddivisi in creazione, revisione/aggiornamento e disattivazione. Se la tua organizzazione utilizza risorse di elaborazione, utilizzi gli account utente per accedervi.

Poiché un account IT sottoposto a provisioning segue la propria sequenza temporale in base a un utente specifico, gli sforzi di gestione del ciclo di vita spesso si sovrappongono. Questa sovrapposizione porta a sfide in ambienti che si basano sulla gestione manuale in cui gli sforzi devono essere costantemente replicati. Le difficoltà sono esacerbate per le grandi organizzazioni a causa del loro volume.

Creazione

A partire dal giorno 1, ogni utente deve disporre di un account per accedere alle proprie risorse informatiche. Gli account utente contengono informazioni sull’identità con accesso variabile, come un passaporto digitale. Le risorse informatiche possono essere più generiche (ad es. Active Directory, account e-mail) o più specifiche per i ruoli dell’utente (ad es. Adobe Creative Cloud, buste paga e così via).

La creazione di un account richiede più dell’inserimento del nome, del cognome e dell’indirizzo e-mail di una persona. La maggior parte delle organizzazioni dovrà inserire un utente nei propri sistemi HR e paghe. L’utente ha anche bisogno di un account di accesso alla rete, questo è un account (Microsoft) di Active Directory (AD) per la maggior parte dei casi.

Gli utenti richiedono ancora autorizzazioni e appartenenze a gruppi, che determinano i diritti di accesso a varie cartelle e condivisioni all’interno della rete. Non vorresti che ogni dipendente avesse accesso illimitato a un gabinetto di file delle risorse umane di tutti. Allo stesso modo, non vorresti che quegli stessi file archiviati sulla rete non fossero protetti. Le autorizzazioni di rete e le appartenenze ai gruppi sono ulteriormente complicate dai diversi livelli della struttura gerarchica del file system. Per semplicità, alcuni utenti appena creati hanno accesso eccessivo.

La creazione dell’account continua con il provisioning degli utenti. L’utente ha bisogno di accedere alle risorse di Google (G Suite)? Avranno bisogno di questo account impostato. Che dire dello spazio di archiviazione Dropbox dell’organizzazione? Ne avranno bisogno anche loro. Che ne dici di un sistema CRM come Salesforce? Negli ambienti aziendali moderni, le applicazioni software facilitano le operazioni. La maggior parte delle applicazioni software aziendali richiedono account utente.

Recensioni e aggiornamenti

I diritti di accesso dovrebbero essere rivisti regolarmente per mantenere una rete snella e conforme. Le esigenze e le autorizzazioni di un utente cambieranno nel tempo a causa di promozioni, cambi di ruolo, riorganizzazioni o risorse IT di nuova implementazione. L’accumulo di diritti di accesso viene spesso definito “autorizzazione gonfia”.

L’aumento delle autorizzazioni è intrinsecamente problematico perché rende la determinazione di chi ha accesso a cosa un incubo e un alto rischio di non conformità. La prevenzione manuale dell’aumento delle autorizzazioni richiede una memoria quasi perfetta. È necessario ricordare quale accesso dovrebbe avere ciascun ruolo per confrontare gli utenti con quali diritti e autorizzazioni.

La revisione e l’aggiornamento manuale degli account utente e dei relativi diritti di accesso richiede la comunicazione tra i manager e il personale IT. Le soluzioni di governance degli accessi o di controllo degli accessi in base ai ruoli mantengono i diritti di accesso in base alla configurazione del ruolo di un determinato utente. Tuttavia, le configurazioni per ogni ruolo devono essere mantenute. L’accesso non necessario è semplicemente una violazione della conformità, un illecito o un incitamento a frodi in attesa di verificarsi.

Le revisioni e gli aggiornamenti sono l’aspetto più ciclico del ciclo di vita dell’account utente. In teoria, il processo di revisione e aggiornamento di un’organizzazione non finisce mai. Ad esempio: quando i processi sono “finiti”, il primo 20% degli account deve ricominciare questo passaggio. Il processo quindi non raggiunge mai veramente più dell’80% di completamento in qualsiasi momento. L’esempio 80%/20% suona particolarmente vero per gli sforzi manuali. Le soluzioni automatizzate possono eseguire aggiornamenti ma richiedono comunque revisioni della configurazione per garantire che ogni ruolo rimanga conforme e sicuro.

Disattivazione

Quando un utente lascia un’organizzazione, tutti i relativi account associati devono essere disabilitati e annullato il provisioning. I rischi per la sicurezza sono la ragione più ovvia per seguire le procedure di disattivazione. Un ex dipendente maligno può prendere dati sensibili (ad es. informazioni sui clienti, proprietà intellettuale, credenziali dell’account) o danneggiare il tuo ambiente negli scenari peggiori. Gli ex dipendenti possono accedere alle tue risorse IT fino a quando non vengono disabilitati per giorni, settimane, mesi o anni. La mancata disattivazione è particolarmente pericolosa per le risorse ospitate nel cloud.

L’altro motivo principale per attuare un processo di disattivazione è prevenire l’accumulo di “conti orfani”. Gli account orfani non sono più associati a un utente attivo e rimangono nel tuo ambiente. Questi detriti digitali ingombrano la tua capacità di valutare con precisione l’ambiente circostante occupando spazio di archiviazione. Inoltre, se la tua organizzazione viene attaccata con successo da un intruso malintenzionato, gli account orfani li mascherano perfettamente.

CRUD

L’acronimo “CRUD” sta per “Crea, Leggi, Aggiorna, Elimina”. Le operazioni CRUD si riferiscono ai 4 comandi di base richiesti per l’archiviazione persistente e i database relazionali. I comandi SQL sostituiscono rispettivamente “Crea” e “Leggi” con “Into” e “Seleziona” per le tabelle del database. CRUD funge da semplice promemoria per la gestione degli account utente:

  • Crea:crea un account utente e tutti i suoi attributi necessari (ad es. nome, indirizzo email, autorizzazioni)
  • Leggi:visualizzazione di tutti gli account utente e dei loro attributi senza modificare alcun dato
  • Aggiorna:sostituisci gli attributi dell’account utente esistente per apportare modifiche
  • Elimina:elimina un account utente e i suoi attributi

i: https://searchdatamanagement.techtarget .com/definition/CRUD-cycle
ii: https: //www.sqlshack.com/crud-operations-in-sql-server/