Rumah Bisnis Wawasan industri: tata kelola identitas dan mengapa Anda membutuhkannya

Wawasan industri: tata kelola identitas dan mengapa Anda membutuhkannya

Video: Cara Mengatasi Akun Fecebook Yang Terkena Sesi Terbaru 2020 (Desember 2024)

Video: Cara Mengatasi Akun Fecebook Yang Terkena Sesi Terbaru 2020 (Desember 2024)
Anonim

Pencurian identitas adalah masalah besar bagi semua orang, tetapi terutama bagi mereka yang memiliki keamanan TI. Untuk mengatasi masalah ini, perusahaan memerlukan pendekatan yang kuat namun terkendali dan terkendali untuk tata kelola identitas. Itu sangat sulit karena memerlukan pengelolaan siapa yang memiliki akses ke aplikasi dan layanan, dan memastikan bahwa informasi dicatat dengan benar dan mudah diakses oleh mereka yang membutuhkannya. Jika seseorang tanpa izin mengkompromikan gateway jaringan pribadi virtual (VPN) yang digunakan perusahaan Anda untuk akses jarak jauh, maka Anda perlu memulai perbaikan Anda dengan mengetahui secara pasti siapa yang memiliki akses ke gateway dan hak apa yang masing-masing dikontrol oleh pengguna tersebut.

Tata kelola identitas juga melibatkan kepatuhan terhadap peraturan yang mengatur privasi data, termasuk Undang-undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) untuk data perawatan kesehatan dan Peraturan Perlindungan Data Umum UE (GDPR). GDPR menuntut agar identitas diverifikasi dan otentikasi multifaktor (MFA) dilembagakan bagi siapa saja yang mengakses informasi pengidentifikasi pribadi (PII). Tata kelola identitas yang kuat juga berarti mengambil pendekatan hybrid untuk manajemen identitas (IDM) di cloud dan di tempat. Pendekatan hibrida untuk tata kelola ini membutuhkan penggunaan proses terpadu, menurut Darren Mar-Elia, Kepala Produk di perusahaan vendor IDM Semperis. Pada Konferensi Perlindungan Identitas Hibrid baru-baru ini di New York City, PCMag bertemu dengan Mar-Elia untuk mendapatkan praktik terbaik dalam tata kelola identitas.

PCMag (PCM): Apa yang dibutuhkan IDM hybrid?

Darren Mar-Elia (DME): Sistem IDM hybrid hanyalah sebuah sistem identitas yang telah diperluas dari lokal ke cloud, dan biasanya untuk memberikan akses ke aplikasi berbasis cloud.

PCM: Bagaimana kaitan IDM hybrid dengan Active Directory (AD), Microsoft Office 365, dan cloud?

DME: Banyak perusahaan menjalankan AD dan telah menjalankannya selama bertahun-tahun. Di situlah nama pengguna dan kata sandi Anda ditahan, dan di situlah keanggotaan grup Anda diadakan. Semua hal itu dapat mencapai cloud, atau Anda dapat membuat akun dari awal di cloud dan masih memiliki AD lokal. Sekarang Anda memiliki sistem identitas berbasis cloud yang memberikan akses ke aplikasi cloud, dan itu hanya cara memberikan identitas. Dengan kata lain, siapa saya dan apa yang saya dapatkan akses di lingkungan cloud, apakah itu Microsoft Azure atau Amazon, atau apa pun yang terjadi.

PCM: Di mana dasbor perangkat lunak yang sebenarnya digunakan untuk mengelola jenis tata kelola itu?

DME: Microsoft, tentu saja, menyediakan portal manajemen untuk mengelola identitas cloud. Ada juga bagian lokal yang memungkinkan Anda melakukan sinkronisasi hingga Microsoft Azure Active Directory; sehingga Anda mengontrol bagian itu. Itu adalah perangkat lunak yang akan Anda jalankan dan kelola, pastikan itu berfungsi dan semua itu. Bergantung pada seberapa banyak fleksibilitas yang Anda butuhkan, Anda dapat melakukan sebagian besar dari portal mereka. Ini jelas berjalan di cloud Microsoft, dan itu memberi Anda pandangan penyewa Anda. Jadi, Anda memiliki penyewa yang mendefinisikan semua pengguna Anda dan semua akses Anda ke aplikasi.

PCM: Untuk jenis aplikasi apa yang Anda butuhkan untuk mengelola akses?

