隨著使用者與個別存取點的數量持續增長,風險也隨之升高,尤其是許多企業還保存著數百萬件內含敏感公司資訊及個人身分資訊的檔案、資料夾及其他資料存放庫。 在每個使用者為企業工作的期間,若未採用正確的身分治理方法去管理和監控存取這些應用程式和資料的權限,企業就是讓自己暴露於大範圍的威脅之中。
保障身分安全: 法規遵循的基礎
保障隱私權及機密資料的環境一直在改變,規章愈來愈多、愈來愈複雜,法規遵循的成本也不斷墊高,部署穩健、自動化程度更高的身分治理技術迫在眉睫。 建立穩健的身分治理實務可解決基本的共通問題,即身分及存取控制,因應現在與未來的所有法規遵循需求。
保護存取相關資料的權限是資料隱私權的核心,而穩建的身分治理技術則是保護存取權限的核心。
不停改變的資料隱私權環境
在多個因素交互影響之下 (尤其是與遵循資料隱私權規章要求相關的因素),企業愈來愈需要穩健、自動化程度更高的身分治理技術。
資料環境愈來愈複雜。 不光是企業資料愈來愈多的問題,還必須考量位置變換、重要應用程式相互依存及資料本身的固有價值持續增長等因素。 每個地理區的應用程式、資料存放庫及公有雲中的敏感資料不斷增加,數量變得比以往還要多,其中許多都有自己的一套資料隱私權規章。 重要的業務應用程式益發獨立,因而需要具備對隱私資料的機器對機器存取權限。 例如,電子商務付款交易可透過銀行系統和第三方結算所自動傳送您在網站上輸入的隱私資料。
IDC 預測,到了 2022 年時,在所有新應用程式中,將有 90% 具備微型服務結構;且在所有產品應用程式中,將有 35% 為雲端原生。
隱私資料的數量不斷增長,再加上其價值愈來愈高,這兩個因素對企業同時帶來正面和負面的後果。 優點是企業可運用資料更加瞭解客戶並提供更完善的服務、設定新的產品與做成以產品為導向的決策。 缺點是網路罪犯的目光漸漸鎖定在隱私資料上,包括個人身分資訊 (PII) 以及重要的公司資料,如財務、營業秘密、專利等等。進階的惡意軟體攻擊次數及公開揭露的外洩事件愈來愈多,正是入侵隱私資料的價值不斷增長的慘痛證明。
現今員工的工作地點經常變換,比以往更機動、更偏遠也更多變,因而增加了管理身分治理的難度。 企業想要獲得臨時工、承包商與服務供應商增多帶來的彈性。 員工則持續尋求更靈活的工作型態。 兩者同樣需要在不同裝置間執行簡單、快速的存取作業,也都想要有能力視工作需要轉換工作地點和裝置。 現今員工陣容帶來許多挑戰,影子 IT 的崛起就是很好的例子:像是 DevOps 這類的部門為了提高速度和彈性而規避既定的存取和身分治理措施。
一份在 2019 年針對美國 1200 多名員工所做的調查顯示,有 30% 的人於遠端全職工作。
數位轉型方案如火如荼進行中,有更多針對資料的非人員、自動化存取行動發生,而這也需要身分管理。 擴充而分散的基礎設施即服務 (IaaS) 和在多個公有雲之間執行的工作負載 (直接用於企業,也可用於叫用第三方服務) 仰賴的是自動提供的機器對機器存取權限。 機器人流程自動化 (RPA) 技術的興起,是證明對於確保自動化存取安全的需求愈來愈高的另一個好例子。
法規遵循是永不停歇的工作
資料隱私權規章的數量和範圍將持續擴增,企業因此面臨的後續財務風險也會愈來愈大。 達成和維持法規遵循的工作很容易就會因此失控,尤其眼下已經有很多資料隱私權法律,並且未來還有更多法律陸續頒佈。 透過保障存取安全的方式來保護資料,需要有穩健的身分治理措施,此措施需要能夠因應許多基本的規章規定,並可為日後的法規遵循工作立下穩固的基礎。
產業或行業特定的規章已行之有年。 其中更值得關注的包括美國的 HIPAA,及各國/地區針對保護信用卡隱私資料推出的 PCI DSS。 這些規章的目的都要求
- 存取權限及身分管控;
- 瞭解您的敏感資料位於何處;
- 瞭解誰有權存取;
- 以不同等級的身分管控措施和原則管理存取權限;
- 針對必要的稽核程序追蹤與記錄存取行為。
許多引人注目的規章著重在保障消費者資料,而且要求必須披露外洩事件資訊。 歐盟於 2018 年 5 月 25 日頒佈施行的 GDPR 正是一例。 美國則有 2020 年 1 月 1 日頒佈施行的加州消費者隱私保護法 (CCPA)。 其他國家/地區也實施了自己的資料隱私權及外洩事件規章:
- 巴西的一般資料保護法 (Lei Geral de Proteção de Dados 或稱 LGPD);
- 南非的個人資訊保護法 (POPI);
- 菲律賓於 2012 年頒佈的資料隱私權法 (PDPA);
- 澳洲的聯邦隱私權法及隱私權準則 (APP)。
法規遵循始於清楚掌握 PII 資料
