業(yè)務(wù)部門和安全,審計(jì),法規(guī)遵從等部門的合作要承擔(dān)起監(jiān)管訪問的職責(zé),企業(yè)了解角色和職責(zé)的重要性,但卻很難實(shí)現(xiàn)。
由于工作職責(zé)的轉(zhuǎn)換,終止和改變導(dǎo)致企業(yè)無法跟上用戶角色變換的腳步。因此他們面臨嚴(yán)峻的法規(guī)遵從和企業(yè)風(fēng)險(xiǎn)。
高管人員看起來并不了解不當(dāng)用戶訪問的風(fēng)險(xiǎn)性,不知道用什么資源來預(yù)防這種風(fēng)險(xiǎn)。

你會發(fā)現(xiàn)這些挑戰(zhàn)更多是來自組織和政策性原因,而不是技術(shù)層面上的。不過一些技術(shù)性的訪問監(jiān)管解決方案從管理角度向那些訪問數(shù)據(jù)和應(yīng)用軟件的人員提供解決方法。這種可見性意味著應(yīng)用軟件資源的權(quán)限可以被涉及到遵從流程中的每個(gè)人所了解,包括應(yīng)用軟件管理者,數(shù)據(jù)安全從業(yè)人員,審計(jì)師和IT管理員。

Ponemon調(diào)研的發(fā)起方Aveksa就提供了這樣一種解決方案。Aveksa的Enterprise Access Governance Platform在企業(yè)條款內(nèi)部設(shè)置了訪問權(quán)限數(shù)據(jù),這樣數(shù)據(jù)安全專業(yè)人員就能與業(yè)務(wù)經(jīng)理合作來驗(yàn)證用戶的訪問權(quán),避免數(shù)據(jù)濫用的問題。

Enterprise Access Governance Platform可以為實(shí)體和角色提供自動化監(jiān)控,報(bào)表,驗(yàn)證和修正能力。平臺與現(xiàn)有的驗(yàn)證管理結(jié)合在一起,能提供貫穿企業(yè)的統(tǒng)一用戶訪問能力。還能允許企業(yè)將符合相關(guān)角色和支持協(xié)議的各種權(quán)利關(guān)聯(lián)起來。

Enterprise Access Governance Platform能自動收集企業(yè)網(wǎng)絡(luò)上用戶的驗(yàn)證和權(quán)利信息,講訪問數(shù)據(jù)信息能應(yīng)用到多重應(yīng)用軟件,目錄和用戶數(shù)據(jù)庫中去。平臺還能對訪問數(shù)據(jù)規(guī)格化,這樣用戶,角色和所賦予的權(quán)利都能關(guān)聯(lián)起來用在分析和報(bào)表上。這種規(guī)范化數(shù)據(jù)能作為平臺的遵從管理特性的基礎(chǔ)來實(shí)現(xiàn),特性包括:

基于自動化工作流,一體化商業(yè)角色和控制目標(biāo)進(jìn)行日常權(quán)利審核和驗(yàn)證。
報(bào)表和控制,包括用戶驗(yàn)證分析,權(quán)限,角色和遵從定位
除外管理,包括進(jìn)一步的自定義修正工作流,通過企業(yè)角色來進(jìn)行定位
根據(jù)所需的訪問和管理的轉(zhuǎn)變,來確定基于角色的解決方法

Aveksa的監(jiān)管平臺能幫助TIAA-CREF減少花費(fèi)在權(quán)力審核上的時(shí)間,所用的時(shí)間從4到6個(gè)月縮短至1個(gè)月。

Susan L. P. Neubauer是TIAA-CREF的首席信息安全官,TIAA-CREF是世界上最大的投資顧問和學(xué)術(shù),醫(yī)療,文化和研究領(lǐng)域的退休金計(jì)劃系統(tǒng)提供商。Neubauer表示訪問監(jiān)管是他們公司重要的控制點(diǎn)。最初,TIAA-CREF建立了一個(gè)數(shù)據(jù)庫系統(tǒng),用電子數(shù)據(jù)表格來跟蹤和審核訪問控制權(quán)限的跟蹤和審核。不過電子數(shù)據(jù)表格不能升級,這讓企業(yè)必須尋找更加自動化的工具。

Neubauer的團(tuán)隊(duì)對幾款產(chǎn)品進(jìn)行了評估,最終選擇了Aveksa的平臺,因?yàn)锳veksa平臺的用戶界面對于進(jìn)行日常管理的系統(tǒng)管理員和審核員工訪問權(quán)限的業(yè)務(wù)經(jīng)理來說都同樣易于使用。公司目前有一種新型的方法來收集和監(jiān)控訪問企業(yè)應(yīng)用軟件的數(shù)據(jù)。Neubauer表示"這種權(quán)限能被轉(zhuǎn)化為描述,只要是正常人都可以讀懂"。她表示權(quán)限控制得到了改進(jìn),因?yàn)檫@款平臺對于業(yè)務(wù)人員來說很容易理解他們的權(quán)限并采取適當(dāng)?shù)男袆印?/p>

公司大概花費(fèi)了將近半年的時(shí)間在公司的分布式網(wǎng)絡(luò)中全面配置Aveksa Enterprise Access Governance Platform。Neubauer表示最困難的部分是解釋應(yīng)用軟件權(quán)限的命名,諸如Q1XYRC或者TENTYOUFP,給他們一個(gè)業(yè)務(wù)人員也能理解的描述,諸如"工資簿審核流程"。目前企業(yè)中的每個(gè)人都對應(yīng)用軟件的職能,應(yīng)用軟件的描述和應(yīng)用軟件特殊功能的使用權(quán)限有了更加深入和豐富的理解;Neubauer表示他們改進(jìn)了控制的有效性,使之能發(fā)揮更大的作用。

訪問監(jiān)管不僅是IT部門的職責(zé),而且應(yīng)該是各個(gè)部門都承擔(dān)起相應(yīng)的職責(zé)。幸運(yùn)的是,像Aveksa平臺這樣的IT工具能為所有執(zhí)行他們工作職責(zé)的人員提供共識。

分享到

yajing

相關(guān)推薦