首页 > 个人简历表免费下载 >专家建议5个最常见的访问管理挑战
2018
04-15

专家建议5个最常见的访问管理挑战


当今快节奏的商业环境要求员工有权访问他们需要的信息。但是,组织却努力确保员工只有的访问权限 - 不要太多,不能太少。

不适当的访问是非常普遍的,它可能会导致有害的业务风险。这类事件的范围从相对较小的政策和合规违规到灾难性的商业损失。

所需要的只是一个具有错误的访问控制集的人,造成严重破坏。从损失的收入,增加的费用和罚款到损坏的客户关系和企业品牌声誉,成本都是遥遥无期的。

任何访问风险管理计划的基础都应该遵守最少特权访问的原则,以确保合法用户只有最低限度的访问权限才能完成他们的工作。违反了最低权限的原则。组织避免违规行为以降低风险至关重要。

也许更重要的是,组织应该了解违规行为是如何发生的,以避免它们发生。通常情况下,违规是五种访问管理挑战之一的结果:

权利惯性是一旦不再需要或不适当时,就不能删除先前发放的访问权利。例如,员工在晋升,转移或临时分配到组织内的其他部门时累积不必要的访问权限并不罕见。

将超额权利拖入新角色的用户可能会创建访问的有毒组合,这往往会导致职责分离违规或造成其他业务风险。如果一个组织的终止程序不严格,那么以前的员工甚至可能会在其工作结束后保留​​部分或全部的访问权限。

孤立帐户是另一种可能导致严重财务和监管后果的访问管理挑战。在一个典型的大型企业中,用户访问数据不仅包含在可以被监控的集中式目录中,而且分布在整个组织的信息资源中。

这些用户存储库中的数据可能不受监控,极大地增加了员工离开组织后发生离职程序后“孤立”帐户的可能性。

合规近视结果来自错误的假设,即遵守与接入有关的监管指导方针可确保进行适当的接入风险管理。

SOX和其他监管任务从未打算成为全面的风险管理方法。

仅仅因为访问权限符合规定准则并不意味着它们与最低特权访问和其他访问管理最佳实践的规则一致。

橡皮戳发生时,业务经理被要求审查和批准访问权限,传达给他们在他们不明白的安全语法语言。

要求业务部门经理使用RACF大型机安全管理员的报告来验证员工访问权限是外部审计人员使组织失败的典型情况。

业务部门经理没有上下文来理解大型机应用程序上的用户权利,除非权利是以与用户的工作职责相关的业务友好的术语呈现的

只要全权负责访问,问责制漏洞就是公开的治理仅限于IT。 IT安全团队正根据业务需求来操作访问权限,但他们没有业务环境来了解特定工作职能或业务职责所需的访问级别。

业务部门和IT团队当然不是遵守法规的专家;但是,审计和合规部门是。因此,审计,风险和合规团队必须就管理准入政策开展合作,并将符合法规和政策的责任扩展到适当的业务 经理。

在大型组织中,这些都是令人惊讶的常见问题,而且它们是IT部门通常面临的压力的自然后果,即在员工被转移或晋升到需要新权限的职位时快速访问。

为了克服这些挑战,在整个企业中监控,管理和缓解与访问相关的风险至关重要。自动化是确保诸如合规性法规和行业授权等政策被用来作出正确的访问决策的关键,并且访问审查和认证过程是自动化的,以确保及时修复访问权限问题。

监视风险需要一个自动过程来定期检查用户访问。它还应该能够对特别敏感的权利进行动态监控,并以易于理解的格式为业务经理提供访问权限的完整视图,以及为这些经理验证(或取消)现有角色及其相应权利的简单自动化方法,或者授权新的。

理想情况下,访问策略应该在提出访问请求时应用,这将提供一个预防性控制点,以补充定期访问检查提供的检测控制。

管理风险要求不仅仅是传统的以IT为中心的权利观点。如果要避免不必要的风险,业务经理必须共享将权利与业务角色和业务角色关联起来的责任。但是,业务经理必须能够理解权限是什么,是否适合用户在组织中的角色以及谁拥有或将拥有该权限作为认证的结果。此外,管理人员必须知道或以其他方式指导相关监管要求和需要执行的内部政策,以确保良好的访问管理。

缓解风险需要动态过程来检测违反策略的访问。它必须自动启动访问权修复工作流程,以解决这些问题,而无需等待定期访问审核。

自动化是确保正确的人员迅速获悉违规行为的唯一途径。这也是确保迅速处理这些违规行为的唯一方法,并且对权利的变更请求已经得到验证。

通过验证变更请求,企业IT和安全管理人员将能够更有效地平衡法规遵从和访问相关风险管理的需求,同时实现访问交付的快速流程。


Deepak Taneja 是企业访问管理解决方案提供商Aveksa的创始人,总裁和首席技术官。