使用者存取權限:解開一個繁雜過程的環節

在現今不友善的環境中,組織需要越來越關心他們的資訊安全。雖然人們經常將安全問題指向IT(資訊工程部門),但還有其他顯而易見的安全漏洞。用戶存取權限是經常被忽視的領域之一,但它卻是資訊安全維護中的必要成份。

隨著時間的演進,組織成長的同時資料庫也隨之變大,更改訪問權限也將變得更複雜和繁瑣,因此很難看出各人所擁有的權限。

在大多數組織中,只有IT部門可以進入安全管理系統。然而,無論IT人員如何防護,當部門主管要求使用者存取權限時 ,極少數(近乎沒有)主管真正了解組織中各人的資訊讀取權限。因此,很明顯的,資訊安全不僅僅是一個IT問題。

如「給伊利斯人力資源資料夾的存取權」一般的簡單請求是很容易執行的,但請求中往往缺少了如刪除他對『財務』的存取權」這類的指示。隨著人們在不同部門間調動、稽核員的臨時存取權和「特別專案」的設立等情形,有朝一日,錯綜複雜的使用者存取權將變得更加難以釐清。

這必須歸因於「捷徑」的創建。IT人員為避開現有複雜的權限問題,創造了新的角色和權限、迅速成立一個新的使用者或群體,造成同一組數據具有許多不同的存取路徑,使瀏覽變得困難、並鬆開了資訊安全的環結。

這種複雜度會造成許多風險。例如讓使用者存取到他們不應該看到的數據,以及忘記移除具有時效性的存取權等。過多地給予權限是一個嚴重的安全威脅,不能單靠IT部門處理。

搞定難堪的麻煩

讓數據的擁有者(部門經理)看到資訊讀取用戶名單可以快速識別出很多這類型的問題。每月為數據所有者更新資訊,列出所有數據使用者名冊,將可以看出誰不再需要使用者權限。賦予數據所有者資訊的資料也提高了整個組織的安全防範意識:安全是一個組織的責任,而不僅僅是IT的責任。

一旦過期的、冗餘和不必要的使用者權限已被刪除,這些問題便可以解決。使用橫跨所有資源的KPI,例如空AD組,遞歸和嵌套組,能使IT簡化並落實整個企業稽核和遵照必要的最佳執行政策。

建置跨組織存取權限的可視度將可降低風險、提高整體安全性且不會造成過多的費用和破壞。清理您的資料庫、採用最佳工作執行方式與更好的管理工具等方法可以緩解風險、降低複雜性並提供更高水平的服務。

組織的成功與執行和維護一個有效率的管理系統息息相關。這種系統對您的組織的持續運行至關重要,並提供方法讓您做出決定與更好地管理資源,達成最大效益。

為了協助利害關係人提高他們組織的記錄管理,BSI已經開發了一系列新的記錄管理系統(MSR) - ISO 30300系列

新聞資料來源 :BSI的資訊通信科技通訊