業(yè)務(wù)部門和安全,審計,法規(guī)遵從等部門的合作要承擔起監(jiān)管訪問的職責,企業(yè)了解角色和職責的重要性,但卻很難實現(xiàn)。
由于工作職責的轉(zhuǎn)換,終止和改變導致企業(yè)無法跟上用戶角色變換的腳步。因此他們面臨嚴峻的法規(guī)遵從和企業(yè)風險。
高管人員看起來并不了解不當用戶訪問的風險性,不知道用什么資源來預(yù)防這種風險。

你會發(fā)現(xiàn)這些挑戰(zhàn)更多是來自組織和政策性原因,而不是技術(shù)層面上的。不過一些技術(shù)性的訪問監(jiān)管解決方案從管理角度向那些訪問數(shù)據(jù)和應(yīng)用軟件的人員提供解決方法。這種可見性意味著應(yīng)用軟件資源的權(quán)限可以被涉及到遵從流程中的每個人所了解,包括應(yīng)用軟件管理者,數(shù)據(jù)安全從業(yè)人員,審計師和IT管理員。

Ponemon調(diào)研的發(fā)起方Aveksa就提供了這樣一種解決方案。Aveksa的Enterprise Access Governance Platform在企業(yè)條款內(nèi)部設(shè)置了訪問權(quán)限數(shù)據(jù),這樣數(shù)據(jù)安全專業(yè)人員就能與業(yè)務(wù)經(jīng)理合作來驗證用戶的訪問權(quán),避免數(shù)據(jù)濫用的問題。

Enterprise Access Governance Platform可以為實體和角色提供自動化監(jiān)控,報表,驗證和修正能力。平臺與現(xiàn)有的驗證管理結(jié)合在一起,能提供貫穿企業(yè)的統(tǒng)一用戶訪問能力。還能允許企業(yè)將符合相關(guān)角色和支持協(xié)議的各種權(quán)利關(guān)聯(lián)起來。

Enterprise Access Governance Platform能自動收集企業(yè)網(wǎng)絡(luò)上用戶的驗證和權(quán)利信息,講訪問數(shù)據(jù)信息能應(yīng)用到多重應(yīng)用軟件,目錄和用戶數(shù)據(jù)庫中去。平臺還能對訪問數(shù)據(jù)規(guī)格化,這樣用戶,角色和所賦予的權(quán)利都能關(guān)聯(lián)起來用在分析和報表上。這種規(guī)范化數(shù)據(jù)能作為平臺的遵從管理特性的基礎(chǔ)來實現(xiàn),特性包括:

基于自動化工作流,一體化商業(yè)角色和控制目標進行日常權(quán)利審核和驗證。
報表和控制,包括用戶驗證分析,權(quán)限,角色和遵從定位
除外管理,包括進一步的自定義修正工作流,通過企業(yè)角色來進行定位
根據(jù)所需的訪問和管理的轉(zhuǎn)變,來確定基于角色的解決方法

Aveksa的監(jiān)管平臺能幫助TIAA-CREF減少花費在權(quán)力審核上的時間,所用的時間從4到6個月縮短至1個月。

Susan L. P. Neubauer是TIAA-CREF的首席信息安全官,TIAA-CREF是世界上最大的投資顧問和學術(shù),醫(yī)療,文化和研究領(lǐng)域的退休金計劃系統(tǒng)提供商。Neubauer表示訪問監(jiān)管是他們公司重要的控制點。最初,TIAA-CREF建立了一個數(shù)據(jù)庫系統(tǒng),用電子數(shù)據(jù)表格來跟蹤和審核訪問控制權(quán)限的跟蹤和審核。不過電子數(shù)據(jù)表格不能升級,這讓企業(yè)必須尋找更加自動化的工具。

Neubauer的團隊對幾款產(chǎn)品進行了評估,最終選擇了Aveksa的平臺,因為Aveksa平臺的用戶界面對于進行日常管理的系統(tǒng)管理員和審核員工訪問權(quán)限的業(yè)務(wù)經(jīng)理來說都同樣易于使用。公司目前有一種新型的方法來收集和監(jiān)控訪問企業(yè)應(yīng)用軟件的數(shù)據(jù)。Neubauer表示"這種權(quán)限能被轉(zhuǎn)化為描述,只要是正常人都可以讀懂"。她表示權(quán)限控制得到了改進,因為這款平臺對于業(yè)務(wù)人員來說很容易理解他們的權(quán)限并采取適當?shù)男袆印?/p>

公司大概花費了將近半年的時間在公司的分布式網(wǎng)絡(luò)中全面配置Aveksa Enterprise Access Governance Platform。Neubauer表示最困難的部分是解釋應(yīng)用軟件權(quán)限的命名,諸如Q1XYRC或者TENTYOUFP,給他們一個業(yè)務(wù)人員也能理解的描述,諸如"工資簿審核流程"。目前企業(yè)中的每個人都對應(yīng)用軟件的職能,應(yīng)用軟件的描述和應(yīng)用軟件特殊功能的使用權(quán)限有了更加深入和豐富的理解;Neubauer表示他們改進了控制的有效性,使之能發(fā)揮更大的作用。

訪問監(jiān)管不僅是IT部門的職責,而且應(yīng)該是各個部門都承擔起相應(yīng)的職責。幸運的是,像Aveksa平臺這樣的IT工具能為所有執(zhí)行他們工作職責的人員提供共識。

分享到

yajing

相關(guān)推薦