DME: Dalam hal Microsoft, Anda bisa mengelola akses ke aplikasi Office seperti Exchange, SharePoint, dan OneDrive. Itu adalah aplikasi yang biasanya Anda kelola di lingkungan itu. Dan mengelola berarti memberikan akses, katakanlah, kotak surat seseorang untuk dapat dikirim atas nama pengguna lain atau untuk dapat melakukan pelaporan. Misalnya, Anda dapat melihat berapa banyak pesan yang dikirim melalui sistem saya dan ke mana mereka dikirim. Dalam kasus SharePoint, itu mungkin mengatur situs di mana orang dapat berkolaborasi atau menentukan siapa yang dapat memberikan akses ke informasi itu.

PCM: Apa tantangan utama dalam menangani IDM di cloud versus di tempat?

DME: Saya pikir tantangan besar adalah mampu melakukannya secara konsisten baik di cloud maupun di tempat. Jadi, apakah saya memiliki akses yang tepat di tempat dan di cloud? Apakah saya memiliki terlalu banyak akses di cloud dibandingkan dengan yang saya miliki di tempat? Jadi perbedaan semacam itu antara apa yang bisa saya lakukan di tempat dan apa yang bisa saya lakukan di cloud penting untuk dilacak.

PCM: Apa cara terbaik untuk mencapai keseimbangan antara IDM di tempat dan apa yang saya lakukan di cloud?

DME: Entah itu penyediaan pengguna, manajemen akses pengguna, atau sertifikasi pengguna, semua hal itu perlu mempertimbangkan fakta bahwa Anda mungkin berada dalam beberapa identitas cloud selain di tempat. Jadi, jika saya melakukan review akses, itu tidak hanya menjadi hal yang saya punya akses ke tempat. Seharusnya juga, apa yang saya dapat akses di cloud jika saya melakukan acara penyediaan? Jika saya dalam fungsi pekerjaan sumber daya manusia (SDM), saya akan memiliki akses ke aplikasi di tempat maupun di cloud. Ketika saya dimasukkan ke dalam fungsi pekerjaan itu, saya harus memiliki semua akses yang diberikan kepada saya. Ketika saya mengubah fungsi pekerjaan, saya harus memiliki semua akses itu untuk fungsi pekerjaan itu dihapus, dan itu di tempat dan di cloud. Itulah tantangannya.

PCM: Peran apa yang dimainkan oleh pembelajaran mesin (ML) dalam IDM atau identitas hibrid?

DME: Penyedia identitas cloud memiliki visibilitas atas siapa yang masuk, dari mana mereka masuk, dan seberapa sering mereka masuk. Mereka menggunakan ML pada set data besar tersebut untuk dapat menyimpulkan pola di berbagai penyewa yang berbeda. Jadi, misalnya, apakah ada info masuk mencurigakan yang terjadi dalam penyewa Anda; Apakah pengguna masuk dari New York dan lima menit kemudian dari Berlin? Itu adalah masalah ML pada dasarnya. Anda menghasilkan banyak data audit setiap kali seseorang masuk, dan Anda menggunakan model mesin untuk mengkorelasikan pola yang mungkin mencurigakan. Ke depan, saya pikir ML akan diterapkan pada proses seperti ulasan akses untuk dapat menyimpulkan konteks untuk ulasan akses sebagai lawan hanya memberi saya daftar grup yang saya ikuti dan mengatakan "ya, saya harus berada dalam grup ini "atau" tidak, aku seharusnya tidak berada dalam kelompok itu. " Saya pikir itu adalah masalah tingkat tinggi yang mungkin akan dipecahkan pada akhirnya, tapi itu area di mana saya pikir ML akan membantu.

PCM: Sejauh ML membantu dalam hybrid IDM, apakah ini berarti bahwa itu membantu di tempat dan di cloud?

DME: Pada tingkat tertentu, itu benar. Ada beberapa produk teknologi tertentu di luar sana yang akan mengumpulkan, misalnya, mengaudit atau data interaksi AD antara AD di tempat dan juga data identitas cloud, dan dapat memunculkannya dengan jenis daftar risiko yang sama di mana login yang mencurigakan ada di tempat AD atau di cloud. Saya tidak berpikir itu sempurna hari ini. Anda ingin melukis gambar yang menunjukkan perubahan kontekstual yang mulus. Jika saya pengguna di iklan lokal, maka kemungkinan besar, jika saya dikompromikan, saya mungkin akan dikompromikan baik di tempat dan Azure AD. Saya tidak tahu bahwa masalah ini sudah diselesaikan sepenuhnya.

