透過身分識別安全性機制,保護現今企業數位身分
如今,我們就像保護皮夾和裡面的物品一樣,嘗試保護自己的數位身分。我們藉由數位身分進行每日工作,像是登入銀行帳戶以支付帳單、檢視 Facebook 頁面的通知,或安排 UberEats 晚餐配送。但另一方面,我們也有工作方面的數位身分。此類數位身分能證明我們與自身所稱相符,也與我們工作所需的大量不同應用程式和資料相關。現在,想想企業員工及其各種數位身分的數量。 公司內部使用者身分的匯總,構成了公司本身的數位身分。
為了真正確保「企業數位身分」(即企業的 PII)的安全,公司必須重新思考如何保護數位勞動力。否則,每位員工都可能迅速成為駭客之目標,對企業安全造成威脅。
讓我們透過一個十分著名的實際案例來說明這一點。
在 2020 年 3 月疫情開始時,眾人開始封城生活,幾乎所有組織都匆忙地轉換成虛擬工作環境。組織背負龐大壓力,亟需讓員工發揮在家工作的生產力,因而忽略了能保護其營運資產的必要安全控制措施。在許多案例中,那些沒有在存取權限以及保護數位身分之間建立連結的企業,就會使得風險之門大開。
無論是否轉換成虛擬工作環境,企業都必須思考如何正確保障存取安全,才能安全地運用技術。誰應獲得存取權限?對方實際上是否有正當理由利用存取權限完成工作? 員工需要持有存取權限多長時間? 存取權限是否能在短時間後停用,還是存取權限必須長期保持開放?在具有其他系統的存取權限時,是否也能獲得此存取權限?若企業沒有針對存取權限增加一層保護和風險減輕機制,便敞開大門,那麼,任何企業都無法肯定地回答這些問題。
請以下列方式思考:在家時,您會在沒有妥善保全系統的情況下舉辦派對嗎?您會在沒有鎖上臥室門以避免他人翻動私人物品、櫥櫃中沒有保險箱保障財務安全,以及後門沒有警報器提醒您有人打開門並試圖偷偷溜走的情況下,就允許他人進入您家中嗎?允許朋友和熟人進入您家中是一回事,但即使是朋友,也不需要清楚地瞭解您的個人資料。我們備妥安全措施,以保護自身隱私。
就像家庭保全系統避免陌生人進入一樣,身分識別安全性機制(即身分治理)就是企業的「保全系統」。透過存取管理授予存取權限,僅是前門保全或「門衛」,以實體方式避免未受邀請的人進入,但在允許對方進入房屋或組織後,存取管理便無法控制他人對您物品的行為。要讓他人進入大廳很簡單。不看守。不管理。不防護。
關鍵是著重於同時確保可用性和安全性,提供對重要技術和工具的存取權限,但也要適當控制該存取權限。現今,了解員工中有哪些人需要特定存取權限十分重要,然後應在其角色改變後修改存取權限,或在對方不需要該權限時,應限制或甚至取消存取權限。必須新增這些控制措施,才敞開技術使用大門,否則就像是在大門放上邀請墊,歡迎駭客進入您的企業。
好消息是越來越多企業已意識到此現實情況,並將身分識別安全性放在企業優先事項清單的首位。回到疫情話題,事實上,轉向遠距工作確實突顯出當今企業採取身分識別安全性機制的重要性。在這個快速變化關鍵點上展現優勢的公司,都是將身分識別安全性立於企業根基的公司。
身分識別安全性已成為風險管理的重要元素,也是全球企業現在和未來邁向充分保護「企業數位身分」的最可靠方法。
Discussion