Se permetti alle persone di utilizzare account personali per servizi esterni come Dropbox, non hai alcun controllo e non ne possiedi. La maggior parte dei servizi che offrono una versione aziendale o aziendale hanno la possibilità di impostare uno o più amministratori e possono disabilitare gli account tramite questa interfaccia.
Da un punto di vista del processo, alcune organizzazioni lo fanno a mano, altri hanno checklist integrate nei sistemi di gestione delle risorse umane con flussi di lavoro. In definitiva, se le credenziali non sono legate a AD, LDAP, Shibboleth o qualche sistema centralizzato / federato, sarà necessario gestirle singolarmente. È possibile utilizzare qualsiasi tipo di database per tracciare questo.
La tua organizzazione dovrebbe sviluppare qualche tipo di inventario / database di gestione dei servizi. In un mondo ideale, nessun servizio di terzi viene utilizzato senza l'autorizzazione della direzione e questi dovrebbero essere tutti tracciati come parte del processo di gestione del fornitore (ITIL, CMMI, ecc. Possono fornire indicazioni sul fornitore o sulla gestione dei fornitori di servizi di terze parti). Da questo elenco dovresti essere in grado di creare una lista di controllo e puoi controllare ogni lista di controllo.
Come parte dei normali processi di gestione degli utenti, dovresti eseguire regolarmente revisioni / certificazioni di accesso per verificare che a tutti gli utenti attuali debba ancora essere concesso l'accesso. In un'organizzazione più matura, si avranno processi e una traccia cartacea o un database che tiene traccia di tutte le autorizzazioni di accesso, le modifiche e le revoche. In questo caso, dovresti avere una traccia cartacea che mostri tutte le sovvenzioni invece di controllare l'elenco di tutti i possibili sistemi.
Come parte di un approccio a più livelli, in alcuni casi è possibile collaborare con il fornitore di terze parti per limitare l'accesso all'applicazione dall'esterno della rete. In questo modo, l'ex dipendente dovrebbe tornare alla rete per accedere al servizio. Poiché nella maggior parte dei casi è probabile che abbia almeno revocato l'accesso remoto e l'accesso alla rete locale, ciò può aiutare a mitigare parzialmente il rischio se non si rimuove immediatamente l'accesso (ma si spera che venga catturato durante la revisione / certificazione periodica di accesso). / p>
Non ho intenzione di raccomandare alcun prodotto specifico, ma potresti voler utilizzare Google per qualcosa come "software di gestione degli accessi per servizi di terze parti" o "strumento aziendale per la gestione dell'accesso all'identità".
Parzialmente correlati a questo sono strumenti denominati "gestione dell'identità privilegiata", ma sono più generalmente orientati alla gestione delle credenziali dell'amministratore condiviso.
tl; dr È più lo sviluppo di una solida gestione degli accessi e delle politiche e procedure di revisione dell'accesso, in modo tale che tu abbia la responsabilità. Dovresti scegliere un sistema che abbia una solida pista di controllo e sia sottoposto a backup, un foglio di calcolo può essere facilmente modificato, perso, mal controllato o esposto a persone non autorizzate.