2010年1月28日

Aveksa副总裁Brian Cleary

今天’快速的业务环境要求员工可以在需要的时间和地点访问信息。随着IT安全和运营人员努力在分散的信息系统和资源之间以安全且合规的方式满足访问请求,企业无法等待出现的瓶颈。对速度的需求和人员的缺乏意味着与未经授权或对这些资源的不当访问有关的风险随时可能出现在组织内的任何地方,并在企业中迅速蔓延。

“只需要一个错误的访问权限,就可以对组织产生重大影响。业务的潜在成本,包括收入损失,费用增加或产品损坏 企业品牌和声誉 可能相当大。”

宝贵的企业知识产权 例如公司’商业秘密,产品设计计划和客户数据库是高度敏感的信息资源,对于企业的成功至关重要,需要加以保护。”

避免损失公司知识产权, 组织必须采用最小特权访问原则,以确保用户的访问权限不超过其工作所需的最低权限。组织还必须具有一个系统,以确保对用户所做的更改’当他们在组织中的角色转移时,将立即进行访问。

例如,当员工被晋升,转移或借给组织内的另一个部门时,积累不必要的访问特权并不罕见。从其新角色中不需要的先前工作角色中拖延应享权利的用户可能会创建有毒的访问组合,从而经常导致职责分离违规或产生其他业务风险。

监控,管理,缓解

监视,管理和缓解至关重要 与访问有关的风险 整个企业拥有一个完全自动化的技术平台。大多数大型企业已经有一套旨在确保对系统访问进行适当监督的策略。但是在许多情况下,这些政策尚未完全实施。只要它们驻留在三环活页夹中,并且没有实例化到日常操作实践和过程中,就不太可能始终如一地执行这些策略。

自动化是将全面访问风险管理纳入企业DNA的关键。正确的解决方案需要一种基于可审核业务流程的策略来访问治理,该流程可让业务线经理与信息安全,审核和合规团队进行协作,同时确保职责和可见性。有了这样的系统,大型企业将可以很好地管理不当访问其信息资源的业务和监管风险。

供电 字型