IGA、IAM和GRC对云过渡综合保护的相互作用

克里鲍曼
作者: 凯里·鲍曼,CISA
发表日期: 2023年7月6日

在当今日益数字化的商业环境中, 从本地基础设施过渡到涉及遗留澳门赌场官方下载资源规划(ERP)软件的混合生态系统, 软件即服务(SaaS)应用程序和各种公共云提供商非常普遍. 随着这种转变的发生, 组织关注治理的重要性是至关重要的, 风险和合规性(GRC)在他们的身份和访问管理(IAM)旅程. 添加不断变化的监管要求1 对于这种混合和建立可见性的重要性, 整个应用程序风险环境中的治理和安全性变得更加明显.

弥合差距

IAM是管理用户如何获得对重要系统的必要访问的基本策略框架, 坚持一个精确的方法和时间表.2 例如, IAM策略可能包括最小特权原则, 哪一个 ensures that users only have the access necessary to perform their roles; access control policies, 例如基于角色的访问控制(RBAC)或基于属性的访问控制(ABAC), 哪一个 determines how access is granted based on user roles or attributes; and life cycle management policies, 哪些决定何时以及如何授予访问权限, 随着用户在组织内的状态变化而更改或撤销.

身份治理和管理(IGA), IAM的进步, 将这些策略与支持访问供应和审查自动化的解决方案融合在一起. IGA拥有一套使之成为可能的功能, 包括从人力资源部门获取数据作为事实来源,以确保准确和更新的用户信息, 根据职位或部门自动分配基本访问权的出生权配置, 以及为更具体或更复杂的访问权限提供的技术规则. 除了, 自动化的访问发放和取消发放简化了入职和离职访问管理流程, 认证允许对用户访问权限进行定期审查和验证.

在当今多变的数字环境中驾驭复杂的用户访问需要一个额外的组件:IGA和访问控制的组合, 通常称为应用程序GRC. 这种集成通过并发地监视和管理与授予的访问相关的风险来增强自动化供应. 根据能力成熟度模型(CMM), 描述组织过程随时间发展的开发模型, 这次合并是一次重大的飞跃.

IAM建立了最初离开的程序 特别的将非结构化和反应性过程转变为已定义的、文档化的和可重复的过程. IGA建立在这个基础上, 通过利用自动化将这些过程转换为更明确和更主动的过程. 最后, 与应用程序GRC的集成使组织进一步沿着CMM规模走向优化过程, 哪些应该持续监控, 测量和改进,有效管理用户访问风险.

在当今多变的数字环境中驾驭复杂的用户访问需要一个额外的组件:IGA和访问控制的组合, 通常称为应用程序GRC.

在复杂IT架构和SoD场景中利用GRC管理

在每个应用程序都有自己的安全规则的单独应用程序中管理用户访问可能很棘手. 考虑一个员工在同一组织中担任不同角色的例子. 每个新角色, 此人可能在JD Edwards或SAP等系统中获得了更多的安全权限. 他们拥有的权限就越多, 欺诈或违反职责分离(SoD)规则的可能性就越高, 也就是说一个人不应该控制两个相互冲突的业务任务.

为了让这个例子更清楚, 假设该员工也可以访问不同的系统, 比如PeopleSoft, 因为在一个项目上工作. 现在他们可以访问多个系统, 跟踪他们能澳门赌场官方软件变得更具挑战性. 他们可能能够在一个系统中批准购买,而在另一个系统中记录付款, 这会打破SoD的规则并导致问题.

有一些工具可以通过显示有关用户访问的详细信息以及用户对其访问所做的事情来帮助降低这种风险, 但往往, 这些工具只显示了图片的一部分, 特别是当涉及到复杂的安全模型和多个应用程序时, 或者只能处理单个应用程序. 随着组织实施更多的解决方案, 对于安全性和遵从性团队来说,管理谁可以访问所有不同应用程序的内容变得更加困难. 这就是跨应用程序GRC解决方案在促进众多应用程序内部和跨应用程序的用户访问分配可见性方面变得至关重要的地方,从而有效地支持治理和安全流程.3

跨应用GRC的重要性日益增加

随着越来越多的组织转向云, 管理不同应用程序内部和跨应用程序的安全性的任务变得越来越复杂. 每个应用程序可能有自己独特的安全模型, 这使得it团队很难对访问权限和潜在风险保持一致的看法. 将GRC集成到组织的流程中可以帮助减轻这种复杂性.

与GRC集成, 组织可以集中他们的风险管理工作, 让他们对所有应用程序的安全性和遵从性有一个全面的了解. 这种统一的方法可以更好地了解潜在的SoD问题, 使组织能够在导致安全事件或破坏之前识别和减轻风险. 除了, GRC集成允许持续监测和评估风险, 确保组织的安全状态保持健壮,即使其应用程序环境不断发展.4

M&身份和访问治理的挑战和作用

兼并与收购(M&A)通常是一个组织的激动人心的时刻. 它们代表着成长、扩张和未来成功的潜力. 然而, 合并或收购的过程也会带来一系列挑战, 特别是在管理业务流程和用户访问时. 新用户的涌入, 每个都有其独特的角色和访问需求, 会让IT团队不知所措吗. 由于引入新流程,需要重新评估SoD规则, 而且很容易看出错误是如何发生的,合规问题可能会出现.