PCM: Anda telah berbicara tentang "penyediaan hak kesulungan." Apa ini, dan apa perannya dalam hybrid IDM?

DME: Pemberian hak lahir hanyalah akses yang didapat karyawan baru ketika mereka bergabung dengan perusahaan. Mereka mendapatkan provisi dengan akun dan akses apa yang mereka dapatkan, dan di mana mereka mendapatkan provisi. Kembali ke contoh saya sebelumnya, jika saya seorang SDM yang bergabung dengan perusahaan, saya mendapatkan AD yang dibuat. Saya mungkin akan mendapatkan Azure AD, mungkin melalui sinkronisasi tetapi mungkin tidak, dan saya akan mendapatkan akses ke serangkaian hal untuk melakukan pekerjaan saya. Mereka mungkin aplikasi, mereka mungkin berbagi file, mereka mungkin situs SharePoint, atau mereka mungkin kotak surat Exchange. Semua pemberian dan pemberian akses itu harus terjadi ketika saya bergabung. Pada dasarnya itu adalah pemberian hak kesulungan.

PCM: Anda juga berbicara tentang konsep yang disebut "stempel karet." Bagaimana cara kerjanya?

DME: Peraturan untuk banyak perusahaan publik mengatakan bahwa mereka harus meninjau akses ke sistem kritis yang berisi hal-hal seperti informasi pribadi, data pelanggan, dan informasi sensitif. Jadi, Anda harus meninjau akses secara berkala. Biasanya triwulanan tetapi tergantung regulasi. Tetapi biasanya cara kerjanya adalah, Anda memiliki aplikasi yang menghasilkan ulasan akses tersebut, mengirimkan daftar pengguna dalam grup tertentu kepada manajer yang bertanggung jawab atas grup atau aplikasi itu, dan kemudian orang tersebut harus menyatakan bahwa semua pengguna tersebut masih termasuk dalam kelompok itu. Jika Anda menghasilkan banyak dari ini dan seorang manajer terlalu banyak bekerja, itu adalah proses yang tidak sempurna. Anda tidak tahu mereka sedang memeriksanya. Apakah mereka memeriksanya secara menyeluruh? Benarkah orang-orang ini masih membutuhkan akses? Dan itulah yang disebut stempel karet. Jadi, jika Anda tidak benar-benar memperhatikannya, itu cenderung hanya sebuah cek yang menunjukkan "Ya, saya melakukan review, sudah selesai, saya mendapatkannya dari rambut saya, " sebagai lawan untuk benar-benar memahami apakah akses tersebut masih dibutuhkan.

PCM: Apakah akses stempel karet ulasan masalah atau hanya masalah efisiensi?

DME: Saya pikir keduanya. Orang-orang terlalu banyak bekerja. Mereka mendapatkan banyak hal yang dilemparkan pada mereka, dan saya menduga itu adalah proses yang sulit untuk tetap di atas selain apa pun yang dilakukan. Jadi saya pikir ini dilakukan untuk alasan pengaturan, yang saya setujui sepenuhnya dan saya mengerti. Tetapi saya tidak tahu apakah itu pendekatan terbaik atau metode mekanis terbaik untuk melakukan tinjauan akses.

PCM: Bagaimana perusahaan menangani penemuan peran?

DME: Manajemen akses berbasis peran adalah ide ini yang Anda tetapkan akses berdasarkan peran pengguna dalam organisasi. Mungkin itu fungsi bisnis individu atau pekerjaan orang tersebut. Itu bisa didasarkan pada judul individu. Penemuan peran adalah proses mencoba menemukan peran apa yang secara alami ada dalam organisasi berdasarkan bagaimana akses identitas diberikan hari ini. Sebagai contoh, saya dapat mengatakan orang SDM ini adalah anggota dari kelompok-kelompok ini; oleh karena itu, peran personel SDM harus memiliki akses ke grup-grup itu. Ada alat yang dapat membantu dengan ini, pada dasarnya membangun peran berdasarkan akses yang ada yang telah diberikan di lingkungan. Dan itulah proses penemuan peran yang kami lalui ketika Anda mencoba membangun sistem manajemen akses berbasis peran.

