你知道谁在使用你的敏感数据吗?

DoSECU 安全报道 4月29日消息:你是否有足够的自信认为你的用户在使用所需的应用软件,文件和数据来完成工作时设置了适当的权限?"适当的权限"指的是使用履行特殊工作职能或者企业角色时必须要用的资源的能力,这种权限不能被随意逾越。如果对此你没有十足的把握,那么我告诉你实际工作中这种情况非常普遍。

去年Ponemon Institute研究公司公布了"2008年度全国访问权限独立调查"的结果。这项调研由Aveksa发起,收集了来自美国企业和政府机构中大约700名经验丰富的IT从业人员的信息。超过一半的受访者在回答"对访问权的分配处理得当并且在企业内部得到很好的控制"这一问题时缺乏自信。

这就说明有很多应用软件或者数据持有人和管理者认为,他们的企业数据可能会被根本无权访问的人使用。这就意味着企业内部存在很大的风险性,包括敏感数据丢失或被盗的隐患,公司协议违反HIPAA, PCI DSS和SOX等政府和行规的行为。

除此之外,有73%的受访者表示他们的企业是根据不同数据类型的内部风险来判断信息的风险性,而不是根据用户的角色或者职能。这个结果说明企业可能很难从个体角度上管理使用权,因为与信息资源有关的企业角色和职责会随时发生转变。这种方法会容易导致企业内部对数据的滥用,因为本没有权限的员工也取得了使用权。

Ponemon的调研报告在提及执行有效的访问监管框架时,引述了几个被受访者提出的主要挑战:

企业很难在内部执行贯穿始终的访问协议。
业务部门和安全,审计,法规遵从等部门的合作要承担起监管访问的职责,企业了解角色和职责的重要性,但却很难实现。
由于工作职责的转换,终止和改变导致企业无法跟上用户角色变换的脚步。因此他们面临严峻的法规遵从和企业风险。
高管人员看起来并不了解不当用户访问的风险性,不知道用什么资源来预防这种风险。

你会发现这些挑战更多是来自组织和政策性原因,而不是技术层面上的。不过一些技术性的访问监管解决方案从管理角度向那些访问数据和应用软件的人员提供解决方法。这种可见性意味着应用软件资源的权限可以被涉及到遵从流程中的每个人所了解,包括应用软件管理者,数据安全从业人员,审计师和IT管理员。

Ponemon调研的发起方Aveksa就提供了这样一种解决方案。Aveksa的Enterprise Access Governance Platform在企业条款内部设置了访问权限数据,这样数据安全专业人员就能与业务经理合作来验证用户的访问权,避免数据滥用的问题。

Enterprise Access Governance Platform可以为实体和角色提供自动化监控,报表,验证和修正能力。平台与现有的验证管理结合在一起,能提供贯穿企业的统一用户访问能力。还能允许企业将符合相关角色和支持协议的各种权利关联起来。

Enterprise Access Governance Platform能自动收集企业网络上用户的验证和权利信息,讲访问数据信息能应用到多重应用软件,目录和用户数据库中去。平台还能对访问数据规格化,这样用户,角色和所赋予的权利都能关联起来用在分析和报表上。这种规范化数据能作为平台的遵从管理特性的基础来实现,特性包括:

基于自动化工作流,一体化商业角色和控制目标进行日常权利审核和验证。
报表和控制,包括用户验证分析,权限,角色和遵从定位
除外管理,包括进一步的自定义修正工作流,通过企业角色来进行定位
根据所需的访问和管理的转变,来确定基于角色的解决方法

Aveksa的监管平台能帮助TIAA-CREF减少花费在权力审核上的时间,所用的时间从4到6个月缩短至1个月。

Susan L. P. Neubauer是TIAA-CREF的首席信息安全官,TIAA-CREF是世界上最大的投资顾问和学术,医疗,文化和研究领域的退休金计划系统提供商。Neubauer表示访问监管是他们公司重要的控制点。最初,TIAA-CREF建立了一个数据库系统,用电子数据表格来跟踪和审核访问控制权限的跟踪和审核。不过电子数据表格不能升级,这让企业必须寻找更加自动化的工具。

Neubauer的团队对几款产品进行了评估,最终选择了Aveksa的平台,因为Aveksa平台的用户界面对于进行日常管理的系统管理员和审核员工访问权限的业务经理来说都同样易于使用。公司目前有一种新型的方法来收集和监控访问企业应用软件的数据。Neubauer表示"这种权限能被转化为描述,只要是正常人都可以读懂"。她表示权限控制得到了改进,因为这款平台对于业务人员来说很容易理解他们的权限并采取适当的行动。

公司大概花费了将近半年的时间在公司的分布式网络中全面配置Aveksa Enterprise Access Governance Platform。Neubauer表示最困难的部分是解释应用软件权限的命名,诸如Q1XYRC或者TENTYOUFP,给他们一个业务人员也能理解的描述,诸如"工资簿审核流程"。目前企业中的每个人都对应用软件的职能,应用软件的描述和应用软件特殊功能的使用权限有了更加深入和丰富的理解;Neubauer表示他们改进了控制的有效性,使之能发挥更大的作用。

访问监管不仅是IT部门的职责,而且应该是各个部门都承担起相应的职责。幸运的是,像Aveksa平台这样的IT工具能为所有执行他们工作职责的人员提供共识。