Zapomenuté uživatelské účty jsou hrozba, ne SaaS
Uživatelské účty jako vstupní brána do firemních systémů by měly být velmi dobře obhospodařovány a mělo by se jim dopřávat úzkostlivé péče tak, aby nebyly zneužitelné. Ovšem podle studie společnosti Symark se ukazuje, že s účty se nakládá poměrně lehkomyslně.
Studie ukázala, že 42 % organizací neví kolik opuštěných uživatelských kont mají a 30 % dokonce ani nemá nastavené žádné postupy (tedy vlastně neví), jak tyto účty lokalizovat. To není zrovna dobrá zpráva pro všechny správce IT, kteří mají na starost bezpečnost.
Navíc se během průzkumu ukázalo následující:
- přibližně 27 % organizací uvedlo, že v současné době existuje více jak dvacet zapomenutých uživatelských účtů.
- ve 30 % organizací trvá ukončit uživatelský účet déle jak tři dny poté, co zaměstnanec opustí firmu a ve 12 % případů to trvá déle jak měsíc.
- 38 % firem říká, že nemají metody, jak poznat, že jejich zaměstnanci (současní i bývalí) používají tyto zapomenuté účty. Navíc 15 % říká, že se tak minimálně jendou stalo.
Samotný problém špatně zvládnutých postupů terminace uživatelských účtů mě neudivuje, ale co je šílené, tak to jsou metody některých firem, které ve snaze ušetřit za uživatelské licence udělají jakási hromadná konta a na nich pak svůj business provozují. A je evidentní, že nemění heslo hned poté, co někdo odejde.
Je SaaS, které je zpoplatňované jinak než za uživatele, požehnání pro takové firmy nebo nepřítel? Předpokládejme, že business přínos aplikací na obou modelech je stejný. SaaS je levnější, takže na uživatele se zaplatí méně, zase na druhou stranu to nelze ošidit a nemáte ten “dobrý” pocit z krádeže. Nicméně bezpečnostní riziko, které plyne ze špatně nakoupených licencí v případě SaaS zmizí. Podniky, které takto podvádí s licencemi sice asi takto neuvažují, přesto si myslím, že SaaS placené za užití je cesta, jak za relativně slušné peníze čelit riziku z neoprávněných přístupů k datům.
