وسوسه انگیز است که مدیران را به خاطر چنین نادیده هایی سرزنش کنیم، اما خزش مجوز اغلب برای رفع نیازهای کسب و کار رخ می دهد. به عنوان مثال، کل تیم ممکن است مجوزهای خاصی را کسب کند زیرا تعداد کمی از اعضا به آن سطوح دسترسی نیاز دارند. کل بخشها میتوانند از دسترسی به اطلاعات خاصی برای پذیرش کارکنان خاص لذت ببرند.
خزش مجوز، که به آن خزش دسترسی و خزش امتیاز نیز میگویند، زمانی است که یک حساب کاربری مجوزهایی دارد که نیازی به آن ندارد. این خزش میتواند به دو صورت اتفاق بیفتد: کارمندان میتوانند با تکامل حرفهشان در سازمان مجوز کسب کنند، یا ممکن است مجوزهای موقتی برای پروژهها یا رویدادهایی که هرگز لغو نمیشوند به دست آورند.
شرکت ها حداقل در ابتدا به مجوزهای کاربر توجه زیادی دارند. داشتن قوانین و خط مشی های مجوز سفت و سخت هنگام ایجاد یک حساب کاربری معمولی است. اما با افزایش دوره تصدی کارمند، چنین نظم و انضباط سست می شود. مدیرانی که بیش از حد کار می کنند، به احتمال زیاد وقتی از آنها خواسته می شود، مجوزها را اعطا می کنند، زیرا آنها اولویت های رقابتی دارند و نمی خواهند دیگران را از انجام کارهایشان منع کنند.
به همین ترتیب، سیاست ها باید روشن کنند که هیچ کس بالاتر از خط امتیاز نیست – حتی مدیر عامل باید توجیه کند که چرا به این یا آن دسترسی نیاز دارد. گروههایی که برای دسترسی گسترده استفاده میشوند، مانند کاربران فوقالعاده فناوری اطلاعات یا مدیران ارشد، باید انتظارات آنها را کاهش دهند – اگر به دسترسی نیاز نداشته باشند، نمیتوانند آن را داشته باشند.
آیا سناریوی زیر درست است؟ یک کارمند از پایین شروع میکند و از طریق سازمان به سمت بالا حرکت میکند. همانطور که آنها تبلیغ می شوند، نیاز به دسترسی به برنامه ها و فایل های مختلف دارند. در عرض چند سال، آنها تعداد قابل توجهی از مجوزها را در حساب کاربری خود به دست آورده اند، حتی اگر به بسیاری از این امتیازات نیاز نداشته باشند.
داشتن خطمشیهای دسترسی مناسب که شامل مقرراتی برای خزش مجوز باشد، مانند تطبیق نقشها با مجوزهای مناسب، انجام ممیزیهای منظم روی حسابها، و تعیین مدت زمان ماندگاری دسترسی موقت، مهم است. شرکتها باید کانالهای رسمی برای درخواستهای مجوز داشته باشند، به ویژه برای کمک به محافظت از یکپارچگی مدیرانی که نمیخواهند مدیران از طریق تلفن بر سر آنها فریاد بزنند و خواستار دسترسی شوند.
حالا، تصور کنید که کسی دستش را به آن حساب دارای مجوز میبرد – چه کاری میتوانست انجام دهد؟ اگر یک جنایتکار باشد، آنها می توانند یک حمله باج افزار بسیار موثر و گسترده انجام دهند. اگر این کارمند باشد، ممکن است مرتکب کلاهبرداری، سرقت اطلاعات تجاری رقابتی یا ایجاد آسیب در خشم خودپسندانه باشد. هر سناریویی که باشد، حسابهای کاربری بهترین راه برای به خطر انداختن فناوریهای تجاری هستند.
گرین می گوید: «از نقطه نظر یک جنایتکار به دسترسی نگاه کنید. “اگر آنها به حساب یک مدیر اجرایی یا مدیر ارشد فناوری اطلاعات دست پیدا کنند، چقدر می توانند آسیب ببینند و ردیابی آنها در سیستم های شما چقدر سخت خواهد بود؟ اینها حساب هایی هستند که آنها هدف قرار می دهند.”
پیشرفتهای جدیدتر مانند سرویسهای ابری و کار از راه دور، خزش مجوزها را رایجتر و پیچیدهتر کرده است. اکثر سازمان ها هنوز باید به این موضوع رسیدگی کنند.
راههای زیادی برای نفوذ به سیستمهای تجاری وجود دارد، اما دستیابی به حسابی مملو از حقوق دسترسی مختلف سادهترین و رایجترین روش است. اگر سازمان شما به خزش مجوز رسیدگی نکند، مجرمان و افراد خودی خطرات بسیار بیشتری دارند. برعکس، یک محیط مدیریت دسترسی قوی، امنیت و بهره وری را تقویت می کند.