GRC工具可以帮助组织评估和理解这种新的风险环境,并确保适当的治理. 这些系统可以通过自动化分配和跟踪用户访问权限的过程,并减少可能导致安全漏洞或破坏的错误风险,从而大大简化这种转换. 这种全面的GRC方法大大降低了潜在违规或违规处罚的风险,并确保M&流程将产生一个集成的、兼容的和安全的澳门赌场官方下载.

用GRC应对高接入挑战

尽管IGA工具可以为管理访问权限提供一个健壮的框架, 在监督高架通道时,他们有时会达不到要求. 这些超级用户具有绕过正常访问控制的能力,如果管理不当,其活动可能会造成重大风险. 在这里,GRC集成可以提供额外的控制和可见性.

GRC解决方案提供有关高级访问活动的有用报告. 它们帮助组织识别谁拥有过多的权限,或者谁过度使用了敏感权限. 这可以借助两个工具:紧急访问管理和敏感访问风险报告.

这个想法是为了限制用户的访问, 允许他们只有必要的权限来执行他们的日常任务. 然而, 如果用户临时需要更高的访问权限以完成特定任务或在紧急情况下, 这可以通过紧急访问管理流程进行管理.

在此过程中,用户的额外访问请求将得到批准、监视和审查. 这种方式, 用户可以获得他们在特殊情况下所需的访问权限,而不会有在常规基础上拥有过多权限的风险, 保持系统安全并遵守组织的政策.

Adding CCM to a GRC strategy is not just a good security practice; it is a proactive way to prevent problems before they happen.

此外, GRC解决方案可以提供深入的SoD风险分析, 识别因授予提升访问权限而可能产生的潜在冲突. 通过添加这个额外的控制层, GRC解决方案创造了一个更安全、更合规的环境, 确保对高架通道进行仔细的管理和监控.

持续控制监控:有效GRC策略的核心

Adding continuous controls monitoring (CCM) to a GRC strategy is not just a good security practice; it is a proactive way to prevent problems before they happen. CCM工具永远不会停止检查组织系统的安全性. 如果有任何不寻常的事情发生或存在问题的风险,它们会提醒组织. 这可能包括从未经授权的访问尝试到超级用户行为的更改. 这就像有一个随时值班的保安.

这些CCM工具与IGA和GRC工具协同工作. 它们确保只有合适的人才能访问某些系统, 每个人都遵守规则. 它们还有助于发现任何不寻常的活动,即使是超级用户. 与CCM, 组织可以确信其系统是安全的,任何潜在的问题都会得到及时处理. 这样,他们就可以把注意力转移到工作上.

在合规性解决方案中寻找什么

市场上有这么多选择, 候选解决方案不仅要满足当前的安全需求,还要能够随业务扩展并适应新的遵从性法规,这可能是一项挑战. 有3个关键能力可以对IGA和GRC倡议产生重大影响:

  1. 过程自动化-大多数合规和审计相关活动本质上是重复的, 自动化在供应级别执行策略方面起着关键作用. 它还有助于简化访问审查,并持续监控潜在的SoD冲突的用户访问,同时提供缓解方案. 自动化还转化为跨IT的直接和间接成本节约, 安全和合规部门.
  2. 跨应用的能力-具有提供用户的能力, 使用集中式规则引擎重新验证跨应用程序的访问和管理SoD,从而实现跨应用程序环境的一致遵从性. 跨应用程序功能还减少了IT的负担,并为法规遵循和安全团队提供了全面的风险视图, 哪一个, 反过来, 帮助确定补救和缓解的优先级.
  3. 持续的监控-不再依赖定期审核来发现事后的合规偏差, 对应用程序中的控件和用户活动的持续监控使组织能够在违规和可疑活动发生时检测到它们. 它还为法规遵循管理人员提供关键控制活动的清晰视图,并确保他们按预期执行,同时为高级管理人员提供对组织风险的可见性, 安全性和遵从性状态.

结论

在云过渡期间实现全面的保护可能看起来很复杂, 但有了合适的工具,这是可能的. IGA、IAM和GRC是健壮的安全策略的关键组成部分. IAM管理用户访问, IGA通过自动化提高效率,GRC提供持续的风险管理. 这些元素, 以及通过CCM进行的实时监控, 加强组织有效管理风险的能力.

在选择遵从性解决方案时, 必须考虑过程自动化等特性, 跨应用程序功能和持续监控. 这些特性可以实现对用户访问权限的全面管理, 跨应用程序的一致遵从性,以及组织风险状况的完整视图.

虽然向云过渡安全的旅程可能看起来令人生畏, 正确的策略和工具可以带来显著的好处. 有效的风险管理, 提高效率,促进增长, 组织可以确保他们的数字环境保持安全和合规, 为未来不断变化的需求做好准备.

尾注

1 上市公司会计监督委员会; AS 2110:识别和评估重大错报风险,美国,2010
2 Puterbaugh, M.: “治理风险与合规性(GRC):完整指南,《澳门赌场官方软件》,2023年3月10日
3 Pandey, P.; “访问治理是防止网络钓鱼攻击的关键, 2020年5月18日
4 Pathlock。”四种类型的内部控制的弱点和五种方法来解决他们, 2023年2月12日

凯里·鲍曼,CISA

是否有超过14年领导风险和治理管理项目实施的经验, 绩效改进计划和产品管理与开发. 这包括将业务需求和需求转化为项目范围和执行, 它的审计, ERP实施和GRC工具的选择和实施. 她热衷于为澳门赌场官方下载提供实用的建议,并帮助他们进行建设, 实现并成功维护治理计划. 她在Pathlock的IAG产品团队工作, 构建融合风险的未来, 遵从性和网络管理解决方案.