現有的原則可協助您找出並歸類檔案儲存庫或雲端 (AWS、Azure 和 GCP) 上的個人身份資訊 (PII)。
識別本地端或公有雲 (即 AWS、Azure、GCP) 上的 PII 資料。
識別過時 PII 資料或儲存在不當位置的資料。
識別可供公開存取或沒有資料負責人的 PII 資料,以便採取行動控制存取權限。
HIPAA 及身分治理
提供及時、適當的病患記錄存取權限:針對誰有權於什麼時間在何處存取哪些內容,為醫療保健業者提供更多的資訊及更大的掌控度。
降低營運成本:簡化存取系統和應用程式的流程,並改善臨床醫師之間的資料共享狀況。
促成遵循法規要求的資料共享:減輕讓未獲授權的使用者接觸到敏感資訊的風險。
透過稽核流程記錄達成法規遵循。
除了上述範例中的身分存取控制規定之外,消費者導向的規章也要求:
- 讓消費者取得跟自身相關的所有已收集資料;
- 可刪除其資料,並選擇不出售其個人資料;
- 要求將其資料轉移給另一個服務供應商;
- 擁有被遺忘的權利,以及在發生資料外洩事件時,於指定的有限期間內通知所有當事方。
SailPoint 可協助將資料保護作業自動化
AI 導向的建議可協助您決定適當的存取權限。
自動偵測調職或解雇之類的職務調動情形,採行相應的工作流程變更或移除存取權限。
標記向經理提出的高風險存取要求,並自動化處理低風險要求。
完整、可供稽核的記錄,詳載哪些人要求過存取哪些系統,以及哪些人核准或拒絕了該等要求。
利用歷史身分資料調查和診斷使用者存取權限,快速回應稽核員要求。
指派管理存取權限的恰當資料負責人,藉此減輕 IT 的負擔。
最後,許多規章直接以如 SP NIST 800-53 或 ISO/IEC 27001 等標準為依據。 這些標準對於保護存取權限和身分的優先順序沒有明確的規定;兩者都有專門針對存取控制擬定的完整章節。 舉例來說,NIST 800-53 (Rev4) 編定出大約 18 類的控制措施,存取控制編號共編訂了 25 個特定類別。 這些存取權限類別包括:
- 存取控制原則和程序 (AC-1)
- 權責區分 (AC-5)
- 最低權限 (AC-6)
- 工作階段終止 (AC-12)
- 遠端存取 (AC-17)
- 行動裝置存取控制 (AC-19)
新的法規遵循成本計算
您可能會提出異議:在規章愈來愈多的狀況下,維持法規遵循並不符合成本效益,可以直接接受財務處罰的風險。 事實上,企業成本包括品牌傷害、客戶流失及商譽損失。 監管財務處罰手段仍然會持續祭出,而且裁罰金額只會逐步墊高 (每次違法時,您還是要花錢解決)。 此外,如果違反了某個規章,您很可能也違反了其他規章。 請務必瞭解,大多數現有法規遵循程序的高昂成本是人工處理及效率不彰所致。
身分治理可確保存取權限隨時都獲得妥善管理,藉此滿足保護資料隱私權的一般核心需求。 應用至身分治理方案的新技術 (如自動化和 AI/ML) 可大幅減低運作成本,還可降低財務處罰的風險。 您現在就可以運用這種基本方法達成法規遵循,並針對後續 (必然的) 的新規章做好準備。
保護資料隱私權正是客戶和消費者所需要,也是企業應盡的本份,而不只是因為法律規定所以您只好照辦。 數位轉型涉及將資料和工作負載移往雲端、部署自動化程度更高的程序及為員工和客戶提供更靈活、更有效率的服務,而這需要可擴充、可調整及更加自動化的身分治理。
瞭解 SailPoint Predictive Identity™
SailPoint 可供您建立更穩健的身分治理措施,讓法規遵循更加符合成本效率,還可享有其他益處。 簡化存取並提高業務處理速度,同時為未來的法規遵循奠定穩固基礎。
- 不論是位於檔案儲存庫或雲端平台 (AWS、Azure 和 GCP),都可自動搜尋敏感資料所在位置。
- 瞭解誰有權存取哪些內容,並依據原則持續調整存取權限,讓「應該」有權存取的人具備存取權限,並將無權存取的人排除在外。
- 施行控制措施以利達成法規遵循,並自動實施適當的存取,例如權責區分、最低權限等等。
- 存取決策與現行原則不符時獲得警示。
- 找出因過度授權及危險使用者行為所致的法規遵循缺口。
- 維持詳細的稽核記錄,可向稽核員證明法規遵循狀態,也可跟董事會溝通。
危害企業為資料保護所做的努力的因素愈來愈多。 大幅仰賴人工記錄和人工處理的身分治理方法已不再切合實際,也不嚴謹。 採用 AI 與 ML 且更加自動化的身分治理解決方案可處理許多量大、重複性的存取保護功能。 此解決方案也能更快速地點出需要關注的層面和活動:讓企業更加瞭解需要人為介入或修正的問題。
You might also be interested in:
瞭解 SailPoint 如何幫助您的企業。
*必填欄位