PCM: Apakah Anda memiliki tips yang dapat Anda berikan untuk usaha kecil dan menengah (SMB) tentang cara mendekati IDM hybrid?

DME: Jika Anda seorang SMB, saya pikir tujuannya adalah untuk tidak hidup di dunia identitas hibrid. Tujuannya adalah untuk mendapatkan identitas cloud-only dan mencoba untuk sampai ke sana secepat mungkin. Bagi seorang SMB, kerumitan dalam mengelola identitas hibrid bukanlah bisnis yang mereka inginkan. Ini adalah olahraga untuk perusahaan besar yang harus melakukannya karena mereka memiliki begitu banyak barang di tempat. Di dunia SMB, saya pikir tujuannya harus "Bagaimana saya bisa sampai ke sistem identitas cloud lebih cepat daripada nanti? Bagaimana saya keluar dari bisnis di tempat lebih cepat daripada nanti?" Itu mungkin pendekatan yang paling praktis.

PCM: Kapan perusahaan akan menggunakan hybrid versus hanya di tempat atau hanya cloud?

DME: Saya pikir alasan terbesar keberadaan hybrid adalah karena kami memiliki organisasi yang lebih besar dengan banyak teknologi warisan dalam sistem identitas lokal. Jika sebuah perusahaan mulai dari awal hari iniā€¦ mereka tidak menggunakan AD sebagai perusahaan baru; mereka sedang memutar Google AD dengan Google G Suite, dan sekarang mereka sepenuhnya hidup di cloud. Mereka tidak memiliki infrastruktur di tempat. Bagi banyak organisasi besar dengan teknologi yang telah ada selama bertahun-tahun, itu tidak praktis. Jadi mereka harus hidup di dunia hybrid ini. Apakah mereka akan pernah mencapai cloud saja, itu mungkin tergantung pada model bisnis mereka dan seberapa banyak prioritas bagi mereka dan masalah apa yang mereka coba selesaikan. Semua itu masuk ke dalamnya. Tapi saya pikir untuk organisasi itu, mereka akan berada di dunia hibrida untuk waktu yang lama.

PCM: Apa yang akan menjadi persyaratan bisnis yang akan mendorong mereka ke cloud?

DME: Yang khas adalah seperti aplikasi bisnis yang ada di cloud, aplikasi SaaS seperti Salesforce, Workday, atau Concur. Dan aplikasi-aplikasi itu mengharapkan untuk menyediakan identitas cloud untuk dapat memberikan akses kepada mereka. Anda harus memiliki identitas cloud itu di suatu tempat, dan itulah yang biasanya terjadi. Microsoft adalah contoh sempurna. Jika Anda ingin menggunakan Office 365, maka Anda harus memberikan identitas ke Azure AD. Tidak ada pilihan tentang itu. Sehingga mendorong orang untuk mendapatkan Azure AD mereka dan kemudian, begitu mereka di sana, mungkin mereka memutuskan ingin melakukan akses tunggal ke aplikasi web lain, aplikasi SaaS lainnya di cloud, dan sekarang mereka ada di cloud.

  • 10 Langkah Penting untuk Melindungi Identitas Anda Online 10 Langkah Penting untuk Melindungi Identitas Anda Online
  • Solusi Manajemen Identitas Terbaik untuk 2019 Solusi Manajemen Identitas Terbaik untuk 2019
  • 7 Langkah untuk Meminimalkan Penipuan CEO dan Spoofing Identitas 7 Langkah untuk Meminimalkan Penipuan CEO dan Spoofing Identitas

PCM: Adakah prediksi besar untuk masa depan IDM atau tata kelola?

DME: Orang-orang belum memikirkan tata kelola identitas hibrida atau IDM hibrid sebagai satu hal. Saya pikir itu harus terjadi, apakah mereka didorong ke sana oleh peraturan atau vendor meningkatkan dan menyediakan solusi tata kelola identitas end-to-end untuk dunia hibrida tersebut. Saya pikir salah satu pasti akan terjadi, dan orang-orang harus menyelesaikan masalah seperti pemisahan tugas lintas identitas hybrid dan manajemen akses. Saya pikir itu mungkin hasil yang paling tak terhindarkan yang akan terjadi lebih cepat daripada nanti.

Wawasan industri: tata kelola identitas dan mengapa Anda membutuhkannya