Ponemon Institute研究机构最新调查发现,由于预算消减,很多企业难以对访问权限进行适当管理。
该调查由Aveksa赞助,调查对象是对来自跨国企业和政府机构的728名IT专业人员。调查主要结果包括:87%的受访者认为用户拥有太多访问权限,他们可以访问其工作职责不涉及到的信息资源,该数据比2008年同期上涨9个百分点。
未执行访问权限控制政策是造成企业发生员工盗窃数据的主要原因之一,此外,59%的受访者表示,他们没有或者没有严格执行访问管理政策,61%在批准访问前没有立即根据安全政策来检查用户访问请求。
“访问权限政策的制定是基于内部组织要求、权限相关的法规以及行业标准的,”Aimee Rhodes表示,他是Xceedium公司市场营销副总裁,“最重要的是,提供连续的审计质量记录和报告,来确保符合标准和规定以及后期分析能力。”
部分问题在于缺乏IT人员,几乎三分之二(65%)的受访者表示,缺乏IT专业人员是执行访问权限管理政策的关键问题,55%还补充说,他们没有管理和控制终端用户访问信息资源的技术。
“我们的研究证明,IT人员不仅不能跟上不断变化的用户访问权限要求和规定,而且他们远远落后了,”Larry Ponemon表示,他是Ponemon Institute的创始人兼董事长,“这么少的人来管理如此多的信息资源、请求和控制要求,将让企业面临信息滥用和非正常访问的威胁。大部分企业都需要符合访问相关的法规或者行业标准,缺乏访问权限管理将严重破坏他们遵守合规以及减轻关键风险的能力。”
72%的受访者表示他们不能快速响应员工访问权限需求的变化,超过一半(52%)表示无法跟上定期的访问权限要求变化。
“目前全球经济环境提升了访问权限管理的要求,这也迫使IT人员少花钱多办事,”Aveksa公司的总裁兼首席技术官Deepak Taneia表示,“企业必须解决访问权限管理问题,可持续合规只能通过部署嵌入式管理自动化访问权限管理程序来实现。”