Satın alınan bir şirketi tek bir kuruluşa entegre etmek, tamamlanması haftalar, aylar ve hatta yıllar sürebilen göz korkutucu bir görevdir. Kimlik ve erişim yönetimi (IAM) ekipleri, birleşme ve devralma (M&S) sürecini başarılı bir şekilde tamamlamak için sürecin mümkün olduğunca sorunsuz ilerlemesini sağlamak üzere hazırlanmak, test etmek ve kullanıcılarla iletişim kurmak için zamana ihtiyaç duyar.
Ancak şirketler aniden kapılarını kapattığında veya satın almalar çok az veya hiç uyarı yapılmadan bir gecede gerçekleştiğinde tüm bu kimliklere ne olur?
Bugün bankacılık sektöründe bu yaşanıyor. Mart ayında sadece üç gün içinde, Amerika Birleşik Devletleri’ndeki üç küçük ve orta ölçekli banka çöktü: Silicon Valley Bank (SVB) satın alınmadan önce bir köprü banka haline geldi, Silvergate Bank gönüllü tasfiyeye uğradı ve Signature Bank 2014’ten önce kapandı. ediniliyor. Mayıs ayı başlarında First Republic Bank da aniden satın alındı. Mali piyasalar üzerindeki etkisi önemli olsa da, bu satın almalar ve kapatmalar, kuruluşlar ve çalışanlar – ortaklar ve müşteriler bir yana – için de riskler oluşturuyor.
Ani kapanışlar ve birleşme ve satın almalar artan tehditlere neden olur
Finansal veriler doğası gereği son derece hassastır ve düzenleyici ortam karmaşık ve titizdir. İş açısından pek çok ciddi husus olmakla birlikte, kimlik ve verilerle ilgili birçok potansiyel risk de vardır, örneğin:
1. Yetkisiz erişim: Hızlı bir geçiş sırasında, hassas verilere kimin eriştiği konusunda genellikle geçici bir kafa karışıklığı olur. Bu, yetkisiz veri erişimine veya ihlallere yol açabilir ve hassas müşteri bilgilerinin açığa çıkması, kimlik hırsızlığına neden olabilir.
2. Veri geçişi: Bir satın alma sırasında müşteri verilerinin bir varlıktan diğerine aktarılması, düzgün yönetilmediği takdirde risk oluşturur. Acele geçiş sırasında herhangi bir güvenlik açığı varsa, siber suçlular hassas verileri çalma fırsatından yararlanabilir.
3. Kimlik avı girişimleri: Oltalama saldırılarında bir bankanın kapatılması veya satın alınması hile olarak kullanılabilir. Siber suçlular, müşterileri oturum açma kimlik bilgilerini veya diğer hassas bilgileri ifşa etmeye ikna etmek için bunu bankanın veya alıcı şirketin kimliğine bürünme fırsatı olarak tanımlayabilir.
4. Yasal uyumluluk: Bankalar, çok çeşitli federal yasalara ve katı düzenlemelere bağlı kalmalıdır. Bir banka kapandığında veya satın alındığında, müşterilerin kimliklerini korumak için geçiş sürecinin ilgili tüm düzenlemelere uygun olması kritik önem taşır. Ne yazık ki, bu bir kriz sırasında olmayabilir.
5. Çalışan erişimi: Bir banka aniden kapandığında veya satın alındığında, birçok çalışan işini kaybedebilir. Mutsuz eski çalışanlar, bankacılık sistemlerine erişimleri derhal ve uygun şekilde iptal edilmezse müşteri verilerini kötüye kullanabilir. Aynı zamanda, işte kalan çalışanlar için önemli sistemlere ve verilere erişim sağlamaya devam etmek de önemlidir.
6. Sistem entegrasyonu: Bir satın alma sırasında birden fazla sistemi entegre etmek karmaşık bir süreçtir. Sistemler düzgün bir şekilde entegre edilmedikçe, müşteri verilerine yetkisiz erişim elde etmek için istismar edilebilecek güvenlik açıkları oluşturulabilir.
7. İletişim: Ani kapanışlar veya satın almalar, müşteriler, çalışanlar ve ortaklarla açık ve hızlı iletişim gerektirir. İletişim eksikliği, itibar zedelenmesine, edinen için iş kaybına ve ilgili tüm tarafları hedef alan dolandırıcılıklara yol açabilir.
