新聞稿

重視身分識別與存取管理重要性

勤業眾信:落實ERP系統保護機制 擘劃資安管理藍圖

【2021/08/24,台北訊】勤業眾信聯合會計師事務所今(24)舉辦「SAP身分治理,輕量化的身分與合規管理服務」線上研討會,依據ACFE《向國家報告:2020 年職務舞弊及濫用之全球研究》調查,企業舞弊將可能使一般公司損失 5% 的年度營收;此外,依據Ponemon Institute《2020 年內部威脅的代價》報告,86% 的內部威脅起因於惡意員工及員工疏忽。勤業眾信提醒,企業使用SAP 維持營運作業的同時,須確認SAP具有正確的控制措施以確保安全性並遵循法規,而SAP身分生命週期和法規遵循亦是影響企業營運作業的關鍵。

勤業眾信聯合會計師事務所風險諮詢服務部資深執行副總經理林彥良開場致詞時指出,駭客常透過攻擊企業的弱、被盜或默認用戶等手法以竊取機密資料,面臨身分洩露的問題;同時,也可能因防護系統能力不足,導致攻擊的範圍擴大。此外,因應疫情調整傳統實地工作的方式,以及逐步推動數位轉型計畫,加深原本僅存在於企業內部之議題與影響性,除了外部惡意攻擊,也可能發生內部員工或外包商意外洩露SAP技術資訊,內外部不利因素對組織構成愈來愈大的威脅。林彥良建議,後疫時代企業應用新興科技永續經營時,亦應重視身分識別與存取管理重要性,明訂定相關規範與程序,落實重要資訊資產保護之道。

SAP存取風險管理與身分治理實務

勤業眾信聯合會計師事務所風險諮詢服務部執行副總經理陳鴻棋指出,數位身分識別與存取管理是企業須面對的重要課題,如何將合法使用者能以最小化之權限進行存取管控也是需要企業特別注意。企業應妥善管理內部使用者、外包商及外部消費者之帳號及存取控制,並訂定相關規範與程序,以有效保護企業重要的資訊資產,達成永續經營之目標。過往企業以人工作業方式進行SAP存取控制,或其他斷開連接的方法來監控跨多個業務系統的權責區分(Separation of Duties, SoD), 可能會導致代價高昂的欺詐、敏感數據漏失和審計缺陷等風險;若無法詳加了解複雜 ERP 系統和應用系統的存取風險,將導致舞弊或作業疏失問題加劇。SAP身分治理(Identity Governance)提供對於數位資產的自動化存取功能,將人員、應用程式、資料和設備的管理權責連結在一起,能夠確定誰有權限存取什麼資源、代表哪種風險,並能在發現違反政策的情況下迅速採取因應行動。

SailPoint Technologies Holdings, Inc.台灣原廠技術總監曾心天指出,科技與雲端應用程式簡化了我們的工作方式,推動數位轉型與帶動效率提升的業務系統,也使安全要求更為複雜,但SAP這類的重要業務系統若遭不當存取,將有可能對組織造成相當大的威脅。但是,靠閉門造車的老舊方法管理及控管存取權限,只會讓風險更加複雜。管理上精簡化複雜的流程,將權責區分(SoD)與存取權限控管延伸到整個應用程式生態系統,才能全面掌握透明資訊 並發揮完整防護力。SailPoint存取風險管理能自動進行即時存取風險分析、避免易造成破壞的詐騙與資料外洩,以及SAP ERP、SAP SuccessFactors、S/4HANA 等多應用程式普遍易見的稽核不足現象。簡化GRC 流程,甚至能在授予存取權限之前識別潛在使用者的風險。

勤業眾信風險管理諮詢股份有限公司執行副總經理林彥良
勤業眾信聯合會計師事務所風險諮詢服務部執行副總經理陳鴻棋
SailPoint Technologies Holdings, Inc.台灣原廠技術總監曾心天
是否找到您要的資訊?