经济危机时期突显IAM的重要性

任何形式的经济衰退都会给企业带来新风险,而那些担心被裁员的员工则很可能会在未经授权的情况下获取存储在应用程序的关键信息,临时员工比全职员工更容易盗取机密信息,因此这种时期,最好不要使用临时员工以预防信息丢失事故。

正因如此,身份和接入管理(IAM,identity and access management)成为安全专业人士最优先考虑的解决方案。在Forrester的2008-2009企业IT安全年度调查中,82%的安全领导人表示在新的一年里,IAM将会是IT安全企业非常重要的问题。Forrester预测,2006年市场总额约26亿美元的IAM市场预计到2014年市场额将增长到123亿美元。

此外,临时雇员也是需要考虑的安全问题,因为对企业而言,他们属于成本较低的劳动力,雇佣和解雇过程比长期雇员要简单得多,这也为企业带来更多安全风险。由于临时雇员不像长期雇员那样对公司忠诚,对于不适当行为的认识度也不高,临时员工必须和长期员工一样接受完整的培训和审核。并且,因为临时员工的跳槽率远远高于一般员工,应该对临时员工的工作进行监督,大量有效的进行。

当然,现有员工也同样会给企业带来安全风险,因为他们可能会担心自己在公司的职位能否保住,通常这些紧张的员工都会试图获取、窃取或者破坏重要信息。因此,公司应该对应用程序和数据的访问进行监测和报告,特别是当员工可能有离开公司的打算时,或者公司进行裁员的时候。

IAM对于以上问题有相应的解决方案:对应用程序访问的监测和执行政策进行集中式访问管理;根据职权分配向临时员工提供时间段访问,并能迅速安全地解除临时员工的访问权。另外,越来越多的企业开始支持SaaS应用程序,SaaS应用程序采用联合用户帐户供应和托管IAM供应商服务,这也为企业加强了安全性。

集中式访问管理提高安全性的同时还降低了安全成本,访问管理解决方案能够对应用程序和数据进行集中访问管理。许多这种解决方案还与非web解决方案(如桌面、电话和交互式语音应答IVR)结合使用,对数据访问提供严格控制。最近,基于风险的身份验证方面的发展甚至能够让企业在访问环境下加入更多的政策定义。

该解决方案还包括IP地址地理位置、机器指纹、交易类型和单点登录(SSO)等功能选项,从而能够提高密码的安全性,因为用户通常只需要记住一个高质量的密码即可。同时,这种解决方案能够方便地复原或者重置忘记的密码,降低因密码泄漏造成的机密数据泄漏问题。如果在没有集中式访问管理的情况下,密码丢失的话,就很难确定其他密码是否也丢失或者需要重新设置密码。如果所有应用程序使用的是同一个密码,那么重设密码就能重新恢复对所有应用程序的保护。

与SaaS应用程序的整合使企业可以进行IAM外包,SaaS应用程序可以无缝地集成到企业的IAM生态系统中,并可以对用户账户进行配置和解除账户,这样做使很多公司不得不重新考虑其身份管理基础设施。不过,这种身份服务重新构建是相当普遍的事情,如果处理得当,必然能够为企业提供实用的低成本的身份验证。随后身份服务就能作为身份管理的一部分,交付给管理安全服务提供商(MSSP)。

同样值得注意的是,在经济危机时期,部署IAM解决方案的IT企业能够从几个方面为企业降低安全成本:通过将添加、修改和删除用户过程自动化节省运行成本,对企业关键资源(如ERP、Web和客户端应用程序)访问的控制来减少审计成本,以及避免数据泄漏造成的各种成本损失。

尽管IAM解决方案能够消减一定成本,不过安全预算一直是企业预算很难争取的部分。执行管理层认为安全和IAM投资只是帮助公司通过审计或者处理安全事件(系统破坏或者数据泄漏等)后续事务的可选择预算,因此,IT经理们在和预算审批管理层讨论这些项目时最好准备充足的统计数据结果来说明问题。

在估算IAM解决方案对公司的影响时,尽量使用简单的指标将结果用金钱数额表现出来。说到IAM项目的价值,可以从三个方面来说:IAM解决方案能够减少呼叫中心的成本(由于减少的求助电话和审计结果需求),以及降低因用户访问权限更改带来的审计等成本,另一个好处就是提高用户生产效率(当用户需要时可以立即访问所有应用程序,而不需要等待两到三周来等待批准)。

把IAM当作是必须的关键基础设施,而不是应用程序。如果公司的web访问管理基础设施停止工作,这通常意味着企业也将停止运行。负责维护该基础设施和相关政策定义的劳动力和部门是非常重要的不可或缺的,能够直接影响公司业务的正常运营。

利用IAM来支持企业重组和成本预算等,IAM系统中的信息(企业SSO和Web SSO系统中应用程序的访问日志,基于角色的访问控制政策,应用程序使用情况统计等)可以用来作为直接证据,证明企业哪些功能需要外包和相关原因。

在经济危机时期,高级管理层很可能会问及IAM项目的具体商业价值和成本效益分析,并取消IAM项目中那些和商业价值以及短期效益没有明确关系的项目。在与高级管理层进行协商时,最好突出IAM在避免新风险方面的重要性:对临时员工的快速配置、对所有应用程序的管理和执行访问政策,以及能够支持SaaS应用软件等。