Kimlik tehditlerini en aza indirme
Potansiyel tehditleri ele almak için bir işletmenin kapanmasından veya birleşme ve satın alma olayından hemen öncesine kadar beklememelisiniz.
Kuruluşlar bu tehditleri en aza indirmek için birkaç adım atabilir, ancak bunları etkin bir şekilde ele almak zaman ve planlama gerektirir.
1. Bir erişim yönetimi ve kimlik doğrulama planı oluşturun: Kapsamlı bir plan, kullanıcı hesapları, kimlik doğrulama yöntemleri, erişim kontrolleri ve veri güvenliği oluşturma, yönetme ve silme prosedürlerini içerir. Planı düzenli olarak gözden geçirin ve kuruluşun yapısındaki ve operasyonlarındaki değişiklikleri yansıtacak şekilde güncel tutun.
2. Yeni nesil kimlik doğrulama yöntemlerini kullanın: Parolalar genellikle güvenlik zincirlerindeki en zayıf halkadır çünkü insanlar parolaları yeniden kullanma veya tahmin etmesi kolay parolalar oluşturma eğilimindedir. Saldırganların ödün vermesi daha zor olan kimlik doğrulama yöntemlerini kullanarak tehditleri en aza indirin. Örneğin, sürekli kimlik doğrulama, yetkisiz kullanıcıları tespit etmek için bir oturum boyunca kullanıcının kimliğini izleyerek ve doğrulayarak güvenliği artırabilir – başlangıçta doğru kimlik bilgileriyle kimlik doğrulaması yapmış olsalar bile.
3. Risk değerlendirmeleri yapın: Risk değerlendirmeleri, kimlik ve veri güvenliğine yönelik potansiyel tehditleri tanımlar. Kuruluşun BT altyapısı, sistemleri ve verilerinin bir analizini ve ayrıca üçüncü taraf satıcılar ve ortaklarla ilişkili risklerin bir değerlendirmesini ekleyin.
4. Kimlikle ilgili etkinlikleri izleyin: Yetkisiz erişimi ve veri ihlallerini tespit etmek ve önlemek için kullanıcı erişimi ve kimlik doğrulama girişimleri gibi etkinlikleri izleyin. Güvenlik bilgileri ve olay yönetimi (SIEM) sistemleri ve benzeri çözümler izleme konusunda yardımcı olabilir. Bazı yeni nesil kimlik doğrulama yöntemleri, kullanıcı davranışının ve erişim kalıplarının izlenmesini de sağlar.
5. İletişim kurun ve eğitin: Çalışanların, iş ortaklarının ve müşterilerin, bir kapatma veya devralmayla ilgili olup olmadığına bakılmaksızın, neler olup bittiğini ve olası etkileri bilmesi gerekir. İletişim açık, zamanında ve şeffaf olmalıdır. Kimlik ve veri güvenliği için farklı kimlik doğrulama seçeneklerini benimseme, kimlik avı dolandırıcılıklarından kaçınma ve diğer en iyi uygulamalarla ilgili eğitim, her durumda kimlik tehditlerini en aza indirmeye yardımcı olabilir.
6. Bir geçiş planı oluşturun: Ayrıntılı bir geçiş planı, verilerin nasıl aktarılacağını, bunlara kimlerin erişebileceğini ve müşterilerin nasıl etkileneceğini ana hatlarıyla belirtir. Bu plan, ilgili tüm paydaşlarla işbirliği içinde geliştirilmeli ve yasal ve düzenleyici gereklilikleri dikkate almalıdır.
Çözüm
Bir işletmenin kapanması veya satın alma/birleşmenin geçiş döneminde, iş sürekliliğini ve güvenliği sağlamak kritik öneme sahiptir. Kimlik ve erişim yönetimi, kuruluşların beklenmedik iş karışıklığı sırasında bile tüm paydaşlarının kimliklerini ve verilerini yönetmesine ve korumasına olanak tanıyarak her ikisini de başarmak için kritik öneme sahiptir.
Kuruluşlar, yetkisiz erişime karşı çok katmanlı bir savunma sağlamak için bir yöntem kombinasyonundan yararlanmalıdır. Kullanıcıların kimlik doğrulaması en önemlilerinden biridir. Uygun kimlik doğrulama yöntemi, erişilen bilgilerin hassasiyeti, kullanıcı tercihleri ve kuruluşun teknolojik yetenekleri gibi çok sayıda faktöre bağlıdır.