新聞稿

身份識別存取管理趨勢與策略藍圖

勤業眾信剖析身份管理三道防線

①特權帳號管理②身份治理③客戶身份識別與存取管理

【2020/12/17,台北訊】勤業眾信聯合會計師事務所今(17)舉辦「身份識別存取管理趨勢與策略藍圖」研討會,由於身份識別與存取管理(Identity and Access Management, IAM))授予所有企業IT資源存取權限的入口,也是資訊安全的第一道防線,因此在資訊環境與架構愈趨複雜的情況下,提升身分識別安全等級、確保使用者生產力與IT存取控管成為當務之急。勤業眾信建議,企業應妥善定義和管理每個網路使用者的身份角色及其所需資源的存取權限,並根據身份角色生命週期,對其所需資源存取權限進行管理,落實特權帳號管理、身份治理、客戶身份識別與存取管理。

勤業眾信聯合會計師事務所風險諮詢服務部營運長吳佳翰指出,隨著新興科技的發展,企業因帳號與權限的管理機制強度不足,遭受惡意的網路攻擊與機敏資料外洩等安全事件層出不窮,且企業為優化消費者體驗推動全通路(Omni-channel)服務已成為趨勢,數位身分識別與存取管理已成為企業須面對的重要課題。企業應妥善管理內部使用者與外部消費者之帳號及存取控制,並訂定相關規範與程序,以有效保護企業重要的資訊資產,達成永續經營之目標。

勤業眾信聯合會計師事務所風險諮詢服務部資深執行副總經理林彥良表示,在當今的「零信任」環境中,企業須管控使用者存取權限誤用的風險,持續監控和驗證使用者的身份,根據使用者身份、存取權限以及執行時間和地點來確定他們的風險級別,有越來越多企業導入多因素驗證(MFA)、生物辨識(Biometric)和使用者行為分析(UEBA)等進階身份驗證方法,作為數位身份(Digital Identity)管理的標準做法,同時評估業務與資訊作業職權區隔(Segregation of Duties, SoD),辨識企業是否存在使用者的潛在衝突權限,降低組織資源濫用風險。企業透過第一道防線保護組織機敏資料,實現安全交易以及強化業務流程安全性,並提供通過社交媒體與消費者互動的新方法,改善企業內部的協作,以及自動化和簡化網路安全。

從資安及營業秘密訴訟攻防案例談身份識別與存取管理重要性

中華民國電腦稽核協會理事長葉奇鑫指出,存取管理在資安事件調查與訴訟案件搜證過程扮演關鍵角色,以其參與辯護之駭客案件為例,因企業未妥善控管登入帳號權限之範圍,且發覺事件起因為人為因素所致後,仍未積極保留帳號的活動紀錄,以致此案最終無法判定為由何人登入公用帳號作案。葉奇鑫認為,營業秘密三要件為「秘密性、經濟價值性及合理的保護措施」;其中合理的保護措施為訴訟勝敗關鍵,過去便有刑事判決案例中的企業,因嚴格控管員工的資訊存取權限,並建立機密資料保護的相關規範,而取得勝訴判決,建議企業正視身份識別與存取管理不僅重要,且與營業秘密之訴訟勝敗習習相關。

身份識別存取安全管理策略藍圖

勤業眾信聯合會計師事務所風險諮詢服務部副總經理陳鴻棋指出,企業因疫情面臨極大挑戰,但也加速數位轉型的腳步,後疫情時代在應用新興科技永續經營的同時,亦應重視身份識別與存取管理重要性。首先,特權帳號管理(Privileged Access Management, PAM)能透過特權帳號的集中管理、存取控管與行為監控,降低因特殊權限帳號的違規使用風險;其次,身份治理(Identity Governance)提供對於數位資產的自動化存取功能,將人員、應用程式、資料和設備的管理權責連結在一起,能夠確定誰有權限存取什麼資源、代表哪種風險,並能在發現違反政策的情況下迅速採取因應行動;最後,客戶身份識別與存取管理(Customer Identity and Access Management, CIAM)能作為企業執行精準分析與預測消費者行為,以及建構使用者旅程(User Journey)地圖之輔助,並能協助保護消費者的個人資料,遵循不斷推陳出新的國際隱私法規。

勤業眾信能協助企業以法令法規、主管機關監理期望、國際標準與業務需求等面向進行「數位身份識別與存取管理策略評估(Digital Identity Strategy Assessment)」,建構完整的策略藍圖與行動方案,以達成資訊安全治理與法規遵循之目標。

數位身份的管理與安全

CyberArk Software Ltd.大中華區技術顧問黃開印指出, 在「新常態」下的遠距的工作環境,近八成(77%)遠距工作員工使用不安全、未受管理的個人裝置存取公司系統;93%的人在應用系統及裝置上使用相同的密碼,CyberArk Idaptive解決方案具有保護企業雲端和地端應用程式、終端及虛擬私人網路存取安全、降低安全漏洞的風險並簡化用戶體驗之功效;透過單一簽入(SSO)施行更強大的密碼政策,降低不良密碼使用習慣的風險及洞察用戶的存取活動;並使用多重驗證(MFA)保護整個組織的存取安全,也根據用戶位置、裝置及網路資訊等特定情境屬性,指定每次用戶登入嘗試的風險級別及制訂動態存取政策;更可透過Idaptive生命週期管理,在員工生命週期的每個階段簡化應用程式存取請求管理、建立應用程式帳戶及終止存取權限。

圖一:(左起)中華民國電腦稽核協會理事長葉奇鑫、勤業眾信聯合會計師事務所風險諮詢服務部營運長吳佳翰、CyberArk Software Ltd.大中華區技術顧問黃開印、勤業眾信聯合會計師事務所風險諮詢服務部副總經理陳鴻棋、勤業眾信聯合會計師事務所風險諮詢服務部資深執行副總經理林彥良。
圖二:勤業眾信聯合會計師事務所風險諮詢服務部營運長吳佳翰。
圖三:勤業眾信聯合會計師事務所風險諮詢服務部資深執行副總經理林彥良。
圖四:中華民國電腦稽核協會理事長葉奇鑫。
圖五:勤業眾信聯合會計師事務所風險諮詢服務部副總經理陳鴻棋。
圖六:CyberArk Software Ltd.大中華區技術顧問黃開印。
是否找到您要的資訊?